UNIDAD
DE AUDITORÍA DE PROYECTOS
(APROMUC)
CORRESPONDIENTE
HONORABLE
TRIBUNAL DE CUENTAS DE
LA PROVINCIA DE BUENOS AIRES
ANEXO I |
DOCUMENTACION
DEL SISTEMA DE CONTROL INTERNO
El presente anexo tiene por objetivo brindar una serie de elementos a tener en cuenta para realizar la documentación del sistema de control interno (tanto el SCII como el SCIC) tanto en su etapa de relevamiento como en lo relativo a la evaluación del diseño y comprobación de su puesta en práctica y nivel de funcionamiento.
Pasos
a seguir en la etapa de relevamiento
1.
Obtención de la información básica
·
Lectura de Manuales de Organización (con análisis
del organigrama, funciones y responsabilidades correspondientes a cada nivel
organizacional)
·
Lectura de Manuales de Procedimiento (con análisis
del diseño de los distintos circuitos administrativos y los puntos de control
definidos para ejecutarse)
·
Lectura de Instructivos Complementarios
(memoranda, órdenes de servicio internas, notas, etc.).
·
Entrevistas con funcionarios
2.
Documentación de la información básica
A
los efectos de documentar la información básica obtenida (fundamentalmente
ante la no existencia de este tipo de datos de manera formalizada o escrita), el
auditor podrá utilizar las siguientes herramientas:
2.1.
Narrativos
Consisten
en la presentación de las actividades y operaciones de la entidad en forma de
relato, identificando las personas intervinientes, la secuencia de procesos y
controles que se realizan y los informes y documentación generadas
En
general, se utilizan cuando los procesos a relevar no resulten demasiado
complejos y/o extensos o en aquellas actividades cuya comprensión no resulte
clara a través de la utilización de otro tipo de herramientas (p.ej.: ambiente
de control)
Como
ventajas de este tipo de herramienta tenemos:
· No requiere de conocimientos específicos para su implementación
·
No requiere de análisis previo alguno sobre
relaciones de costo-beneficio para su aplicación
Como
desventajas:
· Se debe tener muy en cuenta el lenguaje a emplear (sintaxis y ortografía)
· Distintas personas redactan en forma diferente
· En procedimientos extensos y/o complejos, la lectura y comprensión de los mismos puede resultar muy engorrosa y de difícil seguimiento.
2.2.
Cuestionarios
Consisten
en la presentación de preguntas estándar sobre los procedimientos involucrados
en cada una de las actividades y operaciones de la entidad basadas en la
secuencia que los mismos siguen con respecto a su desarrollo.
En general, se utilizan cuando los procesos a relevar impliquen estandarizaciones relacionadas con las preguntas a realizar.
Como ventajas de este tipo de herramienta tenemos:
· Estandariza en forma práctica el trabajo de relevamiento de información de una entidad.
Como
desventajas:
· Están expuestos a desactualizaciones en función del cambio de reglamentaciones sobre los cuales han sido desarrollados
· Tienden a ejercer una rutinización en los procesos de comprensión de las actividades de la entidad por parte de los auditores intervinientes.
2.3.
Flujogramas
Consisten en la presentación en forma gráfica de los flujos de información que impactan en los estados de información financiera de una entidad.
En
general, se utilizan cuando los procesos a relevar se refieran a la evaluación
del sistema de control interno contable (SCIC) para la determinación del
alcance, naturaleza y oportunidad de los procedimientos de auditoría a aplicar
sobre la información financiera.
Como
ventajas de este tipo de herramienta tenemos:
· Estandariza, a través de la utilización de una herramienta gráfica, el relevamiento de los flujos de información financiera (contable) de una entidad.
·
Permite visualizar, en forma rápida y
concisa, la secuencia general del flujo de información contable que impacta en
los estados financieros de una entidad, permitiendo así una mejor comprensión
del mismo
Como
desventajas:
·
Se requiere de un período previo de
entrenamiento y adaptación para poder utilizar esta técnica.
2.4.
Cursogramas
Consisten en la presentación en forma gráfica de la secuencia de actividades y operaciones que desarrolla una entidad.
En
general, se utilizan cuando los procesos a relevar se refieran a la evaluación
del sistema de control interno integral (SCII) y que los mismos impliquen
actividades y/u operaciones de difícil comprensión a través de narrativos o
constituyan una mejora en la relación costo-beneficio con respecto a
cuestionarios..
Como
ventajas de este tipo de herramienta tenemos:
· Estandariza, a través de la utilización de una herramienta gráfica, el relevamiento de procedimientos administrativos y operativos
·
Permite visualizar, en forma rápida y
concisa, la secuencia general de operaciones y actividades de una entidad,
brindando además, la base para la realización de análisis más profundos a
través de auditorías operativas o especiales
Como
desventajas:
· Se requiere de un período previo de entrenamiento y adaptación para poder utilizar esta técnica.
IMPACTO
DEL PED (CIS) EN EL ANALISIS Y EVALUACION DEL SISTEMA DE CONTROL INTERNO
1.
Introducción
El
presente anexo tiene objetivo brindar al lector del manual una comprensión de
las características que reviste la utilización del procesamiento electrónico
de datos en lo referido a la captación, registro, procesamiento y control de
las transacciones y operaciones de una entidad u organización y su impacto en
los estados financieros.
En
tal sentido, cabe destacar que si bien el uso de computadoras genera,
necesariamente, cambios a nivel de procedimientos de control y de la cultura
misma organizacional, desde el punto de vista del auditor financiero, no implica
un cambio de su objetivo original con respecto a validar la confiabilidad del
sistema de control interno contable (SCIC) para determinar la naturaleza,
alcance y oportunidad de sus procedimientos de auditoría a llevar a cabo.
El anexo está basado, principalmente, en los considerandos y disposiciones emanadas de las NIAs emitidas por el IFAC con respecto a este punto en particular.
2.
Características del ambiente de control
A
modo de repaso de los conceptos ya vertidos en el manual, las características
del ambiente de control a analizar por parte del auditor para definir su grado
de confianza en el SCIC y por ende el alcance, naturaleza y oportunidad de sus
procedimientos de auditoría son:
· Conciencia de control
· Segregación de funciones
· Desviaciones de la gerencia
· Competencia del personal
·
Protección de activos y registros
A
los que en este punto debemos agregar:
· Evaluación preliminar del ambiente de PED
·
Instalación y funcionamiento del PED
Obviamente,
los dos últimos puntos tendrán mayor impacto en nuestra planificación y
ejecución de la auditoría cuanto más se encuentre la organización
computadorizada y tanto la captación, registro, procesamiento y control de
transacciones dependa más de acciones llevadas a cabo mediante el uso de
software y hardware a tal fin.
3.
Auditoría en ambientes PED
A
nivel internacional, la NIA 15 (actualmente en la sección 401 Internal Control
– Auditing in a Computer Information Systems Environment) establece las pautas
adicionales necesarias para el cumplimiento de la NIA 1 (Objetivos y principios
básicos que rigen una auditoría)(actualmente sección 200 Responsabilities –
Objective and General Principles Governing an Audit of Financial Statements)
cuando la auditoría se realiza en un ambiente de procesamiento electrónico de
datos (PED)
Dentro
de sus consideraciones generales establece que el objetivo y alcance generales
de la auditoría, no cambian en un entorno PED.
Sin embargo, el uso de un computador sí cambia el procesamiento y la
conservación o almacenamiento de la información financiera y puede afectar la
organización y los procedimientos empleados por la entidad para lograr un
adecuado control interno.
Entrando
ya en los puntos relevantes que esta norma de auditoría desarrolla con respecto
al impacto del PED en el trabajo de
auditoría, resalta como primer punto y en cuanto al Sistema de Contabilidad y
Control Interno (SCIC para el presente manual), alcanzar un conocimiento
suficiente del sistema de contabilidad.
Adicionalmente,
y con respecto a la evidencia de auditoría que se debe obtener a los fines de
alcanzar los objetivos de auditoría con respecto a las manifestaciones de la
gerencia en los estados financieros, remarca que el ambiente PED puede afectar
la aplicación de los procedimientos de auditoría tanto en los que hace a las
pruebas de cumplimiento como a las pruebas sustantivas, generando la utilización
de otras herramientas o variando la
naturaleza, alcance y oportunidad de los procedimientos a implementar.
Por ejemplo:
· Requiriéndose la utilización de Técnicas de Auditoría con Ayuda del Computador (TAAC) las cuales se desarrollan en la NIA 16 (hoy sección 1009 - International Auditing Practice Statements – Computer Assisted Audit Techniques)
· Utilizando TAAC para mejorar la eficacia y eficiencia de los procedimientos de auditoría a aplicar.
·
Cambiando el factor oportunidad para la
aplicación de las pruebas de auditoría (manuales y vía TAAC).
4.
Control interno en ambientes PED
En
cuanto al impacto del PED en el SCIC propiamente dicho, el IFAC complementó la
NIA 6 (la cual se refiere al control interno específicamente)(hoy sección 400
Internal Control – Risk Assessments and Internal Control)
mediante una serie de elementos adicionales, en los cuales se trató el
impacto de los distintos tipos de procesamiento que puede adoptar la implantación
del PED en una organización,
teniendo en cuenta la forma en que se procesa la información y la estructura física
(hardware) que sostiene al mismo.
El
primer complemento está dado por el Addendum 1 a la NIA 6 (sección 1008
-International Auditing Practice Statements – Risk Assessments and Internal
Control- CIS Characteristics and Considerations), el cual desarrolla las
características del ambiente PED en general, a saber:
·
Estructura organizacional
Con
respecto a este punto, señala que el PED la afecta en cuanto a la:
· Concentración de funciones y conocimientos ya que, en general, el número de personas involucradas en el procesamiento de la información financiera es reducido cuando se utilizan medios de PED y
·
Concentración de programas y datos
ya que los datos de las operaciones y el archivo están frecuentemente
concentrados, en forma centralizada o distribuida.
En general, los programas que permitan ingresar, consultar y modificar,
están ubicados junto a los datos.
·
Naturaleza del procesamiento de la
información
En
este punto, señala que es necesario tener en cuenta la:
· Ausencia de documentos de entrada
· Ausencia de una ruta de operaciones visible
· Ausencia de una salida visible
· Facilidad de acceso a los programas y datos del computador por parte de quienes tengan los conocimientos adecuados para hacerlo.
·
Aspectos de diseño y procedimiento
En
este punto, se resalta el cambio que se produce tanto en cuanto a la forma en
que se diseñan los sistemas de operación de la organización, como en lo
referente a los procedimientos y puntos de control el mismo.
En particular, remarca las siguientes características a tener en cuenta
para la definición de las pruebas de auditoría a aplicar:
· Consistencia operativa (controlada por el propio sistema)
· Procedimientos de control programados (en forma repetitiva y sin intervención manual de así estar codificado en el software/hardware correspondientes).
· Actualización de una operación individual en archivos múltiples o bases de datos (mediante acciones de replicación o similares dependiendo del producto utilizado)
· Operaciones generadas por el sistema.
· Vulnerabilidad de los medios de almacenamiento de datos y programas
·
Controles internos de un ambiente PED
En
referencia a los aspectos relacionados con los controles internos existentes en
un ambiente PED, divide a los mismos en:
· Controles generales PED (que afectan al ambiente general PED). Estos, pueden sintetizarse en los siguientes:
· Controles de organización y administración.
· Controles de desarrollo y mantenimiento de los sistemas de aplicación.
· Controles de funcionamiento del computador.
· Controles sobre los softwares del computador (sistemas operativos (OS) y sistemas operativos de red (NOS).
·
Controles de programa y entrada de datos.
·
Controles específicos PED
(los cuales se refieren, particularmente, al control de las aplicaciones
desarrolladas mediante PED) y que se dividen en:
· Controles de entrada
· Controles de procesamiento y de los archivos de datos computadorizados.
·
Controles de salida
·
Revisión de controles PED
Con
respecto a este punto, divide a la revisión de los controles en:
· Revisión de Controles Generales PED
·
Revisión de controles específicos PED.
Estos, se dividen, a su vez, en:
· Controles manuales empleados por el usuario.
· Controles sobre las salidas del sistema.
·
Procedimientos de control programado.
El
segundo complemento se desarrolla a través del Anexo I a la NIA 6, (sección
1001 -International Auditing Practice Statements – CIS Environments –
Stand-Alone Microcomputers) la cual desarrolla el tema del Ambiente PED específicamente
aplicado cuando las organizaciones utilizan microcomputadores independientes.
En
particular, divide el análisis en siguientes puntos de relevancia:
·
Características
En
general, la utilización de microcomputadores independientes (PCs) define un
estilo de operación menos estructurado que cuando se establece un ambiente PED
centralizado. Este punto tiene una
relevancia e impacto muy importantes, sobre todo, en los controles sobre el
desarrollo y funcionamiento de los sistemas.
Por
otro lado, también puede no ser fácil distinguir entre los controles generales
PED y los controles de aplicación PED por las mismas características de los
involucrados tanto en el diseño como en la operación y control de los sistemas
utilizados por la organización.
·
Procedimientos a tener en cuenta para mejorar
el nivel global de control interno en aspectos relacionados con la seguridad y
control
Fundamentalmente,
hace hincapié en
n La existencia de la autorización de la gerencia para la operación del microcomputador
n La seguridad física del equipo utilizado
n La seguridad física de los dispositivos portátiles y fijos (ordenadores, discos fijos, diskettes, etc.)
n La seguridad de los programas y datos
n La integridad de los programas del computador (sistemas operativos) y de los datos
n
Back-up de hardware, software e información
(datos, archivos, etc).
·
Efecto del microcomputador en el sistema de
contabilidad y sus riesgos resultantes
Con
respecto a este punto, define que el efecto a registrarse en el sistema de
contabilidad y sus riesgos resultantes dependerán de:
· La amplitud con que se utilice para procesar aplicaciones contables
· El tipo e importancia de las operaciones financieras que se procesen
·
La naturaleza de los archivos y programas
utilizados en las aplicaciones.
·
Efecto del ambiente de microcomputadores
independientes en los procedimientos de auditoría.
En
este aspecto, y siempre tomando como base la relación costo beneficio, el
enfoque de auditoría podrá ser:
· Sustantivo(donde no se efectuará revisión de los controles generales PED ni de los controles de aplicación PED) o
·
Mixto a través del apoyo en los controles
internos contables donde, fundamentalmente, se deberá tener muy en cuenta, para
su evaluación y definición de confianza en los mismos:
· Separación de funciones y balanceo de controles
· Acceso al microcomputador y a sus archivos
·
Uso de programas (software) de propiedad de
terceros.
El
tercer complemento lo constituye el Anexo II a la NIA 6 (sección 1002
-International Auditing Practice Statements – CIS Environments-On-Line
Computer Systems), dado por el análisis del Ambiente PED en organizaciones que
utilizan microcomputadores en línea.
En
primer lugar, se debe aclarar que se entiende por computadores en línea
aquellos que, por algún medio de enlace, se encuentran comunicados de manera
tal de poder intercambiar información.
Al
respecto, se pueden diferenciar los sistemas en línea donde existe una unidad
principal de procesamiento (en general un equipo) el cual administra y
abastece las necesidades de procesamiento y comunicación de distintas
terminales (como ejemplo podemos dar a un sistema bajo sistema operativo UNIX) y
aquellos conformados por la estructura de una Red (LAN -red de área
local- o WAN –red de área
amplia-) con una o varias unidades principales o servers.
En
cuanto a las terminales, se pueden dividir en aquellas que sirven a:
· Propósitos generales (bajo la forma de terminales inteligentes o bobas y microcomputadores)
·
Propósitos especiales (como por ejemplo:
cajas registradoras, cajeros automáticos, etc).
El
procesamiento en línea admite distintas combinaciones relacionadas con el tipo
de tarea y el tiempo en que se realiza (fundamentalmente en el aspecto de
actualización de los datos de archivo principal o base de datos).
En tal sentido se puede identificar las siguientes relaciones:
· En línea / procesamiento en tiempo real
· En línea / procesamiento por lotes (batch)
· En línea / actualización de memoria (y procesamiento subsiguiente)
· En línea / consultas e indagaciones
·
En línea / proceso por descarga y carga
El
Anexo II a la NIA 6 también define los puntos a tener en cuenta con respecto al
análisis y evaluación del control interno en un sistema de microcomputadores
en línea, dividiendo a éstos entre aquellos relacionados con los controles
generales PED y los controles de aplicación PED. Entre los primeros, se hace
especial énfasis en:
· Controles de acceso
· Control sobre las contraseñas (passwords)
· Control sobre el desarrollo y mantenimiento del sistema
· Controles de programación
·
Diarios (registros cronológicos) de
operaciones
Con
respecto a los controles de aplicación PED, se deben verificar:
· Autorización previa al procesamiento
· Pruebas de edición, razonabilidad y otras validaciones sobre el terminal
· Procedimientos de corte
· Control de archivos
· Control de archivos maestros
·
Balanceos
Por último, define cuales son los puntos relevantes a tener en cuenta y que tienen efecto sobre los procedimientos de auditoría a ser ejecutados por el auditor. En este aspecto, se deben tener en cuenta:
· Autorización, integridad y exactitud de las operaciones en línea
· Integridad de registros y procesamiento
· Cambios en el funcionamiento de los procedimientos de auditoría (incluyendo TAAC) por asuntos tales como:
· Necesidad de auditores con habilidad técnica específica
· Oportunidad de los procedimientos
· Falta de huellas visibles de las operaciones
· Procedimientos en la etapa de planeamiento
· Procedimientos aplicados concurrentemente con el procesamiento en línea
·
Procedimientos aplicados después del
procesamiento en línea.
Por último, el Anexo 3 a la NIA 6 (sección 1003 -International Auditing Practice Statements – CIS Environments –Database Systems) lo constituye el análisis en particular del ambiente PED relacionado con la utilización por parte de organizaciones de Bases de Datos , incrementando y llevando a un nivel de mayor detalle los considerandos por parte del auditor con respecto a la definición de sus procedimientos de auditoría.
CONCEPTOS
GENERALES DE MUESTREO APLICADOS A LA AUDITORIA DE ESTADOS FINANCIEROS
Se
puede definir al muestreo como el proceso de inferir conclusiones acerca de un
conjunto de elementos denominado universo o población en base al estudio de una
fracción de esos elementos llamado muestra.
En orden a llevar a cabo cualquier proceso de muestreo, es necesario establecer las siguientes etapas relacionadas con su definición y puesta en práctica:
1)
Planificación de la muestra
En
esta etapa se determina los pasos a seguirse en función de preparar el trabajo
total de muestreo, interesando la definición del universo a analizar (base para
la obtención de la muestra) y evaluando características tales como la
estratificación del mismo (distintos niveles posibles de agrupamiento dentro
del universo como resultado de la identificación de distintas características
o comportamientos similares de los datos o elementos que lo componen)
También
incluye la definición de cual es el objetivo que se pretende alcanzar con el
muestreo a realizar (por ejemplo análisis de atributos de la población o
determinación de desvíos bajo la forma de valores relacionados)
Otro
de los aspectos a tener en cuenta tiene que ver con el análisis del
comportamiento probabilístico relacionado con las diferencias (desvíos) entre
los datos y su media (por ejemplo: si se comportan como una distribución normal
o curva de Gauss o si lo hacen por otro tipo de comportamiento de distribución
(S de Snedecor, etc.)
2)
Determinación del tamaño de la muestra
Partiendo
de la base que una muestra tiene por objetivo obtener conclusiones para una gran
población de elementos a partir de las conclusiones obtenidas para unos pocos,
la definición del tamaño que alcanzará esta cantidad de datos es de suma
importancia teniendo en cuenta dos elementos esenciales para su determinación:
· El nivel de seguridad que se desea alcanzar con respecto a las conclusiones que se obtendrán a partir de las muestras
·
El nivel de precisión (o error más probable
o aceptable relacionado con el universo de datos a analizar.
3)
Selección de la muestra
Desde
un punto de vista estrictamente estadístico, la cantidad de elementos que se
definan en el paso anterior deben ser seleccionados partiendo de la base que
cualquiera de los elementos del universo deben tener la misma posibilidad de ser
elegidos. En tal sentido, la
utilización de tablas de números aleatorios aplicados a la sección de
muestras, es el procedimiento más acorde para validar esta restricción.
4)
Examen de la muestra
En
cuanto a esta etapa, corresponde determinar, en función del programa de trabajo
definido, los resultados de su aplicación a los elementos elegidos en la etapa
anterior.
5)
Evaluación de los resultados
Es
de fundamental importancia analizar y evaluar los resultados obtenidos de la
aplicación del programa de trabajo relacionado con los datos seleccionados como
muestra.
Se deben identificar, fundamentalmente, que tipos de errores se han detectado y si los mismos siguen o no patrones regulares (repetitivos) o consisten en situaciones aleatorias. Cada caso requiere un análisis especial.
6)
Formulación de las conclusiones
La
última etapa de la aplicación del muestreo, corresponde a la formulación de
las conclusiones derivadas de la muestra y su proyección para todo el universo
de datos.
En
general, se deben obtener conclusiones de tipo:
“...con
un 95% de seguridad el error máximo a identificar en el lote de transacciones
analizadas no supera el 3% del total de la población...
“...con
un 95% de seguridad (o un riesgo del 5%) el valor del rubro XX no es superior a
$ xxxxxx ni inferior a $ xxxxxxxxx...".
En
realidad, cuando se aplica el muestreo a tareas de auditoría, se pueden
utilizar, en forma general dos tipos de muestreo:
· Muestreo de Atributos
Se busca determinar la ocurrencia o no de determinados atributos (en general de control o referidos a los sistemas de control interno) de los elementos seleccionados de una muestra de transacciones que tienen impacto en los estados financieros.
En
general, se aplica a las pruebas de cumplimiento (tanto del SCII como del SCIC).
En caso de obtenerse resultados negativos (valores de desvío superiores
a los establecidos como aceptables) se deben cambiar los procedimientos de
auditoría a aplicar a un enfoque sustancialmente sustantivo mediante la
aplicación de técnicas de muestreo o u otros procedimientos.
·
Muestreo de Variables
Se tiene como objetivo determinar montos (valores) máximos de desvíos de un ítem o conjunto de ítems (saldos o rubros de los estados financieros) a través de la aplicación del muestreo estadístico.
En general, se aplica a pruebas sustantivas y los valores de desvío relevantes se toman en el rango que afecta a la exposición e información a terceros del rubro o saldo analizado (por ej.: si analizamos activo, nos preocupa que el rubro no este sobrevaluado. A contrario sensu, si analizamos pasivo, nos preocupa que el rubro no este subvaluado.
Las
diferencias entre los valores de desvío proyectado para el rubro y los valores
expuestos en el mismo, deben considerarse y compararse con nuestros valores de
materialidad establecidos para los estados financieros en su conjunto o para el
componente individual, determinando así la necesidad de mejorar la precisión
del muestreo, elevar asientos de ajuste a los estados financieros o calificar
nuestro dictamen
Las pruebas de auditoría
utilizadas por el auditor, pueden basarse en medición estadística o no
tenerla.
En caso de
pruebas sin medición estadística (aplicación de un plan de muestreo
formal), el auditor realiza las distintas etapas del muestreo basándose
exclusivamente en su criterio.
Ventajas
· No exige adiestramiento especial
· Mejores en universos menores y heterogéneos
· Mayor necesidad de utilizar el criterio profesional
·
Más rápido en universos pequeños
Desventajas
· Problemas de responsabilidad civil, penal y profesional por subjetividad para la determinación de muestras
·
Conclusiones subjetivas.
En
caso de pruebas con medición estadística (aplicación de un plan de
muestreo formal), el auditor realiza las distintas etapas del muestreo basándose
en:
· Confluencia de criterio y características del universo a examinar determinan, mediante fórmulas matemáticas el tamaño de la muestra
· Selección de la muestra que excluye la subjetividad del auditor (aleatoria)
·
Evaluación de resultados para todo el
universo a partir de los valores de la muestra mediante la utilización de fórmulas
matemáticas.
Ventajas
· Menor tamaño de las muestras. Elimina la subjetividad en su determinación
· Mide la precisión de las conclusiones y el grado de seguridad con que estas pueden ser sustentadas
· Economía de tiempos en universos muy grandes
· Mayor calidad del trabajo
·
Facilita la planificación del trabajo
Desventajas
·
Requiere de un entrenamiento y comprensión
adecuados
Desde el punto de vista de las normas nacionales, no existe una definición específica de procedimientos a seguir (pautas mínimas) para conducir un trabajo de muestreo aplicado a la auditoría de estados financieros.
En el ámbito internacional, se pueden citar a la NIA 25 del IFAC y al SAS 39 (AU350) con específica aplicación en Estados Unidos.