ENSAYO: BOLETIN 3140 Efectos de la tecnología de información en el desarrollo de una auditoria de estados financieros AUDITORIA 1 CONTADURIA PUBLICA 6° SEMESTRE ECONOMICOS ADMISTRATIVOS A 17 DE MAYO DE 2009 Boletín 3140 Efectos de la tecnología de información en el desarrollo de una auditoria de estados financieros Para los efectos de las técnicas de información en la auditoria de estados financieros el auditor tiene que estudiar y evaluar para que de este modo poder determinar el grado de confiabilidad que se debe depositar en dicho trabajo, deberá documentar adecuadamente sus conclusiones sobre el efecto de la TI en sus pruebas de auditoría; cuando está involucrada una computadora de cualquier tipo en actividades que puedan afectar la confiabilidad de la información financiera de importancia de la auditoria, tales como el inicio, autorización registro, prevención y detención de fraude. El objetivo y alcance general de una auditoria no cambia en un ambiente de TI, el uso de una computadora modifica la entrada de datos, el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. Asimismo el auditor deberá considerar que si necesita de habilidades especialidades en TI en una auditoria para obtener una comprensión suficiente de los sistemas de contabilidad; también buscara la ayuda de un profesional si requiere de dichas habilidades el cual puede ser interno o externo, lo que significa que está obligado a efectuar su revisión utilizando todos los elementos que le permitan asegurarse de que la información financiera a dictaminar se proceda adecuadamente. El auditor debe considerar el impacto que tiene un ambiente de TI en estados financieros, se debe adquirir suficientes entendimiento de los sistemas de información financiera y de control interno que le permita planear la auditoria y elaborar un enfoque de la misma. Se debe tener suficiente conocimiento de TI para planear, dirigir, supervisar y revisar el trabajo realizado asimismo se debe entender la importancia y complejidad de las actividades de TI y la disponibilidad de la información que se utilizara en dicha auditoria como también el auditor deberá diseñar pruebas de auditoría sustantivas que consideren apropiadamente los riesgos de control identificados, incluyendo el uso de programas de recuperación y análisis de datos. Efectos de un ambiente de TI en la planeación de auditoria Para que el auditor pueda planear deberá obtener una comprensión de la importancia y complejidad de las actividades de la TI, de igual forma incluir asuntos como: • la importancia relativa de las aseveraciones a los estados financieros, se puede considerar como compleja una situación • por el volumen de transacciones, será difícil de identificar y poder corregir errores en el procesamiento • La computadora genera transacciones de importancia relativa. • La computadora desarrolla cálculos complicados de información financiera de la misma forma puede generar transacciones automáticas. • Las transacciones son intercambiadas electrónicamente. Efectos de un ambiente de TI en la evaluación de los riesgos de auditoría. El auditor debe entender el ambiente de TI y su influencia en la evaluación de riesgos inherentes y de control, así como en las consideraciones que deben realizarse sobre efectos de fraude tales como: Esquemas de seguridad y registros de transacciones. Procesamiento uniforme de transacciones. Falta de segregación de de funciones. Errores e irregularidades potenciales. Disminución de la participación del personal. Iniciación o ejecución de transacciones. Dependencia de otros controles del procesamiento por computadora. Posibilidad de mayor supervisión por parte de la administración. Potencial para el uso de técnicas de auditoría con ayuda de la computadora. Los riesgos inherentes y los riesgos de control en un ambiente de TI pueden tener tanto un efecto general como especifico por cuenta; en la probabilidad de aseveraciones erróneos importantes, como sigue: Los riesgos pueden resultar de deficiencias en actividades generales de TI, por ejemplo; el desarrollo y mantenimiento de programas, el soporte a programas de computo o a sistemas, las operaciones, la seguridad física, la seguridad lógica y el control sobre utilería restringidas. Efectos de un ambiente de TI en los procedimientos de auditoria Para reducir el riesgo de auditoría a un nivel aceptablemente bajo, el auditor debe planificar sus procedimientos de auditoría considerando el ambiente como TI, para ello, debe de llevar un curso de computación para adquirir suficiente información relativa a la organización. Debe de conocer y documentar detalladamente las actividades y controles, manuales y automatizados que afectan el siclo. Los objetivos específicos de auditoría no cambian en un ambiente manual o por computadora, por esto puede haber una combinación entre ellos. Consideraciones que deben hacerse en un ambiente de riesgos TI El uso de la computadora puede dar como resultado el diseño de sistemas que proporcionen menos evidencia documental que aquellos que usan procedimientos manuales, así también falta de rastros visibles de transacciones ya que en un sistema manual normalmente es posible seguir una transacción a través del sistema examinando los documentos fuente, libros de cuenta, registro, archivos y reportes. Falta de datos de salida visible, en otros sistemas de TI, los resultados del procesamiento no pueden imprimirse, o puedo imprimirse solo datos resumidos. Facilidad de acceso y fuente de datos de computadora que a su vez pueden ser alternados, en su ausencia de controles apropiados, existe un potencial mayor para el acceso no autorizado y la alteración de datos y programas por persona dentro o fuera de la entidad. Consistencia en el funcionamiento, no se toma en cuenta un programa de computadora que no esté probado ya que puede procesar en forma consistente las transacciones u otros datos de forma errónea. En el manejo de control interno en un ambiente de TI se toman en cuenta dos procedimientos los cuales pueden ser: • Procesos manuales. • Procesamientos integrados por programas de computadora. Los objetivos generales de control interno son: • Objetivos de autorización, son todas las operaciones que son autorizadas por la administración • Objetivos del procesamiento y clasificación • Objetivos de salvaguarda física • Objetivos de verificación y evaluación de los saldos que se informan en los estados financieros Los controles que intervienen en un ambiente de TI se dividen en: • Generales provean de un soporte para que las transacciones sean confiables de aplicación esto se refiere a operación de computadora incluyendo entrada proceso y salida de datos Controles generales Refiriéndose a los controles generales se les debe proporcionar un nivel razonable de certeza de que se logran los objetivos de este control, como son: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, y confiabilidad de la información financiera los cuales pueden incluir: • Seguridad física y ambiental • Controles de organización y administración • Desarrollo de sistemas de aplicación en controles de mantenimiento • Controles de operación de computadoras y de seguridad • Controles de software de sistemas • Controles de entrada de datos y programas