Yirso Ynfante

La auditoría de los estados financieros.

La tecnología y la automatización de las entidades que son auditadas las hacen complejas y a la vez vulnerables antes acciones fraudulentas. El procesamiento electrónico de los datos ha permitidos que transacciones rutinarias contables y administrativas se realicen en formas más rápida y eficiente, además la tecnología impacta en la ejecución de muchos procedimientos de auditoría y ha llevado que el auditor use las computadoras para llevar a cabo su examen, trayendo como consecuencia debido a los adelantos tecnológicos que la evidencia de auditoría comprobatoria se obtenga principalmente en forma electrónica.

La naturaleza, oportunidad y alcance de los procedimientos de auditoría que se aplicaran están directamente influenciado por la complejidad de los sistemas de información, esto se debe a que los diferentes sistemas de información se encuentran en muchas entidades automatizados, por lo que auditor debe evaluar la seguridad que resguarda la integridad de la información.

Inicialmente los sistemas de información de las entidades estaban dirigidos al almacenamiento y centralización de los datos y a la capacidad del cálculo de ciertas operaciones, pero posteriormente en los sistemas se implementaron controles internos automatizados, lo que los ha hecho más complejo y en algunos casos hasta el intercambio de la información incluyendo la de tipo comercial, dejando muy atrás el uso del papel como prueba documentaria de una transacción. Todo lo descrito anteriormente hace pensar la importancia que el experto contable que realiza la auditoría tenga conocimientos solidos sobre la evaluación de los sistemas de procesamiento electrónico de datos.

Identificación y evaluación de riesgo de auditoría en un ambiente de tecnología de la información.

Las NIA, son las normas que incluyen los procedimientos que debe aplicar el auditor en la ejecución de su trabajo, permitiendo que el mismo se realice bajo estándares internacionales de calidad y con el claro objetivo de obtener la evidencia que permita opinar sobre la razonabilidad de los estados financieros. La existencia de las NIA unifica a nivel mundial el trabajo que realizan los auditores lo cual genera confiabilidad sobre la información auditada.

El enfoque de trabajo que se establecen las NIA hacen referencia a la evaluación los riesgos materiales que pueden afectarlas aseveraciones que hace la gerencia en la preparación de los estados financieros, identificar y evaluar los riesgos requieren que el auditor obtenga un conocimiento de la entidad y su entorno, así como de los sistemas contables y del control interno, el cual debe ser la respuesta a los riesgos de negocio que se hayan identificado.

Tal y como lo indica la NIA 315 (2019) “la sola evaluación de los riesgos, los procedimientos de valoración del riesgo por sí solos no proporcionan evidencia de auditoría suficiente y adecuada sobre la que basar la opinión de auditoría”. Esto significa que además de evaluarse los riegos el auditor debe identificar los controles establecidos por la gerencia para mitigar el riesgo lo cual ayudará a determinar el alcance y procedimientos de auditoría con el que finalmente se obtendrá la evidencia necesaria para justificar la opinión del auditor.

Se puede pensar que las entidades que tienen un sistema de información integrado son más confiables en cuanto a la emisión de información financiera, pero en la realidad esto no es cierto, ya que la tecnología elimina el error humano al procesar información uniformemente y con mayor rapidez las operaciones, sin embargo, errores de programación pueden hacer que las transacciones se registren en forma errada, además existe el riesgo que al ser los procesos automatizados donde no se involucra el personal del cliente puede ser susceptibles a transacciones fraudulentas, lo que hace inferir que los sistemas pueden garantizar precisión de cálculo, rapidez en la información, pero no en todos los casos la información que emiten y que se convertiría en los estados financieros pueda considerarse confiable.

Los sistemas de información que se encuentra altamente automatizados incluyen procedimientos para el registro, autorización, procesamiento, comunicación y documentación de las transacciones, los cual se traducen en diferentes riesgos para el auditor, como lo son: accesos no autorizados, fallas en los equipos, resguardo de información, documentación acorde con los requerimientos legales de país, entre otros aspectos. Para mitigar estos riesgos el auditor espera que existan controles automatizados y manuales, que permitan, detectar, corregir y monitorear en forma oportuna las transacciones.

Otro aspecto interesante en los sistemas de información es que sean tan complejos y no dejen la pista de auditoría, lo cual no sería conveniente ni para la entidad ni para los auditores, ya que las pistas de auditoria permiten el control de operaciones, reconstrucción de archivos, que pueden ocurrir por fallas de equipos, o fallas eléctricas, así como las necesidades de información que pueda tener cualquier tipo de revisor interno o externo a la entidad.

Algunos de los riesgos más frecuentes relacionados con los sistemas de información son los siguientes:

Protección insuficiente del software y hardware, este aspecto se relaciona con fallas eléctricas, fallas en los equipos, sabotaje como lo es el secuestro de datas relacionada con información operativa y financiera.

Errores sistemáticos que se originan por errores en la programación, en especial cuando los sistemas no han sido parametrizados para reconocer operaciones inusuales.

• Accesos no autorizados, esto ocurre cuando no se han establecido en forma apropiada restricciones de acceso a la información a través de contraseña e identificación de usuarios, trayendo como consecuencias acceso a información confidencial, e inclusive cambios en parametrización de sistemas, así como las autorizaciones a transacciones por niveles no apropiados.

• Segregación de funciones o tareas, es el riesgo de que funciones que antes eran realizadas en forma segregadas cuando los procesos eran manuales, de que al ser automatizados se centralicen, es decir,

que el mismo usuario realice actividades de autorización y registro contable, lo que trae como consecuencia posibles errores intencionales o no sobre las transacciones que son registradas.

• Intervención manual inadecuada en los sistemas de información.

• Calificación del personal en el manejo de los sistemas, aunque la entidad mantenga sistema de información automatizados con poca complejidad, es vital que se cuente con personal interno o externo con conocimiento suficiente en la instalación, manejo y mantenimiento de los sistemas, dependiendo de la complejidad de los sistema las entidades pueden requieren de un departamento de sistema con todas las funciones propias de la tecnología de la información (TI), que incluiría a programadores, administradores de redes, responsables de archivos, administradores de base de datos, entre otros.

En una entidad se pueden presentar hechos o condiciones que indiquen la existencia de errores significativos relacionados con la tecnología de la información, como, por ejemplo: diferencias entre las estrategias de las TI y las estrategias del negocio, instalación de nuevos sistemas relacionados con la información financiera.

La NIA 315 “identificación y valoración de los riesgos de incorreción material”, en su última revisión hace referencia a las TI y su influencia en la auditoría donde establece como prioritario la comprensión de parte del auditor de los sistemas de información incluyendo, las actividades de control y la comunicación. Para una mejor comprensión de los riesgos derivados de la TI es recomendable revisar los Anexos 5 y 6 de esta NIA.

La NIA 315 revisada en su anexo 5 denominado “Consideraciones para el conocimiento de la tecnología de la información”, hace referencia que el sistema de control interno de las entidades tiene controles manuales y automatizados lo cual va a variar según la complejidad de la TI que sea evaluada por el auditor. Claro está, que los controles automatizados son más.