Documente Academic
Documente Profesional
Documente Cultură
El auditor deberá obtener evidencia suficiente apropiada de auditoría para poder extraer
conclusiones razonables sobre las cuales basar la opinión de auditoría
DOCUMENTACION
PAPELES DE TRABAJO
•Consideraciones de la auditoria interna
•Análisis de transacciones y balances
•Análisis de tendencias e indicadores
•Evidencia de supervisión del trabajo de los auxiliares
•Copias de comunicaciones de otros auditores o expertos
•Copias de cartas sobre asuntos de auditoria discutidos con
la entidad
•Cartas de representación recibidas de la entidad
•Copias de los estados financieros y dictamen del audito
Medios (documentos) donde el Auditor consigna datos, informes y demás
aspectos resultantes del proceso de investigación práctica que aplicó en la
empresa.
Su importancia es fundamental porque:
• Constituyen los medios de prueba de una labor desarrollada.
• Indica la forma como se desarrolló el trabajo.
• Sirven de fuente para elaborar el dictamen.
• Sirven de apoyo a principios, normas y procedimientos aplicados.
• Sirven de medio de prueba de los programas.
• Constituyen evidencias de la labor profesional desarrollada.
• Constituyen pruebas de validez de los registros del cliente.
• Indican el grado de confianza que se puede depositar en el sistema de
control interno.
• Sirven de fuente de consulta para posteriores auditorias.
• Son fuente de prueba del Auditor responsable del trabajo en casos de
negligencia o fraude.
En cuanto al control interno [16], la mecanización del proceso contable puede tener
incidencias salvo que se tomen las medidas oportunas en sentido contrario, ya que al
mecanizar funciones se puede tender a adjudicar al departamento de proceso de datos,
responsabilidades que funcionalmente no le corresponden, lo que puede dificultar el
control interno establecido en función del reparto de competencias. En este sentido, se
ha de procurar un comportamiento aséptico del proceso de datos respecto a la función
contable, al igual que se intentará mantener la responsabilidad de cada departamento en
cuanto a la calidad de las informaciones que ellos produzcan y que de ellos dependan.
Para verificar esta validez se recurre a los auditores (bien sean internos o externos a la
organización) quienes asegurarán que los controles y procedimientos contables,
además de haberse establecido, funcionan correctamente. Si el sistema contable está
mecanizado, algunos de estos controles pueden estar incluidos en los programas de
contabilidad.
Conocida la auditoría financiera y los objetivos que persigue, puede hablarse de algunos
puntos del proceso susceptibles de mejora [1]:
Figura
Evidentemente, la máquina poco puede hacer en la primera de ellas salvo, claro está,
que la información de entrada se pase a soporte legible por el ordenador, en cuyo caso
también puede asumir las funciones de esta fase. Por lo que respecta a las otras tres, el
computador está capacitado para, entre otras cosas:
Reducción del número de datos a grabar (más aún si se está en un entorno de base de
datos).
Respecto a la auditoría:
El hecho de que los datos existan una sola vez, evitando duplicaciones innecesarias,
ahorra tiempo a la hora de efectuar su verificación.
Así como una serie de ventajas más que repetidas, como la rapidez y facilidad en la
verificación de los cálculos aritméticos, el empleo de modelos, la obtención de muestras,
etc.
Reflexiónese lo que sería realizar de modo manual una auditoría a un sistema contable
mecanizado: ¿cómo seguir la pista a operaciones que, al menos aparentemente, no
dejan huella (audit trail)?
La auditoría financiera, como la mayoría de las aplicaciones, para que llegue a ser
rentable, habrá de ajustarse a unos métodos sistematizados y tipificados. La idea de
partida se puede enunciar como:
ENTRADAS + PROCESAMIENTO = SALIDA
Igualmente serán objeto de comprobación, tareas como: la coherencia entre los apuntes
contables y la normativa vigente; la correcta confección del libro diario y del mayor, y la
verificación de totales.
Comprobaciones en el proceso
Las principales técnicas para la comprobación de los programas contables pueden clasi-
ficarse en tres grupos:
c) Se establece una comparación entre las dos informaciones de salida para detectar
posibles diferencias entre ellas.
Si por el contrario, las diferencias no existieran, se aceptan como buenos los programas
de la empresa y se verifican las entradas, en función de los documentos base para tales
entradas. Este método es sencillo y fácil de comprender, por lo que a priori resulta
aconsejable, si bien admite algunas objeciones como éstas:
Los datos finales suelen estar codificados en un gran número de soportes, lo que
dificulta su acceso.
En auditoría externa nada garantiza que los programas probados son realmente los que
se utilizaron en explotación.
2. Comprobación de los programas.
Estos revisarán los citados programas desde la fase de análisis, llegando en los casos
que sea necesario, a la codificación (generalmente, en la práctica no se suele ser tan
estricto, basta con distinguir con claridad las etapas significativas del proceso),
verificando el correcto diseño de los mismos. Es importante dedicar aquí especial
atención a los controles internos de los datos, en cuanto a su tratamiento y
almacenamiento. Si bien en este punto se está inmerso en la revisión de criterios
informáticos, no debe perderse de vista la revisión de los controles contables que
necesariamente deben figurar en los programas. Por último se debe comprobar que los
programas fuente que se faciliten, coinciden con los objetos que se ejecutan en el
ordenador.
Es importante que el juego de datos a procesar permita verificar todos los posibles
caminos de los programas, haciendo incluso especial incidencia sobre determinados
puntos críticos o delicados. Ello se simplifica si los programas están debidamente
estructurados, lo que facilitará enormemente la detección de errores, o las posibles
modificaciones. Los datos podrán ser grabados nuevamente, en cuyo caso, además, se
verifica la fase de grabación, o se utilizarán tal y como los tenga la empresa en los
soportes de almacenamiento externo. Una buena solución de compromiso es el empleo
alternativo de ambos procedimientos. De todo lo dicho es fácilmente deducible, que éste
método es mucho más completo y exhaustivo que el anterior, pero también, obviamente,
mucho más complicado y costoso.
3. Empleo de modelos.
Esta técnica de empleo de modelos es una aplicación más generalizada que las dos
anteriores.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con
una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de
la información.
En las siguientes secciones (a las que puede acceder directamente a través del submenú
de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los
conceptos fundamentales de un SGSI según la norma ISO 27001.
Qué es un SGSI?
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización
o de fuentes externas) o de la fecha de elaboración
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la
base sobre la que se cimienta todo el edificio de la seguridad de la información:
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa
también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que
expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y
directrices principales, etc., del SGSI.
Documentos de Nivel 2
Documentos de Nivel 3
Documentos de Nivel 4
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo
una identificación clara de las dependencias, relaciones y límites que existen entre el
alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que
el ámbito de influencia del SGSI considere un subconjunto de la organización como
delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).
Control de la documentación
• Garantizar que los cambios y el estado actual de revisión de los documentos están
identificados.
• Garantizar que los documentos permanecen disponibles para aquellas personas que
los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con
los procedimientos aplicables según su clasificación.
En 1973, el SAS1 número 1 establece que “el objetivo de un examen normal de estados
financieros por un auditor independiente es la expresión de una opinión sobre la
razonabilidad con que presentan la situación financiera, los resultados de las
operaciones y los cambios en la situación financiera, de conformidad con principios de
contabilidad generalmente admitidos. El dictamen del auditor es el medio por el cual
expresa su opinión o, si las circunstancias lo requieren, lo niega”.
No obstante, el auditor puede emitir otro documento distinto del informe de auditoría,
normalmente con anterioridad al mismo, donde se informa a las personas que
encargaron la auditoría —de forma privada— de distintos aspectos de la entidad
auditada.
Este informe tiene cabida en el esquema español, ya que, según la NTA 2.4.27., el auditor
En todo caso, dicha comunicación deberá dirigirse a aquel órgano de la entidad que,
encontrándose a un nivel jerárquico superior al de la instancia donde se han detectado
las debilidades de control, tenga competencia para resolver las citadas deficiencias.
Comentarios sobre el control interno establecido por la dirección: todas las defi-
ciencias de control interno, de gestión, organización, etc., a que nos hemos referido
anteriormente.
Ajustes y reclasificaciones recomendados sobre las cuentas anuales que han sido
previamente formuladas por la dirección.
La carta de recomendaciones también puede incluir, según los casos, otra información,
como una descripción detallada del trabajo realizado o la cronología del mismo.
Centrando ahora nuestra atención en los ajustes recomendados, debemos decir que
antes de redactar el informe, el auditor deberá ofrecer la posibilidad al cliente de que el
informe de auditoría sea limpio o sin salvedades, siempre que ello sea posible por
tratarse de circunstancias salvables que pueden ser corregidos en las cuentas anuales,
y no de circunstancias insalvables como podría ser que una parte muy importante de la
documentación contable se ha destruido y es imposible su recuperación, ya que este
hecho determinará una limitación al alcance de la que el auditor tendrá que informar.
Básicamente, en lo que respecta a los aspectos con una posible influencia sobre los
estados financieros “aspectos contables, propiamente dichos” ya sea por tratarse de
una información errónea, o simplemente por insuficiencia o ausencia de información, el
auditor deberá seguir el proceso que recogemos en el siguiente cuadro
Tipos de Opinión
a) Favorable
b) Con salvedades
c) Desfavorable
a) Opinión favorable
En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas
anuales consideradas expresan en todos los aspectos significativos la imagen fiel del
patrimonio y de la situación financiera, de los resultados de sus operaciones y de los
recursos obtenidos y aplicados durante el ejercicio, y contienen la información necesaria
y suficiente para su interpretación y comprensión adecuada, de conformidad con
principios y normas contables generalmente aceptados que guardan uniformidad con
los aplicados en el ejercicio anterior.
Este tipo de opinión solo podrá expresarse cuando concurran las siguientes
circunstancias:
b) Opinión con salvedades Este tipo de opinión es aplicable cuando el auditor concluye
que existen una o varias de las circunstancias que se relacionan en este apartado,
siempre que sean significativas en relación con las cuentas anuales tomadas en su
conjunto.
Las circunstancias que pueden dar lugar a una opinión con salvedades, en caso de que
sean significativas en relación con las cuentas anuales son las siguientes:
Ante una limitación al alcance, la decisión del auditor de cuentas sobre denegar la
opinión o emitirla con salvedades dependerá de la importancia de la limitación. Para
decidir al respecto, al auditor de cuentas tendrá en consideración la naturaleza y
magnitud del efecto potencial de los procedimientos omitidos y la importancia relativa
del epígrafe afectado en las cuentas anuales. Cuando las limitaciones sean muy
significativas e impuestas por la entidad, el auditor de cuentas deberá denegar su
opinión sobre las cuentas anuales.
- Hechos posteriores a la fecha de cierre del ejercicio cuyo efecto no hubiera sido
corregido en las cuentas anuales o desglosados en la memoria.
4.- Cambios durante el ejercicio. Con respecto a los principios y normas contables
generalmente aceptados utilizados en el ejercicio anterior.
Para que el auditor llegue a expresar una opinión desfavorable es preciso que haya
identificado errores, incumplimientos de principios y normas contables generalmente
aceptados, incluyendo defectos de presentación de la información, que, a su juicio,
afectan a las cuentas anuales en una cuantía o concepto muy significativo.
d) Opinión denegada.
- Incertidumbres