NIA 401: Auditoria En Un Ambiente de Sistemas de Informacion Por Computadora

NIA 401

Auditoria En Un Ambiente de Sistemas de Informacion Por Computadora

(Con relación a la Dipa No. 1008 "Evaluación del riesgo y el control interno carácteristicas y consideraciones del CIS")

(Con relación a la Dipa No. 1009 "Técnicas de Auditoría con Ayuda de Computadora")

CONTENIDO

Introducción

Habilidad y competencia

Planeación

Evaluación del riesgo

Procedimientos de auditoría

Introducción

1. El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar lineamientos sobre los procedimientos que deben seguirse cuando se conduce una auditoría en un ambiente de sistemas de información computarizada (SIC)1. Para fines de las NIAs, un ambiente SIC existe cuando está involucrada una computadora de cualquier tipo o tamaño en el procesamiento por la entidad de información financiera de importancia para la auditoría, ya sea que dicha computadora sea operada por la entidad o por una tercera parte.

2. El auditor deberá considerar cómo afecta a la auditoría un ambiente SIC.

3. El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. Sin embargo, el uso de una computadora cambia el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. Por consiguiente, un ambiente SIC puede afectar:

• Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de los sistemas de contabilidad y de control interno.

• La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor llega a la evaluación del riesgo.

• El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría.

Habilidad y competencia

4. El auditor debería tener suficiente conocimiento del SIC para planear, dirigir, supervisar y revisar el trabajo desarrollado. El auditor debería considerar si se necesitan habilidades especializadas en SIC en una auditoría. Estas pueden necesitarse para:

• Obtener una suficiente comprensión de los sistemas de contabilidad y de control interno afectados por el ambiente SIC.

• Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo al nivel de saldo de cuenta y de clase de transacciones.

Este término se utiliza en esta NIA en lugar de procesamiento electrónico de datos (PED) utilizado en la NIA anterior, "Auditoría en un Entorno de PED".

• Diseñar y desempeñar pruebas de control y procedimientos sustantivos apropiados.

Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un profesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo. Si se planea el uso de dicho profesional, el auditor debería obtener suficiente evidencia apropiada de auditoría de que dicho trabajo es adecuado para los fines de la auditoría, de acuerdo con NIA "Uso del Trabajo de un Experto"

Planeación

5. De acuerdo con NIA "Evaluaciones del Riesgo y Control Interno" el auditor debería obtener una comprensión de los sistemas de contabilidad y de control interno, suficiente para planear la auditoría y desarrollar un enfoque de auditoría efectivo.

6. Al planear las porciones de la auditoría que pueden ser afectadas por el ambiente SIC del cliente, el auditor debería obtener una comprensión de la importancia y complejidad de las actividades de SIC y la disponibilidad de datos para uso en la auditoría. Esta comprensión incluiría asuntos como:

• La importancia y complejidad del procesamiento por computadora en cada operación importante de contabilidad. La importancia se refiere a la importancia relativa de las aseveraciones de los estados financieros afectadas por el procesamiento por computadora. Se puede considerar como compleja una aplicación cuando, por ejemplo:

- El volumen de transacciones es tal que los usuarios encontrarían difícil identificar y corregir errores en el procesamiento.

- La computadora automáticamente genera transacciones o entradas de importancia relativa directamente a otra aplicación.

- La computadora desarrolla cómputos complicados de información financiera y/o automáticamente genera transacciones o entradas de importancia relativa que no pueden ser (o no son) validadas independientemente.

- Las transacciones son intercambiadas electrónicamente con otras organizaciones (como en los sistemas electrónicos de intercambio de datos -EDI ) sin revisión manual para la propiedad o razonabilidad.

• La estructura organizacional de las actividades SIC del cliente y el grado de concentración o distribución del procesamiento por computadora en toda la entidad, particularmente en cuanto pueden afectar la segregación de deberes.

• La disponibilidad de datos. Los documentos fuente, ciertos archivos de computadora, y otro material de evidencia que pueden ser requeridos por el auditor, pueden existir por un corto periodo de tiempo o sólo en forma legible por computadora. El SIC del cliente puede generar reportes internos que pueden ser útiles para llevar a cabo pruebas sustantivas (particularmente procedimientos analíticos). El potencial de uso de técnicas de auditoría con ayuda de computadora puede permitir una mayor eficiencia en el desempeño de los procedimientos de auditoría, o puede capacitar al auditor a aplicar en forma económica ciertos procedimientos a una población completa de cuentas o transacciones.

7. Cuando el SIC es significativo, el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherente y de control. La naturaleza de los riesgos y las características del control interno en ambientes SIC incluyen lo siguiente:

• Falta de rastros de las transacciones. Algunos SIC son diseñados de modo que un rastro completo de una transacción, que

...