Las pistas de auditoría.

Author:Espinoza Guido, Sergio
Pages:467(16)
 

ÍNDICE Resumen Abstract Introducción La pista de auditoría Definiciones Propósito de las pistas de auditoría Necesidad de las pistas de auditoría Programas para la generación de las pistas de auditoría Aspectos a considerar en el diseño de pistas de auditoría Estructura de datos o registro extendido Utilización de bitácoras Revisión y análisis de bitácoras Cómo hace buen uso de las bitácoras Dispositivos de alerta Pistas de auditoría en las áreas de control de los sistemas de aplicación Relación de las pistas de auditoría con el concepto de ciclo de vida de desarrollo de sistemas (CVDS) Conclusión Referencias bibliográficas INTRODUCCIÓN

En toda auditoría que se lleve a cabo en una empresa con el fin de determinar la razonabilidad de datos, funciones, operaciones, actividades, informes y reportes, la mayor parte del trabajo consiste en la recopilación de evidencia que sirva para sustentar las conclusiones, opiniones y recomendaciones. Como en algunos casos es muy difícil realizar este proceso de recopilación, se hace necesario utilizar elementos que colaboren en tan delicado proceso; uno de estos elementos es lo que se conoce con "pista de auditoría"; término que ha ocasionado muchos problemas de interpretación, en especial entre los contadores jóvenes e inexpertos que ejercen la auditoría.

Lo que ha sucedido es que el término en sí mismo es sencillo, pareciera que la gente lo entiende así, pero no es tan fácil, ya que entraña una serie de conceptos que deben conocerse y entenderse muy bien para poder aplicar el término de manera apropiada y correcta.

El diseño de los procedimientos de pruebas en auditoría se facilita por la forma organizada en que los datos se manipulan (codificación, ordenamiento, registro, clasificación, almacenamiento, recuperación y presentación), se archivan y se detallan en los sistemas. El flujo de estos datos inicia al incluir miles de transacciones individuales en documentos que representan las diversas operaciones que se realizan por las aplicaciones. La información consignada en este tipo de documento denominados "fuente" (origen), porque son la fuente primaria de los datos, se resume en los registros y las cantidades se pasan a los diferentes auxiliares, así como también al libro "mayor", que es lo que constituye la contabilidad general. No se debe perder de vista que en la actualidad, la contabilidad general está constituida únicamente por las cuentas de mayor; todas las cuentas que lo conforman, deben manejarse por medio de auxiliares.

Al ver los registros contables como un conjunto, puede decirse que existe un grupo de evidencia continuo, que permite relacionar los eventos y transacciones realizadas, en un periodo dado, con las cifras y saldo incluidos en los resultados financieros, sin embargo, por la tendencia del ser humano a cometer irregularidades, a veces no es del todo cierto, debido a que en el proceso a que son sometidos tanto los eventos como las transacciones, es posible que se cometan errores, omisiones, descuidos, fraudes y otras situaciones de diversa calificación, que pueden dar al traste con la buena marcha de las operaciones. Ante tal situación es menester que el auditor tenga que echar mano a otro tipo de mecanismos para la recolección de evidencia y más que todo para detectar posibles hechos no deseados.

Del mismo modo que un investigador forense puede obtener pistas para iniciar su trabajo de colaboración con la justicia, también el auditor puede encontrar y seguir pistas, rastros, huellas o rutas que lo conduzcan por el camino correcto para encontrar la evidencia y conducir la auditoría. Lo que se busca es una orientación hacia la correcta dirección de la prueba; así por ejemplo, se podrían seguir ciertas transacciones desde su origen o fuente, pasando por el proceso de transformación a que son sometidas, su actualización en los archivos finales, y la presentación final para utilización de las áreas usuarias.

Es necesario aclarar que la pista de auditoría siempre ha existido, pero con el advenimiento de la tecnología de información, se ha creído que es parte sustancial de ella; lo que ha ocasionado todavía mayor confusión. Lo que ha pasado es que con los procesos computacionales, se ha vuelto más compleja su definición, operación y utilización.

Al iniciar el uso y aplicación de la tecnología de información para el proceso de las transacciones, era sumamente difícil contar con las pistas, debido más que todo a que los procesos eran muy diferentes a como se realizan ahora; entonces lo que se hacía, como proceso normal, era incluir la pista dentro de los archivos de los sistemas, situación que obligaba a incluir datos e información en los archivos que no era manejada por las áreas usuarias; en e se entonces esto se podía hacer con cierta facilidad, debido a que todos los procesos eran manejados por el personal de "cómputo", y los usuarios ni cuenta se daban lo que estaba sucediendo, ya que ellos recibían únicamente los resultados de los procesos.

Uno de los aspectos sumamente interesantes que presenta este tema es que la pista de auditoría se ha diseñado y se ha venido empleando por los auditores en sus exámenes rutinarios y recurrentes, sin embargo, en muchas organizaciones, una vez que las personas que laboran en las diferentes áreas administrativas, ven los resultados de la aplicación del mecanismo en sus organizaciones, inmediatamente han solicitado que por favor incluyan como parte de las salidas de las aplicaciones los elementos que han sido obtenidos por los auditores; lo que significa que pueden ser de gran utilidad para esas áreas también.

Este procedimiento lo que hace es colaborar en el proceso de recolectar evidencia para obtener un mejor criterio a la hora de determinar y esclarecer ciertos hallazgos, así como para tener mayor certeza a la hora de efectuar una revisión detallada de una determinada función u operación; en especial cuando las normas internacionales de auditoría exige a los auditores "considerar los riesgos de representación errónea de importancia relativa en los estados financieros debidas a fraude" (NIA, 2007:172).

LA PISTA DE AUDITORÍA

Antes de adentrarse en el proceso de descripción detallada de este tipo de herramienta, es conveniente describir algunas definiciones; se anotan algunas de ellas, que se considera ayudan a esclarecer el concepto.

DEFINICIONES

La serie de documentos, archivos informáticos, y otros elementos de información que se examinan durante una auditoría, y muestran cómo las transacciones son manejadas por una empresa de principio a fin. Puede ser un rastro de papel o un rastro electrónico que proporciona la historia documentada de la actividad en una empresa. Una pista de auditoría permite a un auditor rastrear los datos financieros relevantes llegando así al documento de origen (factura, recibo, bono, etc.) (e-economics, 2002-2011, p. 1).

Datos e informaciones históricas que están disponibles para su examen, con objeto de probar la corrección e integridad con la cual los procedimientos convenidos se seguridad, relativos a una clave o transacción(es), han sido seguidos. Pueden usarse en la investigación de incidentes relacionados con la seguridad o para reconstruir datos dañados o destruidos. (CCN, s.f, p. 1).

Datos e informaciones históricas que están disponibles para su examen, con objeto de probar la corrección e integridad con la cual los procedimientos convenidos se seguridad, relativos a una clave o transacción(es), han sido seguidos. La pista de auditoría permite detectar las violaciones de seguridad. (ISO ISO-8732).

Elemento, constituido por datos e información, que sirve para seguirle la pista a una transacción o a un evento, desde su origen hasta su incorporación en los registros correspondientes, y viceversa. (Davis y Olson, 1987, p. 146).

Ninguna definición puede ser exacta, pero ayudan mucho a comprender el significado, en especial para aquellas personas que no están acostumbradas a manejar el término.

Las pistas de auditoría no son controles por sí mismos, son "pistas", "huellas" o "rastros" que se requieren para el uso analítico y administrativo; son más que todo un procedimiento que puede estar constituido por uno o varios documentos, informes o simplemente desprenderse de un control o conjunto de controles.

En todos los sistemas, sean automatizados o no, las pistas de auditoría deben estar siempre presentes, y deben de cumplir con tres requisitos básicos:

  1. Que cualquier transacción pueda ser seguida, desde el documento fuente que la originó, por medio del proceso a que es sometida, hasta las salidas (archivos, consultas por pantalla o informes) y los totales a los cuales se agrega.

  2. Que cada salida o resumen de datos, se pueda seguir hacia atrás, hasta la transacción o cálculos que los produjeron.

  3. Que cualquier transacción generada automáticamente, se pueda rastrear hasta el evento o condición que la generó.

Lo que se persigue es poder determinar a ciencia cierta que toda transacción sea procesada, almacenada y presentada sin ninguna transgresión, que no haya cambios o modificaciones en ella, y los resultados que produce sean autorizados y sean producto fiel y cabal de la transacción que le dio origen; especialmente porque existen procesos que son complejos y que los resultados no son exactamente iguales que el origen y la entrada; se aclara con algunos ejemplos.

--un salario mensual, ya está almacenado en la base de datos y no cambia a menudo, lo más una vez cada seis meses; la salida, en forma de pago, es muy similar mes a mes, con pequeñas variaciones por las deducciones aplicadas, por lo tanto tiene un comportamiento igual, y habría que revisar aquellas variaciones que se vea que se puedan salir de lo normal;

--un salario por horas, es muy diferente, porque las horas trabajadas pueden cambiar de período a período (semana a semana) y, aunque la tasa de pago por hora no cambia periódicamente, el pago debe ser calculado, además, se incluyen otro tipo de horas...

To continue reading

Request your trial