C.P.C. Fernando Holguín Maillard
Socio de Auditoría y Calidad
BHR Enterprise Worldwide México
fholguin@rdcmx.com

Una de las flechas que más apunta al auditor son las Tecnologías de Información (TI). Es un riesgo en el cual debe poner toda su astucia profesional y técnica para no caer en una confianza inadvertida

El talón de Aquiles
En números anteriores, el suscrito escribió los principales acosos de riesgo en el trabajo del auditor; uno de ellos, además de auditar el futuro (las estimaciones), son las TI, la computadora, una amenaza o una bendición.
Profesionales connotados mencionan los riesgos, no del auditor, sino de la administración, de que debe poner los controles para que las aseveraciones (manifestaciones) de los estados financieros no tengan amenazas de que contengan errores (incluyendo fraudes) importantes y que el auditor debe conocerlos, evaluarlos y probarlos para asegurar que la información financiera no contenga errores o fraudes de importancia.
Obviamente, TI produce la información que forma las aseveraciones en los estados financieros; de aquí que el objetivo de este artículo, sea orientar para tener un enfoque en el examen de TI, sobre todo para los estudiantes y colegas que inician su práctica. Esperamos presentarlo de una manera sencilla y ágil sin llegar a las profundidades técnicas.

Auditor, conoce a tu cliente
Antes de conocerlo por su giro y nombre, el auditor debe tener una idea de los riegos a los que se enfrenta y ligarlos con las TI; debe investigar las características de su cliente por medio de sus contactos, socios, Internet, página Web, etcétera. Debe entender, de manera global, el riesgo circundante del giro e iniciar, intuitivamente, la planeación de su trabajo conectado a TI. Motivo de este artículo.

¿Cómo le hace?
Aun cuando sea una auditoría recurrente, pregúntale al responsable del negocio (una vez teniendo en mente los riesgos de que las aseveraciones en los estados financieros no sean las correctas) y te sorprenderá que tengas el primer elemento para construir la planeación de la auditoría y del efecto de TI en la información financiera que tendrá que auditar.
Pregúntale:
Uno de sus principales riesgos son sus cuentas por cobrar, muchas, a clientes consumidores directos, pocas garantías, varios centros de facturación y cobranza, pagos por Internet, sobre todo, las TI cómo aseguran que todo lo embarcado se factura, que se registra en tiempo, y que los informes que aparecen en pantalla son confiables para tomar decisiones, informes de excepción, de antigüedad, que los cobros lleguen a la cuenta correspondiente –una sola vez y bien– sobre todo que las TI basadas en ERP que elimina algunas partidas bajo ciertos parámetros (facturas pagadas), modifica otras (como agregar intereses), calcula (como los impuestos) sin dejar huella visible, cómo se asegura de que eso funcione adecuadamente.
Contesta:
Todos los lunes tengo junta con mis ejecutivos, discuto los problemas de facturación, cobranza, revisamos a conciencia las cuentas de más de un mes, tenemos planes inmediatos para la cobranza difícil, más de dos meses la enviamos a los abogados, estimamos un 50% de la cartera de más de dos meses y al tercer mes estimamos todo.
Respecto a su pregunta de las TI, contesta:
Hay un comité de TI con un plan definido de revisión de controles (según el Boletín 3140 del IMCP, Efectos de TI en el Desarrollo de una Auditoría de Estados Financieros), periódicamente contratamos a auditores en informática certificados en ISACA, siguen el COBIT, se discuten sus informes, se implementan, se invierte en nuevos productos tecnológicos, etcétera.
Pero él puede contestar:
Esas funciones se las dejo a mis gerentes y encargados, ellos me informan en las juntas, cada mes, de los problemas existentes, les dejo el trabajo del seguimiento de las cuentas atrasadas para que establezcan las estimaciones, implementen controles TI, contraten a los auditores CICAS, etcétera.
Ambos casos son dramáticos en el enfoque que tendrá el auditor en sus alcances y oportunidad de sus pruebas para obtener la evidencia adecuada y persuasiva de que la información en TI es estable, completa, integra y de que no hay riesgos de errores y fraudes significativos. Obviamente, la segunda es una circunstancia que le hará pensar que hay mayores riesgos, ejercer una cuidadosa planeación y aplicar procedimientos especiales (sofisticados) para probar la integridad de la información que será la base de su opinión y juzgar desde un inicio si no tendrá limitaciones a su alcance que lo lleven a una salvedad o abstención.

Reglas sencillas
Por lo tanto, el auditor puede usar ciertas guías que ayudan para establecer su planeación.

IRCA
Determinar:
Importancia de la partida (saldo-transacción-revelación), siguiendo las fórmulas de análisis financiero y se dedique a las partidas significantes y no se distraiga con las que no son.
+ Riesgo. Inmediatamente reconocida la partida, es importante determinar los riesgos inherentes que produzca errores o fraudes que ocasionen que las manifestaciones en los estados financieros sean incorrectas; si la partida es importante y tiene riesgos, el grado de las pruebas tiene que aumentar necesariamente (nuestros boletines de auditoría tienen conceptos para determinar y medir los riesgos).
– Control. Después de haber determinado la partida importante y de sus riesgos implícitos, el auditor debe buscar qué controles ha implementado la administración para mitigar y evitar los errores y fraudes (también nuestros boletines de auditoría ofrecen conceptos para determinar estos controles y, sobre todo, evaluarlos, principalmente, el 3140).
= Auditoría. Con base en esta trilogía de elementos de “importancia (más) riesgo (menos) controles”, el auditor establece procedimientos específicos de auditoría con el alcance y oportunidad necesaria en las circunstancias para asegurar que errores y fraudes de importancia serán localizados.
En el caso hipotético anterior el auditor está frente a un TI sofisticado sobre partidas de importancia que le producen riesgos y que debe aplicar procedimientos específicos sobre los controles y sobre la misma información que le produzca evidencia adecuada de que esta es confiable.
Pero, en el segundo caso, en que la administración delega ciertas funciones importantes, el auditor debe extender sus procedimientos y no caer en confianza inadvertida de la posible existencia de errores y fraudes que motiven que las aseveraciones en los estados financieros sean inexactas. Debe entender que puede tener una limitación importante en su trabajo y así manifestarlo en su dictamen.

Uso de especialistas
Desde luego, todo depende de las TI involucradas, si es simple, complejo o sofisticado y debe tener la suficiente habilidad (y humildad) para asesorarse con auditores en informática, básicamente para dos propósitos:

• Que le ayuden a evaluar el TI, usando los lineamentos del Boletín 3140 y otros marcos de referencia que le indiquen los riesgos de errores y fraudes importantes.
• Con base en lo anterior, que le ayude a planear las pruebas necesarias, tanto manuales como de la integridad de la información, utilizando programas especiales como ACL e IDEA o sea, las TAAC (Técnicas de
• Auditoría Auxiliadas con la Computadora) y, sobre todo, le confirme los resultados obtenidos.

De forma global, lo primero es conocer a su cliente (estructura del control interno), donde las TI son medulares para la evaluación y prueba de los sistemas; cubriendo, básicamente:

• Organización.
• Equipos.
• Sistemas.
• Controles generales y específicos.
• Comunicaciones.
• Seguridad física y lógica (desastres, simulacros, hackers).
• Control cambios en los sistemas, documentación, actualización, etcétera.
• Evitar la centralización de funciones.
• Monitorio (auditorías especializadas).

IPO
Sigue siendo válido evaluar los controles de las TI, junto con lo anterior, desde el punto de vista de:

• Input. Controles de que lo que entra, directa, remotamente, entre bien solo una vez.
• Proceso. Controles que aseguren sistemas: programas estables, seguros, descentralizados, controles de cambio, etcétera.
• Output. Lo que salga sea válido, oportuno, solo para los usuarios designados en forma segura.

Alrededor de la computadora
En otras épocas, había mucho papel que se digitalizaba y luego se procesaba en sistemas relativamente transparentes en bloques o batch; por ejemplo, las facturas se procesaban, había un control global, la computadora hacía ciertas transformaciones como sumar, calcular impuestos, clasificar, verificar numeración, pero el producto era relativamente fácil de observar y probar por medio de seguimientos de las operaciones. Este enfoque es conocido como “Alrededor de la Computadora” usado en sistemas sencillos sin mayores complicaciones y alcances razonables, como nóminas, la misma contabilidad, etcétera.
Pero el avance tecnológico ha llevado a la casi inexistencia de papel. En muchos lugares del mundo, el usuario hace su proceso y, además, la computadora hace modificaciones transcendentales como cálculos, elimina partidas, agrega otras, da información, solo muestra los resultados predeterminados, bases de datos, etcétera, sin dejar huellas visibles. Por lo tanto, ahora el auditor debe (no hay de otra) tener un enfoque distinto y hacer su trabajo “A Través de la Computadora” y usar las TAAC.

Revisión de los sistemas y/o programas
Los sistemas-programas
A manera resumida, el enfoque del auditor en esquemas sofisticados es examinar los sistemas-programas que procesan la información (como un ERP, SAP, ORACLE, etcétera), que producen contabilidad, nóminas, manufactura, facturación y otras.
Como las TAAC (entre otras muchas) sirven para examinar los programas fuente, diagramas, test deck, test facility, simulación paralela, programas especiales, etc., y uno muy efectivo que combinado con otras técnicas sirve para observar los procesos, hacer seguimientos de las operaciones, verificar que se cumplan los controles de entrada, proceso y salida.
Los archivos
De manera muy breve, se refiere a que examinan el contenido de los archivos donde se guarda la información procesada (principalmente, discos duros, nube, servicios externos, etc.), como son las transferencias bancarias, facturas electrónicas, pólizas, entradas almacén, etcétera.
La TAAC, principalmente, son los paquetes de auditoria que examinan el contenido de los archivos, estos programas, los más populares son el ACL e IDEA.
¿Qué es lo que hacen? Examinan grandes volúmenes de operaciones de manera muy rápida, millones en segundos, y proporcionan información que ayuda al auditor a verificar la calidad de la información: integridad, clasificación, selección, eliminación, cálculos, combinaciones, excepciones, variaciones.
En estos casos, normalmente, se requiere de apoyo de los especialistas.

Indicios para revisar TI
Cuando el auditor tenga el siguiente panorama debe revisar las TI, si no estaría incurriendo en confianza inadvertida al no reconocer una limitación en su trabajo frente a un riesgo que puede ofrecer posibilidades de que una manifestación en los estados financieros pueda tener errores o fraudes significativos.
Esto será una realidad cuando:

• Importancia de las operaciones de TI que producen las manifestaciones en los estados financieros.
• Volumen en las operaciones cuando sean múltiples y efectuadas desde diversos.
• Transformaciones importantes de la información.
• Pruebas sustantivas limitadas para probar las transacciones.
• Pruebas de cumplimiento necesarias para probar las transacciones necesariamente con el uso del computador, tal vez combinadas con muestreo estadístico.
• Huellas no visibles al ojo humano, solo a través de procedimientos especiales.

Si responden sí a cualquiera de las aseveraciones anteriores, el auditor tendrá (si quiere evitar una limitación en su trabajo y continuar competitivo) que entender las TI, evaluarlas y probarlas con las TAAC y tener apoyo tecnológico.

REEA
Significa determinar las operaciones en:

• Rutinarias. Como las ventas, compras, nominas o las descritas en el ejemplo anterior de las cuentas por cobrar. Estas transacciones se revisan de una forma diferente a otras áreas, y las pruebas de cumplimiento son parte integrante de su evaluación del control interno (prevenir, detectar, corregir riesgos) y de su prueba; normalmente, implica el uso de TI y su revisión con TAAC.
• Estimaciones. Sin temor a equivocación, auditar el futuro es lo más difícil, pues es coincidir con las suposiciones de la administración y debe ejercer todo el poder del escepticismo, ya que los grandes errores y fraudes que han sacudido al mundo financiero en los últimos años provienen de estimaciones equivocadas, poco conservadoras, obtención de mala información sobre el futuro y manipulaciones. Muchas estimaciones se basan en TI, como obtener información clasificada por ciertos parámetros para determinar una estimación persuasiva, como: antigüedades de cuentas por cobrar, inventarios de lento movimiento, depreciaciones, antigüedad de empleados para determinar sus beneficios laborales, acumulados futuros, flujos futuros, proyecciones, premios acumulados, garantías, etcétera. Nuevamente, el auditor debe revisar el TI con un enfoque sustantivo, pues es diferente al de las operaciones rutinarias que el enfoque de cumplimiento, para que le provea evidencia para tener una base adecuada para juzgar la suficiencia de las estimaciones.
• Específicas. Se refiere a operaciones únicas y su revisión, usando procedimientos sustantivos con TI. El enfoque es diferente a las rutinarias y para las estimaciones, como son las consolidaciones, compras de activos, préstamos y otras, donde TI también tiene una parte importante en la determinación de la información que el auditor debe probar.

Empresas PyMES
El enfoque es el mismo, tal vez más sensitivo y con más riesgo de errores y fraudes, debido a las limitaciones inherentes de estas empresas de dueño-administrador, sobre todo, en que pueden desconocer la trascendencia de TI en la preparación de información financiera que producen las manifestaciones en los estados financieros. La concentración de funciones de quienes manejan TI, seguridad, entre otras. Por lo tanto, se insiste en que en estas empresas el riesgo para el auditor puede ser más grande.
El uso de las hojas de cálculo (Excel) provee herramientas, guardando las distancias, parecidas a los grandes programas de auditoría, como el ACL e IDEA.

Centros externos de proceso electrónico de datos
Otro riesgo para el auditor, pues las normas definen que si el proceso de datos con las características que se intentan describir en este artículo son hechas por un tercero, debe conocerlo, evaluarlo y probarlo tal como lo haría si se efectuara dentro de la empresa, tales son los casos típicos de contabilidad: nominas, cálculos de beneficios laborales, etcétera.
Es importante que estos centros tengan dictámenes de expertos independientes en TI que manifiesten que el sistema es adecuado y seguro para que el auditor pueda usarlos como parte de su trabajo, junto con una certificación y otras tareas de revisión, como contratos, problemas, entrega y recepción de la información, observación y seguimiento.
La computadora: una amenaza o una bendición
El devenir en este mundo globalizado y altamente computarizado que produce información financiera es una amenaza, pues el auditor debe conocerla, evaluarla y probarla:

• Primero: para evitar caer en confianza inadvertida y aceptar limitaciones en su alcance del trabajo de auditoría.
• Segundo: detectar confianza inadvertida al aceptar manifestaciones importantes en los estados financieras que no sean las correctas.
• Tercero: para usar la misma computadora para revisar por dentro -como lo realiza la misma computadora- (a través de) para procesar las operaciones y obtener pruebas con mucho alcance, amplias y eficientes, que proporcionen evidencia persuasiva para asegurar que las manifestaciones son razonablemente correctas y, aunque usted no lo crea, mas económicas; en consecuencia, estas técnicas especializadas son una bendición para el auditor, lo cual le permite ser competitivo.
• Cuarto: Albert Einstein decía: “La imaginación es más importante que la técnica”, por lo que el auditor debe usar los límites de su imaginación, experiencia tecnológica, escepticismo y tener la humildad para contratar expertos en la materia.

Debemos tener en cuenta que ahora las manifestaciones y los riesgos son las reglas del juego y el auditor debe saber manejarlas, diestramente.