7.3 Riesgos y controles de aplicación Los controles de aplicación involucran tanto procedimientos manuales y computarizados que pueden ser aplicados por los usuarios, el grupo de control de datos y los programas de computación. Una buena implantación de controles considera una aplicación del trabajo del usuario, el grupo de control de datos (si existe) y el computador para garantizar que los procesos por la aplicación produzcan información confiable. Generalmente los procedimientos manuales en las áreas del usuario se desarrollan para asegurar que las transacciones procesadas sean correctamente preparadas, autorizadas, y remitidas al centro de cómputo. El área de control de datos balancea y concilia los datos ingresados con la información de salida. La validación de datos programada y las conciliaciones sobre los datos calculados por el computador pueden ser programadas en instrucciones especiales que ejecuta el computador. Cada uno de estos controles son únicos para una aplicación específica. La siguiente figura presenta las fases principales del flujo de una transacción a través de una aplicación para su procesamiento. CONTROLES SIC Y QUIENES LOS APLICAN USUARIOS Entrada de datos Transacciones rechazadas Procesamiento Integridad de datos Entrega de información PROGRAMAS COMPUTARIZADOS GRUPO DE CONTROL DE DATOS Al inicio y final de cada una de ellas se aplican los controles de acuerdo a lo indicado a continuación: Entrada de datos, los cuales se relacionan tanto con el origen y aprobación de las transacciones, como de su ingreso y validación para el procesamiento. o Origen y aprobación de la transacción, estos controles de aplicación se relacionaran con el origen, aprobación y procesamiento de los documentos fuente y la preparación de los datos de entrada y la detección y corrección a los posibles errores. o Ingreso y validación de transacciones para procesamientos, se relacionan con el ingreso de datos ya sean remotos vía Terminal o el lotes, validación de datos, prueba y balance de transacciones y de lotes, identificación y reporte de errores y corrección y reingreso. Transacciones rechazadas que se relacionan con el tratamiento que se les de a las transacciones que son rechazadas porque no cumplen con las características requeridas para su procesamiento. Estos controles pueden ser manuales o computarizados. Procesamiento computacional, relacionados con la exactitud e integridad del procesamiento de transacciones realizadas por el computador, la validación de las transacciones contra los archivos maestros, identificación y reporte de errores. Integridad de datos almacenados, se relacionan con exactitud e integridad de los datos de los archivos maestros y fijos, ajustes correctos de los archivos maestros y de transacciones. Entrega de información, relacionados con el balance y reconciliación manual de los datos de entrada con los de salida (ambos respecto a los controles del usuario y del grupo de control de datos), la distribución de los reportes, el control sobre documentos negociables y las retenciones de datos de salida. No siempre se dará el caso que en todas las entidades existan todos los controles descritos. En algunos casos, uno de los controles descritos puede ser suficiente para reducir el riesgo a un nivel aceptable. En otros casos, probablemente sea necesaria una combinación de controles. Se puede encontrar entidades en las que no se ha implementado ninguno de los controles aquí descritos aunque cuenta con otros controles que mitigan los riesgos existentes. A continuación identificaremos en un resumen los aspectos más importantes de cada control tomando en cuenta quien es el encargado de aplicarlo: 1. Controles aplicados por el usuario a) Sobre los datos de entrada a.1. Preparación y aprobación de transacciones Riesgo: Las transacciones pueden ser indebidamente preparadas o carecer de aprobación adecuada. Control: En la preparación y aprobación de transacciones La aprobación de los datos de entrada constituye la primera etapa del control del usuario sobre los datos a ser procesados por el computador y es además un aspecto importante de la separación de funciones entre el usuario y la unidad SIC. En el caso de sistemas complejos, los programas del computador generalmente ejecutarán algunos procedimientos de autorización, tales como el control de los pedidos de la entidad, para verificar el estado de su disponibilidad de existencias. En estos sistemas, por ejemplo, un stock insuficiente hará que el computador emita automáticamente, los documentos de orden de compra correspondientes, los que servirán para iniciar el proceso de adquisición. Los procedimientos de control más frecuentes incluyen: Utilización de formularios de entrada estándar, numerados secuencialmente y controlados por el usuario. Autorización por la jefatura del departamento usuario de las transacciones de entrada significativas. Algunos errores de entrada podrán ser detectados automáticamente por los controles de validación efectuados por el propio computador. Sin embargo, no se podría esperar que estas verificaciones descubran todos los errores. Por ejemplo, una verificación en el ingreso puede revelar que por el costo de un determinado servicio prestado (luz) el depósito es incorrecto, pero no conseguiría identificar un registro totalmente ficticio correspondiente a una transacción similar, ingresada al costo correcto. a.2. Ingreso de datos al sistema Riesgo: Los datos de entrada correctamente autorizados no son procesados o pueden serlo más de una vez. Pueden procesarse transacciones correspondientes a períodos de procesamiento incorrectos. Control: En la entrada de datos al sistema. El control sobre entrada de datos correspondientes a las transacciones deben ser ejecutadas tan cerca como sea posible del lugar de su origen. Por lo general, el departamento usuario debe asumir la responsabilidad final de asegurar que todos los datos de entrada aprobados son correctamente ingresados y procesados incluyendo procedimientos como: Uso de documento de origen prenumerados. El departamento usuario debe mantener un registro de los documentos utilizados para asegurarse que los mismos serán posteriormente procesados. Deberá justificarse el extravió o anulación de cualquier documento, a fin de garantizar que únicamente las transacciones autorizadas son procesadas y la identificación de aquellas que no entraron en el proceso. Procedimientos de preparación de lotes. Los mismos podrán ser utilizados para controlar la cantidad de documentos ingresados y el total monetario o cantidad numérica de los valores críticos dentro de cada lote. Este procedimiento permite tener la seguridad de que todas las transacciones sometidas a procedimientos de preparación de lotes pueden incluir: Preparación de totales de control significativos y no significativos sobre campos. Los totales de control denominados “ciegos” son totales obtenidos mediante la suma de campos numéricos dentro de cada lote de documentos. Si bien carecen de sentido por sí mismo, estos totales son útiles en la identificación de errores u omisiones. Un ejemplo puede ser el total aritmético de los códigos de cuentas utilizadas en un lote de registros de asientos de diario. Si uno o más de los números fueron ingresados incorrectamente, el total de los códigos de cuenta no coincidirá con el total de control. Preparación y aprobación de formularios de carátula de envío/control de datos que incluyen totales de control para fines de conciliación. La aprobación de estos formularios por parte del jefe del departamento usuario permite asegurar que los procedimientos de preparación de lote fueron correctamente aplicados. Control numérico de lotes, que permite detectar lotes no autorizados e identificar lotes faltantes. Un libro de control para registrar la información referente a los lotes. Este libro debe ser llevado por el departamento usuario a fin de facilitar el seguimiento de lotes sometidos a procesamiento y detectar cualquier alteración efectuada en los lotes después que los mismos salieron del departamento usuario. Son especialmente importantes los procedimientos utilizados para garantizar que fue debidamente procesado el lote final correspondiente a cada período contable. Conciliación de los totales de entrada con los totales de salida, a fin de verificar que no hubo pérdida o adición de datos durante el procesamiento y asegurar la exactitud de los datos ingresados y procesados. La persona responsable de la conciliación no deberá tener funciones incompatibles con esta tarea como, por ejemplo, la digitación de datos. Registro por parte de los usuarios del número de lotes que contienen errores y la naturaleza de los mismos. Este registro es sumamente valioso pues los errores frecuentes o periódicos pueden indicar que no se están aplicando procedimientos apropiados. Totales de control para los documentos de entrada individuales. Si los datos de entrada no forman parte de un lote, cada documento deberá llevar totales de importes o de códigos correspondientes a los campos significativos, a fin de garantizar la exactitud de su ingreso. Verificación manual, comparando los ítems de los listados del computaador con los correspondientes documentos de entrada, uno a uno, y viceversa. Esta constituye por lo general una alternativa muy ineficiente en comparación con los controles por lote. b) Sobre los datos fijos b.1. En su modificación. Riesgo: Los datos de los archivos fijos pueden ser modificados sin autorización y afectar los resultados de las aplicaciones que utilizan esos datos. Control: Referente a la modificación de los datos fijos. Normalmente un archivo maestro contiene datos acumulados de las transacciones (saldos) y datos fijos. Los datos fijos representan información que relativamente muy pocas veces es alterada y que puede ser utilizada en cada ciclo de procesamiento e incluye datos generales de referencia (ej.: nombres y direcciones, códigos de referencia, categorías y códigos específicos), y valores contables (tasas de pago, intereses, depreciación o descuentos y costos unitarios de existencias). A menudo, en los casos en que los datos fijos son comunes a diferentes categorías de ítems (ej.: empleados, clientes, proveedores, ítems de existencias o activo fijo), los mismos serán conservados en archivos de datos separados (o en tablas), o aun incorporados en la codificación de los programas. En otros casos, los archivos maestros no siempre contendrán el total de datos fijos y si “indicadores” que señalarán en donde se encuentran. La modificación de los datos fijos puede incluir la inserción, cambio y eliminación de registros. En algunos sistemas, los registros obsoletos son borrados automáticamente por programas especiales. Ese tipo de registros puede incluir clientes o proveedores inactivos, ítems de existencia obsoletos o ex-empleados. Cada vez que son alterados los datos fijos, el cambio afectará todo el procesamiento subsiguiente hasta que dichos datos vuelvan a ser alterados. Por lo tanto debe ser cuidadosamente controlada la integridad y exactitud de los datos fijos y ese control debe ser impuesto principalmente por los usuarios. Algunos sistemas permiten que cierto tipo de datos fijos, tales como precios, descuentos o tasas de interés, no sean utilizados, en el caso de una transacción específica, debido a que ésta modifica tales datos. Esta situación deberá ser controlada tan rigurosamente como cualquier otra alteración de los datos fijos. Los procedimientos de control normalmente utilizados para los datos fijos, son: Utilización de formularios diseñados específicamente para informar modificaciones, a fin de evitar errores de preparación. Uso de formularios de entrada previamente numerados, limitados únicamente al personal autorizado, que efectuará también el control de los mismos. Preparación o aprobación de los formularios de entrada de modificaciones únicamente por la jefatura del departamento usuario. Creación de totales de control por lotes correspondientes a las modificaciones y posterior reconciliación con un listado de modificaciones. Este control por lo general resultará apropiado si el volumen de las modificaciones es relativamente alto. Un listado de todas las modificaciones procesadas. Este listado deberá ser examinado por un jefe que tenga relación directa con la preparación de las modificaciones. En sistemas complejos esta tarea estará a cargo de una función de control centralizada, en vez de corresponder al departamento usuario que originó la modificación. El alcance de la verificación de las modificaciones, desde el listado hasta los documentos de origen debidamente autorizados, dependerá del volumen de modificaciones procesadas y de la importancia de los datos fijos que fueron alterados. Autorización individual para cada una de las instrucciones de “evasión” de procesos o rutinas normales. Listado de computador de todas las instrucciones para “evitar” datos o rutinas a fin de que puedan ser examinadas por la gerencia. b.2 En su integridad y exactitud Riesgo: Los datos de los archivos maestros y tablas en el transcurso del procesamiento pueden dejar de ser exactos e íntegros. Control: Referente a su integridad y exactitud Los controles sobre la modificación de los datos fijos por el usuario no detectarán necesariamente las alteraciones no autorizadas realizadas por: Otro usuario con acceso al archivo maestro Una función de control de datos centralizada El personal SIC Por lo tanto, los procedimientos descritos anteriormente deberán ser complementados por otros a fin de verificar la permanente integridad y exactitud de los datos fijos. Conciliación de los totales de control del usuario con los totales acumulados por el computador referentes al número de registros existentes en el archivo y al contenido de campos significativos de datos fijos. Verificación de la permanente integridad y exactitud de los datos fijos en registros individuales. Para esto, será necesario obtener un listado de los totales periódicos, realizar muestreos cíclicos y consultas ad hoc sobre registros específicos, a fin de comparar con los registros manuales del usuario. La instalación de computación de la entidad podrá incluir “software” que contribuya a evitar la realización de modificaciones no autorizadas a los datos fijos. Las debilidades que puedan existir en esta área podrán tener un enorme impacto en el grado de confianza que se puede depositar en los registros contables producidos mediante la utilización de datos fijos. c) Sobre ítems rechazados y en suspenso c.1. En el rechazo de las transacciones Riesgo: Las transacciones que se han rechazado, pueden dejar de ser reprocesados o pueden serlo sin correcciones adecuadas o con una fecha contable incorrecta. Control: Referente a las transacciones rechazadas. Una determinada transacción no conseguirá pasar por el control de validación si, por ejemplo, falta el código de cuenta o si está equivocado el dígito de verificación del número de cuenta. Dependiendo de la forma en que fue proyectado el sistema, los datos de entrada no válidos o no pareados podrán: Ser aceptados por el sistema e identificados en un informe de excepciones. Ingresados a un archivo de transacciones o ítems en suspenso, dentro del sistema Rechazados en su totalidad Normalmente, cuando un dato es totalmente rechazado, el computador no retiene ningún registro sobre el mismo y, por consiguiente, ese dato tendrá que ser controlado manualmente. Por lo general, el usuario será responsable de garantizar la subsecuente corrección de tales transacciones. Los procedimientos de control incluyen: Registro manual de todos los ítems rechazados y de la realización posterior de su reprocesamiento. Este registro podrá incluir copias con comentarios de los listados de ítems rechazados producidos por el computador. Preparación de los lotes separados de ítems rechazados ya corregidos. Este procedimiento permite garantizar que todos los ítems rechazados fueron debidamente considerados. Corrección de ítems rechazados, debido a errores en los documentos de origen, realizada en el departamento usuario y su devolución para el procesamiento en condiciones normales de entrada, incluyendo la autorización. Análisis periódicos de los ítems rechazados, por orden de importancia, motivo, antigüedad y fecha de cierre. Esto permite a la dirección determinar si el rechazo fue ocasionado por procedimientos de entrada inadecuados, como también evaluar el impacto de tales errores. Procesamiento manual de datos rechazados. (ej. Preparación manual de facturas de venta u órdenes de pago). Este es un control eficiente; pero puede ser aceptable en los casos en que el volumen de ítems rechazados sea muy pequeño. En tales circunstancias los archivos de datos del computador deberán ser inmediatamente actualizados con los importes obtenidos manualmente, los cuales tendrán que ser debidamente autorizados. El mayor riesgo en ésta área es que el usuario puede desconocer que una transacción fue rechazada y, por consiguiente la misma quedará sin corregir. El hecho de que los usuarios no guarden evidencia documental de que las transacciones rechazadas son adecuadamente controladas no significa, necesariamente que los ítems rechazados no son inmediatamente corregidos y devueltos para su procesamiento. c.2 En el manejo de los ítems en suspenso Riesgo: Los ítems calificados como en suspenso pueden no ser solucionados oportunamente y si lo son pueden serlo en forma incorrecta, normalmente con fechas contables equivocadas. Control: Referentes a los ítems en supuesto. Los datos no válidos o no pareados podrán ser aceptados por algunos sistemas y conservados en un archivo separado de “ítems en suspenso”, para su posterior solución. Los principales motivos para que un ítem quede en suspenso son: Datos inválidos detectados por los programas de validación. Imposibilidad de los programas de actualización de comparar y validar las transacciones con los registros maestros. Imposibilidad de los programas de actualización de imputar créditos a transacciones pendientes en débito y viceversa. Esto ocurre comúnmente con fondos no imputados en un sistema de cuentas por cobrar. Imposibilidad de los programas de mantenimiento del archivo maestro de comparar y validar las modificaciones de los datos fijos con los registros maestros existentes. Esto puede dar como resultado la creación automática de registros falsos. En la práctica lo más frecuente es que los ítems sean mantenidos en suspenso, porque el programa de actualización no consiguió procesarlos por causa de datos no válidos. Los ítems en suspenso podrán ser conservados dentro del sistema en una o más de las siguientes maneras: En archivos físicos separados En registros (especiales) en suspenso dentro de los archivos maestros. Junto con los otros registros de los archivos maestros pero identificados por indicadores o marcas que determinan que los mismos corresponden a diferentes tipos de transacción. Por lo general, existe un riesgo menor en la corrección de transacciones no válidas o no pareadas cuando se utiliza un archivo en suspenso, que en los sistemas en que las transacciones erróneas son aceptadas para procesamiento y luego identificadas para su posterior corrección en un informe de excepciones. La eliminación de ítems en suspenso podrá ser realizada automáticamente por el computador, después de las modificaciones necesarias en los datos fijos o por medio de ajustes preparados por el usuario. En ambos casos, el usuario deberá ser el responsable final del procesamiento correcto de los datos. Al respecto, los procedimientos de control a los que normalmente se somete el procesamiento son: Entregar los documentos utilizados para imputar, transferir o dar de baja los ítems en suspenso por lo menos a los mismos controles autorizados para todos los otros documentos de entrada. Tales como documentos deberán estar debidamente resguardados, autorizados y verificados por la jefatura del departamento usuario. Conciliación del movimiento de ítems en supuesto con los informes de actualización de cada ciclo de procesamiento. Verificación de todos los ajustes ordenados por los usuarios contra los documentos de entrada autorizados. Prueba manual de un muestreo de ajustes generados por el computador. Investigación de los ítems informados por el sistema que muestren excepciones (ej. Ítems pendientes muy antiguos y valores importantes), a fin de determinar si se tomaron las medidas correctivas adecuadas, especialmente en lo concerniente al corte contable. d) Sobre los datos de salida Riesgo: Los datos de salida pueden tener irregularidades o errores Control: Sobre la validez de los datos de salida. Los programas de aplicación incluirán, generalmente, la función de imprimir totales de control durante las diferentes etapas de procesamiento, incluyendo cada uno de los informes finales de salida. Estos totales deberán ser conciliados por los usuarios con sus propios totales de control, desarrollados manualmente, a fin de garantizar que los datos de entrada fueron correctamente procesados y que los datos acumulados del ciclo de procesamiento anterior fueron correctamente actualizados. Además deberán incluirse controles de programa a programa en cada aplicación, a fin de que el propio sistema de computación pueda verificar si todos los datos de entrada y los datos generados fueron procesados en forma completa, a través de todas las etapas. Estos procedimientos de conciliación deben tener en cuenta los rechazos, los ítems en suspenso y la actualización de más de un archivo. Los usuarios responsables del examen y conciliación de los datos de salida no deberán tener ninguna otra responsabilidad que pueda resultar incompatible con el control de salida, como por ejemplo la digitación de datos. En los casos en que la salida tome la forma de instrumentos negociables o de autorización para la emisión de pagos, se deberán adoptar controles adicionales. A veces se hace uso de computadores para generar cheques, certificados de intereses o de dividendos, documentos pre firmados, etc. Generalmente los buenos controles de entrada y salida van juntos. De ahí que la debilidad de uno de ellos neutraliza la eficacia del otro. Los procedimientos de control se pueden resumir en: Conciliación de los movimientos del archivo maestro contra los totales llevados manualmente por los usuarios, a fin de garantizar que el total de los datos acumulados en el ciclo anterior (incluyendo los ítems en suspenso del ciclo anterior) más los datos de entrada del ciclo actual, es igual al total que resultó al final del procesamiento del ciclo actual. Conciliación de los datos de salida generados por el computador y de los subtotales de control con los totales de control de entrada, para garantizar que todos los datos entrados fueron adecuadamente procesados. Conciliación del total de ítems de entrada aceptados, conforme al resumen de los informes de validación y de cualquier dato generado por otros programas, contra el informe de actualización de archivos, a fin de asegurar que todas las transacciones aceptadas fueron procesadas. Conciliación del movimiento entre dos actualizaciones con las transacciones entradas o generadas, para garantizar que fueron procesados los archivos correctos. Es decir el total del final del ciclo anterior es igual al total inicial actual (control de ciclo a ciclo). Verificación de otros totales del computador Totales de programa a programa, en los sistemas que utilizan varios programas en secuencia para realizar todo el procesamiento de los datos. Totales de salida relacionados entre sí, por ejemplo, análisis de antigüedad de cuentas a cobrar y el listado de las mismas, registro de facturas y el informe de actualización del mayor de ventas. Procedimientos para registrar la distribución de informes de salida confidenciales únicamente a las personas autorizadas. Uso de documentos negociables controlados numéricamente, los que estarán adecuadamente protegidos en todo momento. Examen, por parte de la gerencia, de los documentos de salida (instrumentos negociables) preparados automáticamente. Todos los instrumentos deberán ser refrendadas fuera del Departamento SIC. Especificación del período de conservación de los documentos de origen, archivo de datos, microfilmación de documentos de salida del computador y listados del mismo. Tales períodos deberán estar de acuerdo con los objetivos de operación de la entidad o empresa, y al mismo tiempo, cumplir con las exigencias legales en vigor. Será necesario contar con archivos y referencias cruzadas adecuadas de los documentos fuente y de salida del computador. Control presupuestario Procedimientos adecuados para determinar condiciones de excepción y para el manejo de los informes de excepción, incluyendo informe de datos no válidos o no pareados, que fueron aceptados para procesamiento. El usuario debe asegurarse que el criterio empleado para informar las excepciones deberán tener fecha, contener comentarios sobre el tipo de medidas adoptadas y guardadas en un archivo. Examen de los listados impresos por el computador por parte de la gerencia, para verificar si los mismos son razonables y detectar cualquier error obvio de procesamiento. 2. Aplicados por el grupo de control de datos a) Sobre los datos de entrada Riesgo: Los datos de entrada una vez aprobados por el usuario, pueden no ser procesados oportunamente o pueden procesarse las transacciones más de una vez. Control: Sobre los datos de entrada. En algunas de las instalaciones de computación de mayor tamaño existe una función separada para el control de datos. Por lo general, esta función formará parte de la unidad SIC y será responsable de garantizar que: Los datos de entrada son correctamente controlados cuando pasan del departamento usuario a la unidad SIC y durante su permanencia en este último. Únicamente son procesados los datos de entrada provenientes de fuentes autorizadas. Los datos son oportunamente procesados. Los informes de salida se distribuyen oportunamente y entre las personas autorizadas. El requisito básico de esta función es asegurar que los datos son controlados y están debidamente protegidos contra cualquier agregación o eliminación no autorizada, desde su origen hasta su informe final. Esto podrá ser conseguido mediante el uso de controles impuestos por el usuario, por la unidad SIC o por un grupo de control a través de una función de control de datos que únicamente será considerada por el auditor si no existe un control del usuario adecuado sobre los datos de entrada. Generalmente los procedimientos de control implantados por este grupo son: Llevar un libro de control de datos en el cual se registrará la fecha en que los datos fueron recibidos para procesamiento, la fecha en que éste fue completado, y la fecha y hora en la que fueron enviados los informes de salida a los usuarios. Verificación de la numeración secuencial de los lotes a fin de comprobar la existencia de lotes extraviados o duplicados. Verificación de que las transacciones de entrada fueron debidamente autorizadas (cotejo de firmas autorizadas) Anulación de documentos de entrada a fin de impedir la duplicación de su procesamiento. Registro de los ítems de entrada rechazados para su posterior seguimiento y devolución a la unidad SIC. En los casos en que ni los Usuarios ni el Departamento SIC o la función de Control de Datos ejecute tales procedimientos de control, no se podrá confiar en la exactitud o integridad del procesamiento de datos. Por consiguiente, se necesitará aumentar el alcance de los procedimientos de auditoría, tales como pruebas de corte y verificaciones detalladas de las transacciones. b) Sobre los datos de salida Riesgo: Los datos asignados en el proceso computacional pueden tener errores o ser sujetos a mal uso por personas no autorizadas. Control: Sobre los datos de salida. Después de que la unidad SIC ha procesado todas las transacciones, los informes de salida junto con los documentos de entrada serán devueltos directamente al grupo de control de datos. Este grupo deberá asegurarse que el procesamiento fue integralmente realizado antes de pasar los informes de salida a los usuarios o a terceros. Para ello, los procedimientos de control incluirán: Conciliación de los totales de salida con los de entrada, datos acumulados (en archivos) y controles intermedios de procesamiento, antes de la distribución de los informes de salida. Si bien el usuario tiene la responsabilidad final de la integridad y exactitud del procesamiento de los datos, el grupo de Control de Datos normalmente ejecutará esta conciliación preliminar a fin de evitar la entrega a los usuarios de documentos de salida con errores obvios. Procedimientos especiales para el envío de informes de salida confidenciales a la gerencia del departamento usuario correspondiente. Inspección detallada de los informes de salida que serán enviados directamente por el grupo de control de datos a terceros. (ej. Facturas de venta, renovación de primas de seguros o pagos), a fin de detectar errores obvios. 3. Aplicados por los programas computarizados a) Sobre los datos de entrada a.1 En la digitación de los datos Riesgo: Los datos pueden ser ingresados al computador en forma errónea. Control: En la digitación de los datos La digitación de los datos representa el proceso de transferencia de datos de los documentos de entrada preparados manualmente a un formato aceptado por el computador. Actualmente se realiza vía terminales. En un sistema convencional de procesamiento por lotes los recursos preparan lotes con los datos de entrada que son luego enviados al departamento SIC para su procesamiento. En ese departamento los lotes serán recibidos y registrados por el grupo de control de datos antes de ser enviados a digitación. Sin embargo, en algunos sistemas la digitación de datos podrá ser realizado dentro de los propios departamentos usuarios y únicamente serán enviados al departamento SIC los datos ya registrados en medios magnéticos (diskettes o líneas de comunicación). Los procedimientos de control incluyen: Instrucciones escritas especificando las exigencias de la digitación de datos para cada tipo de transacción de entrada, o de modificación de datos fijos. Instrucciones escritas incluyendo una muestra de todos los documentos fuente utilizados. La exigencia de realizar la verificación de los campos de entrada importantes. La verificación se realiza mediante una nueva digitación de los datos a fin de controlar la exactitud de la primera transcripción. Si existen diferencias entre el producto de una operación y el de la otra, el registro es rechazado y deberá ser reingresado. Es posible que los empleados pasen por alto los procedimientos de verificación. La mejor forma de limitar este riesgo es mediante una adecuada supervisión. Anulación de los documentos fuente, a fin de evitar que sean digitados dos veces. Registros de los documentos fuentes recibidos. Supervisión del trabajo de digitación de datos. Acceso restringido a los documentos fuente Uso de dígitos de verificación. El “dígito de verificación” es un dígito adicional, agregado a los diversos campos (tales como códigos de cuenta, etc.). Como parte del programa de validación de datos, el computador ejecutará un cálculo basado en los dígitos y si uno de ellos fue ingresado erróneamente, el computador no conseguirá obtener el mismo resultado para el dígito de control y el programa rechazará, por lo tanto, los códigos de cuenta que no sean válidos. La digitación de datos es un procesamiento mecánico necesario en la mayoría de los ciclos del procedimiento de datos. Sin embargo, ésta no constituye con frecuencia el área de mayor preocupación para el auditor. Se podría decidir confiar, por ejemplo en los controles del usuario y el procesamiento de datos sobre la integridad y exactitud de los mismos. Actualmente, muchas entidades confían menos en los controles de digitación y más en los de validación de datos para garantizar la exactitud de la información entrada en el sistema. Por consiguiente, si los controles de digitación de datos son débiles probablemente se debe investigar si existen controles compensatorios de validación. En el caso de no existir estos últimos la información contable podría no ser confiable. Otro posible control requiere que el usuario verifique visualmente la información antes del procesamiento. Los datos son ingresados y aparecen en la pantalla de una terminal o en un listado, pero no serán procesados hasta que el operador de la terminal confirme al computador que los mismos fueron ingresados correctamente, o el usuario informe a operaciones del computador la adecuación de los datos de entrada. a.2 En la validación de los datos Riesgo: Los datos pueden ser ingresados al computador en forma inexacta o incompleta. Control: Validación de los datos de entrada. En los programas de computación es necesario incluir controles capaces de detectar datos incorrectos y evitar que los mismos sean procesados. Estos controles comúnmente se denominan “controles de validación” y pueden incluir: Controles de formato para garantizar que cada campo contenga solamente datos numéricos o alfabéticos, dependiendo del tipo de datos. Pruebas de falta de campos para garantizar que todos los campos correspondientes han sido ingresados. Controles de límite de razonabilidad para garantizar, por ejemplo, que los salarios por hora no excedan un determinado importe o que el total de horas trabajadas no exceda el total de horas disponibles. Pruebas de combinación o correlación de campos a fin de comparar los datos y verificar su razonabilidad según los criterios incorporados en el programa de computación. Por ejemplo, un sistema de liquidación de sueldos podrá incluir un control que no permita efectuar pagos de horas extras al personal ejecutivo. Pareo de registros para comparar las transacciones de entrada con los registros de los archivos maestros, basándose en los códigos de cuentas, partida presupuestaria de cada empleado, código de cada inventario de los diversos ítems y otros. Control de procesamiento duplicado, a fin de identificar el ingreso de números de secuencia repetidos. Controles de cuadre o balanceo, a fin de garantizar que ciertas transacciones queden en cero, por ejemplo, registros de débitos y créditos en el diario. Control de conciliación de lotes, que involucra el cálculo y cotejo de totales de control contra los contenidos en las carátulas de envío/control de lotes. La falta de controles de validación de datos podrá ser compensada por controles del usuario, o del Grupo de Control de Datos sobre la autorización de los datos de entrada, examen de los datos de salida y conciliación detallada de los datos de entrada y salida. La verificación manual de los datos de salida, ítem por ítem, puede también ser una alternativa eficaz de control del usuario pero, por lo general, es un método ineficiente. Cuando no existan controles de compensación para debilidades en la validación de datos, no se podría confiar en la exactitud de los datos aceptados y procesados. En tales casos, el alcance de los procedimientos de auditoría deberían ser incrementados. b) Sobre los ítems en suspenso Riesgo. Los datos en suspenso pueden no ser identificados adecuadamente y pueden no ser resueltos en el tiempo apropiado. Control: Sobre los ítems en suspenso. Se puede considerar los siguientes procedimientos: Controles programados para garantizar el pareo de los registros en suspenso con los registros maestros, en ciclos de procesamiento posterior y eliminación del archivo de partidas en suspenso de todos los ítems pareados. Impresión de un listado de todos los movimientos que afectaron a los registros de ítems en suspenso, a fin de dejar una evidencia de auditoría perfectamente definida. Los movimientos registrados por medio de controles manuales y aquellos generados por el computador deben ser llevados en forma separada, tanto en los archivos de datos como en los listados. Controles de actualización, a fin de garantizar que los totales de control iniciales y finales pueden ser conciliados. Informes de excepción emitidos en forma regular, señalado los ítems con valores anormalmente altos y muy antiguos. Análisis regulares de antigüedad de todos los ítems pendientes. Utilización de programas especiales para acceder a los archivos con ítems pendientes, con la finalidad de obtener un listado de todos los ítems en suspenso, tanto en forma total como parcial, cada vez que sea solicitado. Los controles del usuario sobre la entrada, modificación de datos fijos y salida pueden a veces compensar la falta de controles adecuados incorporados en el programa referente a los ítems en suspenso. Si los usuarios concilian los datos de entrada y los totales de control de los lotes, generados en forma manual, con los totales de control de salida será muy difícil que cualquier transacción importante, erróneamente incluida en el archivo de ítems suspenso, pueda pasar inadvertida. Se debe considerar la oportunidad de los controles compensatorios del usuario, a fin de tener la seguridad de que los ítems en suspenso sean posteriormente incluidos en los registros apropiados del período contable correspondiente. c) Sobre el procesamiento computarizado c.1 Conciliación de totales significativos Riesgo: Los procesos pueden ejecutarse en relación con archivos de datos incorrectos y luego del proceso computacional, los archivos pueden dejar de estar balanceados. Control: Controles de procesamiento para cuadrar o balacear los archivos de transacciones y maestros. Los controles de conciliación del archivo sirven para garantizar la exactitud de los resultados del procesamiento de datos. Los totales de control son establecidos por un programa y transferidos a un registro de control dentro del archivo de datos. Estos controles son luego verificados por los programas siguientes, a fin de garantizar que toda la información correspondiente sea correctamente procesada a través de todo el ciclo de procesamiento. Los controles de conciliación normalmente incluirán verificación del rótulo de encabezamiento y del registro de control: El rótulo de encabezamiento es un registro al comienzo del archivo que contiene generalmente, el nombre del archivo, la fecha de su creación y de su vencimiento (la fecha en que el archivo puede ser borrado o eliminado mediante la grabación de otro en su lugar). El registro de control generalmente contiene el número total de registros y el valor de los mismos y de los totales de control del archivo. Podrá también existir un registro de cierre, al final del archivo, que contendrá una señal de fin del mismo y el número de registros incluidos en éste. Los controles de rótulo de encabezamientos y de registro de cierre son efectuados normalmente por el software de base. Si bien estos procedimientos de control son realizados por el propio computador, es importante que el usuario o el grupo de control de datos también efectúe una verificación de los totales de control acumulados contra los totales calculados manualmente. Los procedimientos de control incluyen: Controles de balanceo incorporados en el programa para verificar que: o El saldo de apertura del ciclo manual de procesamiento es igual al saldo de cierre del ciclo anterior (controles de ciclo o de programa a programa). o El saldo de apertura más el total de las transacciones procesadas es igual al saldo de cierre del ciclo actual (controles de actualización de archivos). o El saldo final del primer programa o etapa de procesamiento dentro del ciclo actual es igual al saldo de apertura más las transacciones procesadas en la primera etapa del procesamiento y así sucesivamente a través de cada etapa del sistema (controles de programa a programa). o La sumatoria de los saldos individuales por registro, después de la actualización es igual al saldo en el registro de control del archivo (controles de lectura y acumulación). Controles de rótulo de encabezamiento, mediante los cuales el programa que lee el archivo verifica si ha sido utilizado el archivo correcto comparado su nombre y el del programa y la fecha de su creación con los datos suministrados por el área que preparó el trabajo dentro del departamento de procesamiento de datos. Registro de control o control de registros de cierre, mediante el cual el programa que efectúa la lectura o procesamiento del archivo calcula en forma independiente el número de registros contenidos en el archivo y su valor. Estos totales son luego comparados con los registros de control o de cierre, para garantizar que el archivo fue correctamente procesado en su totalidad. Indicación de los procedimientos a seguir para el caso en que los totales de control no pueden ser balanceados, los mismos que pueden incluir: o Interrupción inmediata del procesamiento o Informe al usuario sobre las discrepancias para que pueda investigar las causas de esta situación mientras continúa el procesamiento. Si no existen registros de control del archivo, el número total de las transacciones y sus respectivos valores deberá ser comunicado al final de cada actualización, de modo que se pueda realizar la conciliación manual de los mismos. Si la entidad no cuenta con controles para balancear archivos, podría ser necesario aumentar el alcance de los procedimientos de auditoría. c.2 Evidencia de auditoría Riesgo: El proceso computacional puede no dejar evidencia de auditoría. Control: Evidencia de auditoría Se debe buscar que los controles permitan seguir cada transacción a través de las diferentes etapas del procesamiento, desde la emisión del documento fuente hasta cada uno de los documentos de salida y localizar ítems incluidos en los totales del computador. Una evidencia adecuada con respecto a los datos de entrada y a los generados por el sistema es importante tanto para el usuario como para los auditores. Esa evidencia puede ser visible (registros impresos, microfilm y microficha producida directamente por el computador – COM – “computer output microfilm”), o invisible (almacenamiento en medios magnéticos). En algunos sistemas SIC el cálculo de totales o realización de análisis importantes es efectuado sin conservar un registro detallado de los cálculos intermedios realizados. Esta pérdida de la evidencia invisible normalmente ocurre con los de análisis de antigüedad de cuentas a cobrar o previsiones correspondientes a intereses devengados o primas a cobrar. La disponibilidad de evidencias de auditoría dependerá de la política de la empresa en relación a la retención de los listados, COM y documentos fuente (para evidencias visibles), y archivo en disco o cinta magnética (para evidencias invisibles). En algunos sistemas, los archivos históricos de las transacciones son actualizados y conservados en cinta magnética o disco por un determinado período de tiempo. Sin embargo, no siempre se utilizan archivos históricos. Los procedimientos de control incluyen: Identificación de cada documento mediante un número exclusivo secuencial o de lote, para facilitar el seguimiento desde la entrada hasta la salida del computador. Cuando esta identificación es asignada con posterioridad a la preparación de los documentos fuente, la misma deberá ser anotada en el documento fuente para fines de referencia cruzada. Listados diarios o periódicos de todos los datos de entrada y transacciones procesadas. Estos podrán ser informes detallados de transacciones y podrán incluir estos listados. Informe sobre los totales de control del archivo maestro después de la actualización, para permitir su conciliación por el usuario. Generar un informe detallando el número total de registros procesados por cada programa, cuando no se imprimen listados completos de las transacciones procesadas o de los ítems incluidos en los totales de resumen. Una política bien definida con relación a la conservación de documentos fuente, listados de computador, microfilmación y archivos en discos o cinta magnética. En los casos en que la evidencia de auditoría sea afectada por las características del sistema, el rastreo manual de los datos de entrada hasta la salida no se resultará posible o práctico y podamos necesitar utilizar procedimientos adicionales de auditoría, tales como el uso de técnicas de CAT. En algunos casos, será posible que tanto los usuarios como los auditores soliciten listados totales o parciales de las transacciones, saldos, etc., utilizando programas de consulta de la propia entidad.