C.P.C. Bernardo Soto Peñafiel/Socio de Auditoría BDO Castillo Miranda/bernardo.soto@bdomexico.com

La utilización de los medios informáticos hoy en día es esencial para resolver todos los problemas que se suscitan incluso en las situaciones más cotidianas de nuestra vida

En realidad la automatización y la simplificación del trabajo y de los procesos se han dado desde los inicios del ser humano. Todo el tiempo el hombre está buscando la manera de acelerar, simplificar y almacenar el trabajo y el conocimiento humano. El hombre siempre ha buscado la manera de crear herramientas que le permitan facilitar su trabajo y todo tipo de actividades, desde la caza y la construcción de hábitat en los tiempos más antiguos hasta la agricultura, pesca y comercio. En la Revolución Industrial se llevó a cabo una transformación económica, social y tecnológica en el Reino Unido a mitad del siglo XVIII, décadas después se extendió a gran parte de Europa occidental y Norteamérica, y concluyó entre 1820 y 1840; el mundo pasó de una economía rural basada fundamentalmente en la agricultura y el comercio a una economía de carácter urbano, industrializada y mecanizada.

Asimismo, podemos ver claramente en este último siglo, cómo la aparición de las computadoras ha tenido sus efectos en el entorno laboral, económico y social de la humanidad. La automatización de los medios informáticos con las computadoras ha afectado enormemente la manera en que las grandes y pequeñas empresas han logrado mejorar y controlar sus sistemas de registro y procesamiento de datos.

La introducción del uso de computadoras al mundo económico se fue dando de manera gradual, pero aceleradamente. Los avances a pasos agigantados en las tecnologías informáticas han permitido que hoy en día, con un simple celular podamos archivar información, comunicarnos fácilmente con individuos en cualquier parte del mundo y conocer en instantes lo que pasa alrededor del mundo. Asimismo, estos grandes avances nos han permitido archivar un gran volumen de información en mecanismos diminutos.

La Contaduría que hasta antes de la década de los sesenta requería que el registro de cada movimiento que realizaban los comerciantes se hiciera con tinta y en papel, también se ha visto afectada por la tecnología informática. Los procesos de registro, control y manejo de la información se han automatizado y se han simplificado con la ayuda de los sistemas de cómputo. Por ello, los procesos de auditoría deben adaptarse a los cambios continuos que la nueva tecnología ha implantado en los negocios en marcha.

En la década de los ochenta con el surgimiento de los consorcios y corporativos se hace aún más necesaria la generación de información financiera relevante, oportuna y útil que cumpla con los marcos contables usados, con leyes y reglamentos, así como con otros requerimientos de autoridades y reguladores, y que sirva para la toma de decisiones de los cuerpos directivos y de los accionistas. Como respuesta ante dichos requerimientos, nacen los primeros sistemas de información contables integrados en bases de datos, informes, razones financieras y gráficos.

Hoy en día los “Sistemas de Planificación Empresarial” conocidos como ERP (por sus siglas en inglés = Enterprise Resource Planning), sin duda, son los sistemas de gestión que más usan las empresas para ejecutar sus procesos de negocio, entre otros: contabilidad, compras y cuentas por pagar, ventas y cuentas por cobrar, control de inventarios, de propiedad, planta y equipo, recursos humanos, reporteo financiero, etc. Los ERP automatizan todos estos procesos en un negocio de manera rápida, segura y eficaz.

La auditoría: breve historia

En 1314, aparece en Inglaterra el primer concepto que se refiere al Auditor del Ministerio de Hacienda. En 1559 la Reina Isabel I establece la responsabilidad formal de la auditoría de los pagos de Hacienda, sistema que de forma gradual caducó en 1780, y desde ese año los Comisarios de Fiscalización de las Cuentas Públicas fueron designados por la ley.

En 1933 con la promulgación en los EE.UU., de la Ley de Valores y en 1934 de la Securities and Exchange Commission (Comisión para la Vigilancia del Intercambio de Valores [SEC, por sus siglas en inglés]), se estableció la obligatoriedad legal de que las empresas emisoras de acciones y valores se sometieran a una auditoría financiera.

A finales de la década de los treinta los despachos de Contadores Públicos de los EE.UU., se establecieron y asociaron con despachos de México, con el propósito primordial de auditar a las empresas subsidiarias y a las sucursales de las empresas estadounidenses establecidas en nuestro país. Derivado de este hecho, en 1955 la profesión organizada de la Contaduría Pública inicia el proceso de la emisión de la normatividad para las auditorías de estados financieros, y a partir de los ejercicios de 2012 se requiere que las auditorías en México se lleven a cabo usando las Normas Internacionales de Auditoría (NIA).

Auditoría de las TI como parte de la auditoría externa de información financiera

La auditoría de las tecnologías de información (Auditoría TI) es un proceso que entre otros profesionales, también es llevado a cabo por los auditores externos, y consiste en entender, recorrer, analizar y evaluar evidencias de auditoría para determinar si un sistema TI salvaguarda los activos de una entidad, manteniendo la integridad, exactitud y veracidad de la información financiera (datos), además de que permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de dicha entidad. Las NIA establecen procedimientos para que el auditor lleve a cabo estas funciones.

Auditoría de bases de datos

Cada día es más frecuente que diversas firmas de consultores ofrezcan auditorías de Bases de Datos (BD), pero ¿qué son las auditorías BD? Son un proceso que permite a las entidades asegurar el correcto funcionamiento de sus sistemas de información tecnológica, garantizando la integridad de los datos ingresados a los sistemas y, por lógica, que los reportes emanados de estos sean verídicos y reflejen todas las transacciones llevadas a cabo que sirvan para la administración, dirección y toma de decisiones de los altos ejecutivos y accionistas. Asimismo, les permite conocer quiénes y cuándo acceden a los sistemas y a qué tipo de aplicaciones, y si estas son atribuibles a sus funciones, también permite conocer las transacciones no registradas, duplicadas, mal valuadas o no autorizadas, entre otras cosas.

Además, las auditorías BD sirven para dar cumplimiento corporativo a las gestiones de la administración de finanzas y de la dirección de TI, ya que determinan y monitorean los riesgos corporativos y la seguridad corporativa.

Futuro de la Auditoría TI como parte de la auditoría externa de información financiera

Requerimiento de las NIA

En la actualidad, el auditor externo como parte de sus procedimientos de auditoría en cumplimiento con las Normas Internacionales de Auditoría (NIA), lleva a cabo procedimientos sobre los sistemas de TI, para lo cual se auxilia de expertos en el conocimiento de tecnologías de información, utilizando, en algunos casos, ciertos softwares que le sirven para manipular y analizar Bases de Datos (BD) con el objeto de obtener evidencia de auditoría suficiente y adecuada sobre los controles generales de los sistemas TI, de la seguridad de los mismos y del procesamiento de datos en los diferentes procesos de lo entidad (inventarios y costo de ventas, cuentas por cobrar y ventas, cuentas por pagar, nóminas, proceso contable de cierre, etcétera).

Para llevar a cabo su trabajo el auditor externo entenderá los sistemas de TI para identificar los riesgos de errores materiales en la información financiera y establecer los procedimientos de auditoría de TI que mitiguen los mismos. Para su evaluación tomará en cuenta cómo se procesa la información en los sistemas para obtener los diferentes reportes que se emiten, tal como se muestra en la gráfica siguiente:

Requerimientos futuros para los auditores

Hoy el International Auditing and Assurance Standards Board (IAASB) está trabajando en emitir normatividad para la auditoría de datos analíticos Audit Data Analytics (ADA). Se estima que en el mes de junio de 2016 se emita un documento para su auscultación, y que sea pronunciado para su uso en 2017.

A continuación se presenta una síntesis de los aspectos relevantes del proyecto ADA.

El auditor cuando realice una auditoría de conformidad con las NIA, deberá auditar los datos analíticos (ADA), con el propósito de:

• Descubrir y analizar los patrones de transacciones de los diferentes procesos que generan registros contables.
• Identificar anomalías y comportamientos fuera de los patrones.
• Extraer información que le sea útil de los datos relacionados con la materia objeto de una auditoría a través del análisis y visualización del procesamiento de datos para el propósito de planeación o realización de la auditoría, y así tener:
  • Una cobertura mejorada de su trabajo.
  • Un enfoque mejorado del riesgo y perspectiva de los ADA.
  • Un apoyo al escepticismo profesional en cuanto al uso de tecnología.

El auditor será requerido a aplicar las NIA sobre ADA a las áreas clave, considerando los siguientes procedimientos:

• Aplicar estándares de procedimientos analíticos y de evaluación de riesgos.
• Definir lo que constituye evidencia de auditoría (pruebas de auditoría electrónica).
• Cuantificar la evidencia de auditoría; poblaciones enteras vs. muestreo.
• Validar los datos de las BD en cuanto a integridad de datos y transacciones y exactitud en la aplicación de patrones (por ejemplo: ventas y precios aprobados de venta).
• Evaluar los controles sobre TI (por ejemplo: gestión del cambio, gestión de los procesos de acceso, etcétera).
• Cumplir con ciertos requisitos de documentación (por ejemplo: evaluación de controles generales, seguridad de los sistemas de información tecnológica o efectuar pruebas sobre las transacciones automatizadas).
• Controlar las pruebas que lleve a cabo. Naturaleza y relevancia, por ejemplo, corroborar universos de transacciones con ciertos patrones, como ventas o validar datos clave de las ADA (por ejemplo, precios de venta autorizados o clientes vigentes y al corriente en sus pagos).

Desafíos y conclusión

Con este nuevo estándar, el auditor externo tendrá un reto importante al auditar datos analíticos (ADA), por lo tanto deberá estar consciente y capacitarse y/o allegarse de recursos, tanto tecnológicos (software para analizar bases de datos) como de personal especializado en TI, con el objeto de dar el mejor cumplimiento a los requerimientos futuros de auditoría de ADA, para lo cual pensará en:

• Captura de datos (software de análisis, conocimiento de tecnologías de información).
• Evidencia de auditoría (qué tipo de evidencia será la más efectiva “adecuada” y cuánta evidencia será requerida “suficiencia”).
• Experiencia del auditor (de las auditorías anteriores o contratación de especialistas en TI o, en su caso, asociaciones con consultores de TI).
• Información emitida por los sistemas de informática utilizada para administrar, dirigir y tomar decisiones por la gerencia (informes gerenciales).
• Volumen de transacciones registradas en los diferentes procesos.
• Escepticismo y juicios razonados durante el proceso del entendimiento y evaluación de los controles generales y de procesamiento de los diferentes procesos que se llevan a cabo en los sistemas de TI.

En la auditoría de estados financieros, las normas profesionales deben alentar en todo momento a los auditores externos para que consideren utilizar tecnologías que aumenten la garantía más allá del mínimo requerido, para que el auditor obtenga evidencia de auditoría suficiente y adecuada cuando audite los datos analíticos (ADA), y que dichas tecnologías sean económicamente viables para que el auditor las pueda adquirir y manejar, y así cumplir con las NIA.

El auditor del siglo XXI debe empaparse de todos los nuevos recursos tecnológicos que las empresas están utilizando en la actualidad para controlar y registrar sus transacciones. Por ello, las auditorías de las ADA son un reto muy importante para el profesional que lleva a cabo auditorías de estados financieros.