Auditoría y Control Interno en Sistemas Computacionales

La globalización y tecnología  están cada día más presentes en  el desarrollo normal de las actividades operativas y financieras de las instituciones,  y frente a este veloz impulso tecnológico,  requieren una permanente evaluación y vigilancia, además, las entidades necesitan una opinión independiente que les permita medir la eficacia y eficiencia en el cumplimiento de sus objetivos. 


Esta evaluación consiste en una revisión integral y critica enfocada a comprobar la veracidad y confiabilidad de los registros, labores y resultados de la empresa, midiendo y diagnosticando el comportamiento  de sus operaciones empresariales.

Hoy en día  la información  se ha convertido  en uno de los principales activos de la empresa. Las organizaciones  invierten  grandes cantidades de dinero y tiempo en la creación de sistemas de información que generen mayor productividad y eficiencia en sus procesos. El uso de la informática  favorece a la empresa logrando la racionalización de costos, mejora en la capacidad de toma de decisiones, progreso en la calidad de los servicios al adaptarse a las dinámicas del mercado y servicios  al cliente basados en tecnología sin cuyo uso sería imposible ofrecer bienes y servicios.

La información de las empresas cada día depende más de los computadores. De ahí la necesidad de verificar que los sistemas informáticos funcionen adecuadamente. Con el transcurso del tiempo hay evidencias de varios casos de fraude cometidos con ayuda del PC, lo que hace  poco viable seguir confiando con una auditoria alrededor del computador, surgiendo así la necesidad de una nueva rama dentro de la auditoria, con el objetivo de verificar el correcto funcionamiento de la informática, es decir auditoria de sistemas computacionales, que también se conoce con el nombre de auditoría de informática o con  otros nombres similares  como Auditoría con la computadora, sin computadora, a la gestión informática, al sistema de computo, alrededor de la computadora, de la seguridad de los sistemas computacionales, a los sistemas de redes, integral a  los centros de cómputo, ISO-9000 a los sistemas computacionales, outsoursing y ergonómica de sistemas computacionales.

El propósito esencial de la auditoria en sistemas es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, procedimiento adecuado de la información y la emisión oportuna de sus resultados en la entidad, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la organización. El marco esquemático de la auditoria de sistemas computacionales evalúa a: Hardware, software, gestión informática, información, diseño de sistemas, bases de datos, seguridad, redes de cómputo y especializadas.

La  auditoría y control interno en sistemas computacionales son dos campos semejantes y tienen objetivos comunes, pero existen diferencias. El control interno   analiza los controles día a día, el informe se dirige solo al personal interno y  el alcance de sus funciones es solamente sobre el área de informática. Por el contrario  auditoría realiza un análisis de un momento informático determinado, informa a la dirección general de la empresa y  cubre todos los componentes de los sistemas de información de la entidad. Se puede hablar también de similitudes en cuanto a conocimientos especializados en tecnología de la informática, verificación del cumplimiento de controles internos, normatividad y procedimientos establecidos por la Gerencia de informática  y la Dirección General para los sistemas de información. Indiscutiblemente prestan un servicio de valor agregado al ayudar a la entidad y a sus directivos a cumplir sus obligaciones relativas al control interno mediante el proceso de recolección, agrupación y evaluación de evidencias para determinar de esta forma si el sistema informatizado cumple efectivamente los objetivos de la empresa y utiliza en forma eficiente estos recursos.

Cada día son mayores los riesgos de seguridad informática, las aplicaciones institucionales  a la medida  pueden sufrir vulnerabilidades que cualquiera puede descubrir y atacar; se necesitan con urgencia un backup online en remoto con infraestructuras seguras, por otro lado las reuniones por fuera, el teletrabajo, una caída de la red significa horas de trabajo perdidas, es decir se hace necesario proteger la red de la empresa.

Las organizaciones  solicitan las auditorías externas cuando se detectan señales  de debilidad, amenazas, desorganización, insatisfacción de los usuarios, falta evaluación de los niveles de riesgo, seguridad física y lógica, centro de proceso de datos fuera de control y falta de planes de contingencias. La seguridad sigue siendo el área principal a auditar, aunque puede haber seguridad sin auditoria, es importante entender la utilidad de la protección de la información y de la auditoria.

Son bastantes las firmas que suministran seguridad y la auditoria entre sus servicios o simplemente aceptan los trabajos, sin disponer de expertos, lo que desencadena una desilusión en la entidad auditada, y muchas veces los resultados son desastrosos  y no benefician en nada a los auditores.

La auditoria es una actividad muy especializada que puede ser ejecutada sólo por quienes están capacitados profesionalmente para ello. Es necesario que estos profesionales cuenten con los conocimientos, experiencia, actitudes y aptitudes necesarios para realizar este tipo de trabajo, a fin de cumplirlo tal y como lo demandan las empresas y la sociedad.

Read More

Es Necesario Utilizar un Lenguaje Coloquial en los Informes de Auditoría

Todos los profesionales de contabilidad vivimos en un mundo de escritos e informes y no saber movernos en él acarrea altos riesgos y costos. En la actualidad algunos especialistas en auditoria y revisoría fiscal poseen falencias en cuanto a capacidades de lectura crítica y escritura de textos que van desde los más sencillos escritos como un correo electrónico hasta los más complejos como informes de auditoria.

El informe es el producto final de la auditoria donde se presentan los resultados obtenidos durante el examen y se comunica por escrito las desviaciones y la opinión que emite el auditor revelando los problemas encontrados durante la revisión de las actividades operacionales o cualquier otra circunstancia impracticable que tenga que reportar. Por otro lado indica las causas que originan esos ambientes y las posibles sugerencias para solucionar los problemas encontrados. Aunque, el auditor no solamente informa hallazgos negativos, sino también cualquier otra situación positiva que favorezca el desarrollo del objeto social, es decir, reporta las buenas prácticas que encuentre y los aciertos en las operaciones.

En el ambiente de la auditoria es muy común utilizar términos que solamente entienden los profesionales de contabilidad, por lo general, el informe final de auditoría está dirigido a los directivos de alto nivel de la entidad, los cuales pocas veces entienden el complejo lenguaje contable. Por esta razón se debe redactar informes ejecutivos con un lenguaje coloquial evitando el exceso de términos contables o desconocidos. Cuando un informe de auditoría no es claro, su lectura es incomprensible y el auditado simulará no entenderlo para así minimizar el peso del examen. Un informe de auditoría es fruto de un proceso. Además de ser oportuno, confiable y claro se debe redactar con un estilo impersonal evitando: un tono impositivo e imperativo en las observaciones reportadas, un acento de regaño o menosprecio, abundancia de literatura que solo hace difícil su lectura, repetir las situaciones que reporta y sobreinformación que aumenta el volumen del dictamen. Esto no significa que se deba hacer un informe sencillo o carente de información. El informe ejecutivo debe ser tan preciso y evidente que las observaciones realizadas se acepten de inmediato y sin necesidad de hacer aclaraciones.

Al redactar las desviaciones se debe hacer una descripción ajustada a la realidad de lo que se observo, de lo que se evidencio por medio de la evaluación, con el propósito de escribir los hallazgos tal y como se presentan, describiendo los resultados de la auditoria lo más natural posible. Esto es, sin hacer ninguna interpretación subjetiva del hecho que se audita, sino informar tal y como se presenta la situación.

La escritura se halla fuertemente ligada con la formación profesional del auditor y su participación en la vida social. La escritura es un acto complejo que exige de quien escribe una buena estructuración del pensamiento y del mundo de las ideas. Cuando el auditor escribe un informe debe tener una visión global de lo que quiere decir. Más tarde el auditado debe reconstruir el mensaje del informe y juzgar la coherencia alcanzada. En otras palabras, el auditor que redacta el informe se esfuerza durante el desarrollo de su actividad por organizar sus ideas de modo que el auditado pueda comprenderlas, observando lo que se ha informado e intenta determinar cómo se organizaron las ideas que se presentan en el dictamen. El auditor debe tener en cuenta que los auditados y demás usuarios no van a tenerlo a él presente permanentemente para que explique el informe. De manera que si el especialista en auditoria no usa adecuadamente el lenguaje y organiza coherentemente sus observaciones su texto resultara impreciso. La coherencia y la cohesión del informe son dos propiedades fundamentales que cumplen una función esencial de comunicar. Son dos propiedades estrechamente ligadas y en ocasiones es difícil de establecer una línea divisoria entre ambas, pues en un informe si sus unidades lingüísticas no están cohesionadas, es difícil que el dictamen sea coherente. Redactar informes de auditoría o cualquier otro texto exige esfuerzo, dedicación, disciplina y mucha lectura. Lo importante no es cuánta superinteligencia tenga el auditor, sino como la emplea. 

Hay magia en el pensar en grande.

Read More

Es Responsabilidad del Auditor Informar sobre Hechos Posteriores

El dictamen del auditor tiene como finalidad opinar si los estados financieros históricos de una entidad reflejan una imagen fiel de su situación financiera, del resultado de sus operaciones y de sus flujos de efectivo cumpliendo normas nacionales e internacionales de información financiera que sean aplicables. En ocasiones acontecen eventos o transacciones posteriores a la fecha del balance, que pueden tener un efecto material en los estados financieros, y por consiguiente requieren de ajustes o notas a los estados. Sin embargo el hecho de que los estados financieros de las empresas sean objeto de auditoría no significa que el auditor esté obligado a certificar que las cuentas auditadas estén absolutamente libres de errores. Los auditores pretenden minimizar el riesgo de la información financiera histórica mediante diversos procedimientos, esto es, identificación de los riesgos de la entidad, la evaluación de los controles internos, comprobación por muestreo, confirmaciones directas por parte de terceros y discusiones con la dirección. Dicho de otra manera la auditoria paso de una verificación sustantiva a un enfoque basado en riesgos, a un examen centrado en la sustancia antes que en la forma.

La responsabilidad del auditor en cuanto a informar hechos posteriores se relaciona directamente con la norma internacional de auditoría 560. El termino hechos posteriores se refiere a los eventos que ocurren entre el final del periodo y la fecha de dictamen del auditor así como los hallazgos posteriores de la fecha del informe del auditor. El examen realizado después de la fecha de balance no obliga al auditor a extender los procedimientos habituales de auditoría para cubrir transacciones de periodos posteriores, sin embargo, su programa de auditoría normalmente los incluye después de la fecha de balance realizando cortes de caja, revisión de cobros subsiguientes, algunas confirmaciones y lecturas de actas de asamblea y estados intermedios.

La Norma Internacional de Contabilidad 10, Contingencias y sucesos que ocurren después de la fecha de balance, expresa preceptos para el tratamiento en los estados financieros de los hechos, tanto favorables como desfavorables, que ocurren después del final del periodo. Identifica dos tipos de hechos posteriores: El primer tipo define hechos posteriores a la fecha del balance que involucra ajustes, es decir, precisa cuales son los hechos que muestran las condiciones que ya existían en la fecha del balance y que obligan a la entidad a ajustar las cifras reconocidas en los estados financieros o bien a reconocer importes no reconocidos. El segundo tipo define hechos posteriores a la fecha de balance que no implican ajustes ni en los importes ni en cifras reconocidas, aunque, cuyo conocimiento es relevante para los usuarios, ya que al no informarse podría reducir su capacidad de toma de decisiones.

A su vez la NIC 10 indica a las entidades el deber de revelar información sobre hechos posteriores a la fecha de balance que implican ajustes y de no revelarse podrían afectar la capacidad de los usuarios de realizar evaluaciones pertinentes y toma de decisiones oportunas. La entidad debe proceder a realizar el ajuste correspondiente. Por otro lado, si la entidad recibe información acerca de condiciones existentes en dicha fecha, actualizará las notas a los estados financieros para que reflejen la información recibida posteriormente, inclusive cuando ésta no afecte cifras reconocidas en los estados financieros. Por otro lado, señala que debe revelar la entidad para cada una de las categorías importantes de este tipo de hechos posteriores tanto la naturaleza de evento como una estimación de sus efectos financieros o un pronunciamiento sobre la imposibilidad de realizar tal estimación. 

La responsabilidad de suministrar información financiera correcta concierne a la administración de la entidad inspeccionada. Los auditores cumplen la NIA 560 simplemente cuestionando proactivamente a la entidad desde la perspectiva del usuario y ejerciendo su escepticismo profesional con respecto a la empresa auditada. Este escepticismo también puede practicarse con respecto a revelaciones claves de los estados financieros. Puede dar lugar a un párrafo en el informe de auditoría advirtiendo hechos posteriores relevantes. Sin embargo lo que se debe impedir es la difusión de revelaciones insignificantes para los usuarios. 

Es importante definir con claridad la información relacionada con hechos posteriores que el auditor externo debe facilitar a los usuarios en el marco de su opinión y sus hallazgos. Esto implica no solamente elaborar un informe de auditoría, sino también planear la posibilidad de información adicional sobre la metodología de la auditoria que explique en qué medida se ha producido la verificación sustantiva del balance de la entidad. Con un buen informe de auditoría damos nuestro sello personal en cuanto a forma de ser, cultura, conocimientos, habilidades, experiencia en el área auditoria y reporte acertado de riesgos y recomendaciones.

Read More

Es Necesario Implementar Programas de Auditoría para Prevenir y Detectar Blanqueo de Activos

Los capitalistas de la época actual tienden a invertir en paraísos fiscales buscando proteger su patrimonio, reducir la carga fiscal y ocultar la identidad de sus verdaderos asociados. En la actualidad existen más de 250 jurisdicciones en el extranjero con secreto bancario estricto que brindan uno o más incentivos a los inversionistas no residentes, además prometen una legislación exenta de formulismos, sin auditorias y fuera de la obligación de hacer públicos sus estados financieros, facilitando el blanqueo de capitales que es un proceso al que se someten los ingresos producidos por hechos ilícitos para ocultar su origen ilegal y legalizar ganancias, es decir crean una fuente aparentemente legal mediante falsificación de documentos, ocultamiento de la propiedad de los activos y realización de operaciones con terceros. Uno de instrumentos más utilizados para ocultar los verdaderos accionistas, evadir impuestos y blanquear capitales son las entidades offshore o trusts. La sociedad offshore es una persona jurídica constituida bajo una jurisdicción extranjera y que habitualmente realiza actividades económicas fuera del país en que se constituyó, jugando un papel importantísimo en la ocultación, levantamiento e inversión de ingresos de dudoso origen. Esta sociedad radicada en un paraíso fiscal se constituye rápidamente y es gestionada por un prestador de servicios societarios local, que también actuara como administrador. Otra herramienta utilizada como fachada es la triangulación comercial que consiste en la realización de transacciones comerciales mediante una sociedad anónima que no tenga relación con la empresa del país de origen, a fin de disminuir ganancias y aumentarle gastos de operación a la empresa de origen para así deducirlos de los impuestos y tener un margen de utilidad mayor ya que los socios de ambas entidades son los mismos, aunque esta figura no se refleja en la documentación de la empresa. Para la realización de la triangulación se hace necesario tres empresas: Una de origen, otra extranjera offshore y la proveedora. 

Las sociedades offshore son catalogadas por algunos especialistas internacionales como planificación fiscal afirmando que si una sociedad multinacional vende sus productos en un área geográfica muy grande, le conviene crear una sociedad offshore como sucursal en un paraíso fiscal y los bienes producidos en vez de ser vendidos directamente a los clientes extendidos por todo el mundo, son vendidos a la misma sucursal con sede en el paraíso fiscal a un precio inferior al valor de mercado. Posteriormente la filial revende los productos al precio de mercado logrando que la sociedad pague menos impuestos en su país de origen y la utilidad después de impuestos gozara del régimen fiscal al cual está sometida la sucursal con sede en el paraíso fiscal. Si los productos son vendidos al costo a la sucursal la sociedad registrara perdida en su país, y gozara en el paraíso fiscal de incentivos por su situación financiera. 

Es obligación de los profesionales contables combatir estas operaciones de origen dudoso identificándolas y comunicándolas de acuerdo con la ley, experiencia y confidencialidad profesional. Además les corresponde implementar programas de auditoría para la prevención y detección de blanqueo de activos con el fin de visualizar indicadores de operaciones inusuales tales como: propiedades en manos de parientes o asociados, una estructura internacional falsa sin ventajas comerciales, legales o fiscales, compra o venta de acciones de sociedades muy por encima o muy por debajo de los valores estimados, el empresario muestra un escaso conocimiento del negocio, operaciones de bienes y servicios que no encajan en el perfil de la sociedad, operaciones o acuerdos que carecen de documentos soporte que son relevantes, operaciones con sociedades y centros offshore, operaciones con sospechosos de ser facinerosas o sus socios, clientes, acreedores o prestamistas no transparentes o no son identificables operaciones con asociados o clientes que comparten una dirección común, operaciones identificadas como ventas de activos pero los activos no pueden concretarse, movimiento de fondos inusuales y facturación y ventas simuladas. 

Cuando los auditores externos conocen muy poco de empresas offshore y trusts su evaluación está limitada a la información que pueda extraer sobre estas actividades inusuales, de otra parte, necesita de absoluta cooperación de los auditados. Muchas auditorías externas de este tipo se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan, son sumamente costosas para las entidades y requieren de tiempo y trabajo adicional. A si mismo los auditores internos su veracidad, alcance y confiabilidad también pueden estar limitados, debido a que puede haber cierta necedad por parte de la entidad sobre la forma de evaluar e informar estos hechos. Al laborar en la misma empresa donde realiza la auditoria se presta para presiones, compromisos y ciertos intereses al realizar su examen, es decir se presentan vicios del auditor en la forma de evaluar y emitir su dictamen.

La confianza en la prevención y detección de blanqueo de activos y otras operaciones ilegales descansa principalmente en un sistema contable adecuado con unos programas de control interno apropiados. El auditor al evaluar la adecuación y efectividad del sistema de control interno para detectar blanqueo de activos y otras figuras ilegales esta asegurado el cumplimiento de la Norma Internacional de Auditoría NIA 570. Auditores es imprescindible la participación en cursos dirigidos al personal que por su cargo sea más apto para detectar operaciones y hechos relacionados con el blanqueo de activos.

Read More

La Ley de Benford como Procedimiento de Auditoría

El auditor al realizar un examen ordinario explora la posibilidad de que el fraude puede hallarse, los estados financieros pueden estar mal presentados por irregularidades o desfalcos. Si el fraude es material, puede afectar su opinión sobre los estados financieros, y su examen, hecho de acuerdo con las Normas de auditoría generalmente aceptadas, da consideración a esta contingencia. La expresión de una opinión sobre los estados financieros, no está destinada para revelar desfalcos y otras irregularidades análogas, aunque su descubrimiento puede resultar.

La prevención y detección de fraudes reposa principalmente en un sistema contable adecuado con un control interno apropiado. Una buena práctica del auditor es evaluar la efectividad del sistema de control interno mediante la aplicación de La ley de Benford que es un procedimiento utilizado en auditoria para detectar posibles casos de fraude en listas de números, datos y secuencias matemáticas como declaraciones de impuestos, desembolsos, ventas registros de gastos, presupuestos, precios de acciones y facturas, en otras palabras todo tipo de cuentas que se originen de transacciones en las cuales se combinan números, mediante el cálculo de la distribución de los primeros dígitos de la lista, es decir, las posibilidades de que un número sea la primera cifra es: 1-30%, 2-17,6%, 3-12,5%, 4-9,7%, 5-7,9%, 6-6,7%, 7-5,8%, 8-5,1% y el 9-4,6%. El 1 como primera cifra tiene más posibilidad que otros números, ya que empezamos a contar desde 1 hasta llegar al 9, momento en que cada cifra tiene la misma posibilidad. Si embargo de 10 a 19 sólo tenemos como primera cifra el 1, y cuando alcanzamos al 99 todas las cifras poseerán la misma probabilidad.

La hipótesis es que si alguien está tratando de adulterar datos, necesariamente tendrá que inventar algunos números. Cuando lo hace tiende a usar números que empiecen con 5, 6 y 7. Esto es suficiente para violar lo que pronostica la Ley de Benford e iniciar una auditoria de esos números. La Ley no es infalible, pero sirve para detectar sospechosos.

En conclusión, Si el objetivo del examen del auditor fuera el descubrir fraudes, tendría que extender su trabajo hasta un punto en que el procedimiento sería bastante costoso, aun así, no se puede dar seguridad de que todos los tipos de fraude fueron detectados, o que no existieron. El auditor no es un avalista, si su examen es hecho con destreza profesional ha cumplido con todas las obligaciones implícitas en su compromiso. Al aplicar La Ley de Benford todo resultado que no entre en esos márgenes debe observarse con discreción y no pensar sin investigar más que se trata de un fraude o inclusive desfalcos y otras irregularidades similares.

Read More