Auditoría continua: Construyendo capacidades para una auditoría automatizada

Revista Nº 18 Abr.-Jun. 2004

* Zabihollah Rezaee 

* Peter L. McMickle 

** Ahmad Sharbatoghlie 

*** Rick Elam (Estados Unidos) 

* Profesores de la Universidad de Memphis 

** Consultor de sistemas en Boston MA 

*** Profesor en la Universidad de Mississippi 

Los autores reconocen el apoyo al trabajo de investigación del Fogelman College of Business and Economics de la Universidad de Memphis y los útiles comentarios recibidos de los correctores y del editor (Arnold Wright).

Introducción

La economía digital ha alterado de una manera significativa la forma en que se conducen los negocios y se comunica la información. Un número cada vez mayor de organizaciones está conduciendo sus negocios y haciendo la publicación de sus reportes financieros en forma electrónica y en tiempo real. La práctica de elaborar los reportes financieros en tiempo real parece requerir de una auditoría continua que provea seguridad sobre la calidad y la credibilidad de la información presentada. El proceso de auditoría ha tenido que evolucionar pasando de ser una auditoría manual convencional a una auditoría sistematizada, y además ahora enfrenta el reto de crear auditorías continuas en forma electrónica.

El surgimiento cada vez más rápido de tecnologías de información y la demanda por comunicaciones más efectivas de la información dirigida a los accionistas (y otros interesados) de las compañías, exige que los auditores inventen nuevos mecanismos para monitorear, obtener y analizar la evidencia de auditoría continuamente. La auditoría continua se define como “un proceso de auditoría electrónico e integral que permite a los auditores dar un cierto grado de seguridad a la información continua, simultáneamente, o un corto tiempo después de la revelación de la información”.

Este artículo se basa en una revisión de la literatura al respecto, aplicaciones innovadoras de auditoría continua y las experiencias de los autores. Un acercamiento hacia la construcción de una capacidad de auditoría continua es presentada y además se realiza una descripción de los almacenes y bancos de datos. El mejoramiento constante de la tecnología sugiere que el intercambio de datos financieros sensibles en tiempo real pondrá constante presión sobre los auditores para actualizar las técnicas de auditoría. La mayoría de las nuevas técnicas requeridas, involucran la creación de nuevo software y modelos de auditoría. La investigación en el futuro debería enfocarse en la forma en que se puede mejorar de manera constante la auditoría continua en varios campos, incluyendo aseguramiento, atestación y servicios de auditoría.

El comercio electrónico, el intercambio electrónico de datos (Electronic Data Interchange – EDI) e Internet son herramientas que están cambiando de manera dramática las prácticas comerciales y de almacenamiento de datos. El llevar a cabo negocios en la red permite que las organizaciones se conecten al mundo “en línea” y mejoren todos los aspectos de sus negocios. En este ambiente de alta tecnología, las transacciones comerciales se llevan a cabo integralmente en forma electrónica. Los avances tecnológicos se han transformado en mecanismos de bajo costo y gran rapidez para la transmisión de datos mediante la utilización de hardware que produce información de una manera rápida y fácil utilizando un software que reduce y, en muchos casos elimina tiempo, espacio y otras barreras a la información.

El progreso de la tecnología de la información no solo produce una reducción en los costos de transacción y en los problemas asimétricos de la información, sino que además ha permitido el aumento de las economías de escala con alcance en todos los sectores de los negocios (Albrecht y Sack, 2000). El proyecto Visión del Instituto Americano de Contadores Públicos Certificados (American Institute of Certified Public Accountants – AICPA) ha manifestado que los avances tecnológicos son fuerzas importantes que afectan la profesión contable (AICPA, 1998a).

Tradicionalmente, los reportes financieros de propósito general solo pueden ser producidos sobre una base periódica, principalmente debido a que la información necesaria para generar esos reportes sobre una base de tiempo real resulta muy costosa. Así las cosas, los reportes vienen siendo expedidos meses después de la ocurrencia efectiva de los eventos que representa. En este ambiente, el proceso de auditoría resulta siendo un ejercicio retroactivo que pone a prueba la exactitud de las cifras reportadas.

Hoy las organizaciones pueden producir información financiera estandarizada sobre una base de tiempo real y en línea. Está cercano el momento en el que las compañías permitirán a sus accionistas y a terceros tener acceso a la información financiera corporativa en tiempo real. La contabilidad en tiempo real exige una auditoría en tiempo real para garantizar seguridad continua acerca de la calidad de la información. Así, la auditoría continua puede volverse común en la medida en que los clientes utilicen cada vez más sistemas de contabilidad electrónicos en tiempo real. La auditoría continua permite a los auditores reducir significativamente y quizás hasta eliminar el tiempo entre la ocurrencia de los hechos económicos en el cliente y los servicios de aseguramiento sobre estos hechos.

Este artículo discute la naturaleza de la auditoría continua y describe los bancos de datos de auditoría como un acercamiento de la auditoría a un ambiente de negocios en tiempo real. Un grupo conjunto de estudio del Instituto Canadiense de Contadores certificados (Canadian Institute of Chartered Accountants –CICA–) y de la Junta de Normas de Contabilidad (Accounting Standards Board –ASB- del grupo de estudio del AICPA, (también conocido como el Wood Committe) publicó un informe, Continuous Auditing, en marzo de 1999. Este estudio exploratorio: 1) examina las condiciones que deben existir para hacer viable la auditoría continua; 2) describe cómo podría ser conducido un compromiso hipotético de auditoría continua; y 3) presenta áreas donde se requiere una mayor investigación para la adecuada implementación de la auditoría continua (Study Group, 1999).

Una de las recomendaciones de este grupo de estudio es una mayor investigación por parte de académicos y practicantes de la auditoría continua.

Este artículo es una respuesta a este importante llamado del grupo de estudio. La primera sección discute la contabilidad en tiempo real y los reportes financieros electrónicos y su impacto en la auditoría continua; a esto le sigue una descripción de la definición, concepto y proceso de la auditoría continua. La siguiente sección presenta una metodología para la construcción de capacidades de auditoría continua y describe ilustraciones de aplicaciones innovativas. Finalmente, se presentan conclusiones y sugerencias para estudios futuros.

1. Contabilidad en tiempo real y reportes financieros en formato electrónico

Tomar buenas decisiones depende parcialmente de la calidad y oportunidad de la información. La información electrónica y digital es mucho más oportuna, flexible, accesible, transferible, transparente y puede ser más fácilmente organizada, almacenada, sintetizada y recuperada que la información documental. La tecnología ha permitido a las instituciones llevar a cabo cada vez más, transacciones de manera electrónica y preparar sus estados financieros sobre una base en línea y en tiempo real. Con la utilización de sistemas de contabilidad en tiempo real (real-time accounting –RTA–) gran parte de la información financiera y evidencia de auditoría está disponible únicamente en formato electrónico (Rezaee et al., 2000). Documentos de fuentes tradicionales como las órdenes de compra, facturas y cheques están siendo reemplazados por mensajes electrónicos. Los datos subyacentes a la contabilidad están en formatos electrónicos, tales como las bases de datos relacionales, que pueden ser substancialmente diferentes, en su estructura básica, a los libros diarios y mayores convencionales y a otros informes.

La era electrónica ya está cambiando la forma en que las organizaciones conducen sus negocios y publican sus reportes financieros. En tiempos recientes la mayoría de empresas (más del 80%) está revelando parte de su información financiera a través de Internet mediante la utilización de formato HTML (Rezaee y Hoffman, 2001). El formato HTML resulta efectivo para la transmisión de información básica relacionada con revelaciones financieras. Sin embargo el formato HTML no permite la búsqueda, análisis y manipulación de la información sin bajarla y transferirla a una hoja de cálculo u otra aplicación de software que tenga capacidad para la búsqueda y manipulación. Actualmente la información financiera comunicada a través de Internet se presenta como un duplicado electrónico de los reportes documentales en un formato de hipertexto. El desarrollo reciente del Lenguaje extensible de marcas (eXtensible Markup Language –XML–) y su versión financiera, Lenguaje extensible de marcas de reportes de negocios (eXtensible Business Reporting Language –XBRL–), puede usar estándares de contabilidad financiera aceptados para el intercambio de información contable a través de una variedad de tecnologías, incluyendo Internet. El XBRL irá más allá de la simple reproducción del reporte escrito mediante la descripción de datos y el establecimiento de “etiquetas” individuales para los elementos dentro de los documentos estructurados.

AICPA ha venido trabajando con organizaciones tanto nacionales como internacionales durante varios años para desarrollar las especificaciones del XBRL. La primera taxonomía del XBRL conocida como “Financial reporting for commercial and industrial companies under US GAAP” fue publicada el 31 de julio de 2000. La taxonomía XBRL para entidades sin ánimo de lucro e instituciones financieras está también siendo desarrollada. Las taxonomías son diccionarios de datos de todas las cuentas e información financiera requerida para preparar estados financieros etiquetados con XML de acuerdo con lineamientos establecidos en estándares autorizados (Rezaee y Hoffman, 2001).

AICPA está liderando el esfuerzo para el desarrollo final del XBRL con el apoyo de la comunidad financiera internacional, incluyendo las 5 grandes firmas de contabilidad. Bajo el formato XBRL, la información financiera se ingresa una única vez para luego ser extractada en forma de: estados financieros impresos, documentos HTML para la página web de la entidad, documentos de presentación para propósitos regulatorios, como sería el caso de la SEC, y otros formatos especializados de reportes para efectos fiscales o de crédito. Las grandes compañías ya están permitiendo a sus clientes el acceso en tiempo real a la información corporativa. El XBRL patrocinará la disponibilidad, confiabilidad y relevancia de los estados financieros(1) por medio de la creación de un lenguaje común entre las empresas, organizaciones, auditores y otros usuarios.

Una de las principales características del XBRL es que permite a las empresas preparar los estados financieros en un formato que puede ser leído y utilizado con varias aplicaciones. Esto elimina la necesidad de preparar estados financieros en formatos diferentes, lo que a su vez reduce el tiempo de preparación, permite un ahorro de costos y minimiza la posibilidad de errores en los diferentes documentos. Los usuarios de los estados financieros pueden tener un acceso más fácil a ellos bajando de la red los formatos XBRL. Las etiquetas utilizadas por el XBRL facilitan más que nunca la búsqueda dentro de los estados financieros, pues el éxito se logra de una manera más rápida; adicionalmente la auditoría de estados financieros estandarizados en línea resulta más eficiente y efectiva.

Los cambios señalados en el proceso de reportes financieros exigen la creación de nuevos procedimientos para llevar a cabo auditorías financieras. El objetivo principal de la auditoría y de los estándares de auditoría no cambian. Sin embargo, los documentos y reportes bajo el sistema RTA cambian el papel de los auditores independientes en el proceso de preparación de los reportes financieros, incluyendo el riesgo de auditoría y la naturaleza de las exposiciones. El uso cada vez mayor del comercio electrónico tiende a exigir a los auditores la utilización de técnicas de auditoría en línea y continuas.

Un número cada vez mayor de tecnologías de auditorías emergentes incluyen el uso de software automatizado, técnicas de auditoría continua, módulos de auditoría encriptados, módulos de pruebas integradas y herramientas de auditoría concurrentes, que pueden ser utilizadas en la realización de auditorías electrónicas en línea. Los depósitos y bancos de datos de auditoría específicos mencionados en este documento, están siendo creados para segregar la evidencia de auditoría sobre una base de tiempo real y permitir que estén disponibles para el auditor datos financieros y evidencia de auditoría en un formato que facilita muchas tareas del auditor.

2. Definición de auditoría continua

Los cambios en el ambiente de los negocios y de auditoría sugieren que los reportes anuales tradicionales “retrospectivos” y los reportes de auditoría que se relacionan con los estados financieros pueden no dar respuesta a las necesidades de los usuarios de los estados financieros. Los sistemas de contabilidad en tiempo real, los reportes financieros electrónicos y la auditoría continua están siendo objeto de gran atención de parte de las comunidades contables y de negocios.

Un entendimiento integral de la naturaleza y relevancia de la auditoría continua exige una definición de aceptación general. La auditoría continua ha sido definida de diversas formas tanto en la literatura académica como profesional y en los reportes oficiales emitidos por cuerpos emisores de estándares o entidades especializadas. Por ejemplo, Rezaee et al. (2001, 151) define la auditoría continua como “un proceso sistemático de recolección de evidencia de auditoría electrónica sobre una base razonable para emitir una opinión acerca de la correcta presentación de los estados financieros preparados con sistemas de contabilidad en tiempo real y sin documentos en papel”.

Helms y Mancino (1996, 21) afirman que “históricamente la auditoría continua ha significado el uso de software para detectar excepciones específicas de auditoría entre todas las transacciones procesadas, bien sea en un ambiente de tiempo real o de semitiempo real. Estas excepciones pueden ser investigadas inmediatamente o pueden ser enviadas a la dirección del auditor para su subsiguiente trabajo”. El estudio conjunto de los organismos norteamericanos de contabilidad (CICA y AICPA) define la auditoría continua como “una metodología que permite a los auditores independientes emitir certificaciones escritas sobre algún tema específico, utilizando una serie de reportes de auditoría emitidos simultáneamente, o muy poco tiempo después, de la ocurrencia de los eventos subyacentes a la materia objeto de estudio” (Study Group, 1999, 5).

Para los propósitos de este documento, definimos auditoría continua como “un proceso comprensivo de auditoría electrónica que permite a los auditores dar cierto grado de seguridad en relación con información continua generada simultáneamente, o muy poco tiempo después, de que dicha información sea revelada”. Esta definición genérica de auditoría continua es lo suficientemente amplia para cubrir los tres servicios profesionales que ordinariamente prestan los auditores independientes, es decir, certificación, atestación y servicios de auditoría (assurance, attestation and audit services).

El grado de seguridad y el tipo de información continua determinan el tipo de servicios a ser prestados por los auditores independientes. Por ejemplo, cuando la seguridad suministrada es positiva (alto nivel) y la información continua se refiere a los estados financieros, per se, el compromiso de auditoría continua es considerado como un servicio de auditoría (audit service); cuando la seguridad es negativa (nivel moderado) y la información continua es principalmente financiera, el compromiso de auditoría continua es tomado como un servicio de atestación (attestation service); sin embargo, cuando la seguridad suministrada conlleva información continua sobre cualquier información (ya sea financiera o no financiera), el compromiso de auditoría continua es considerado como un servicio de aseguramiento (assurance service). Sin embargo la auditoría continua permite a los auditores independientes dar mayor credibilidad a la información continua suministrada por la gerencia a terceros. La auditoría continua es útil para muchos clientes y otorga un grado de seguridad o certeza adaptado a sus necesidades específicas.

3. Proceso de auditoría continua

La auditoría continua afecta el proceso tradicional de auditoría en diversas formas. En primer lugar, es razonable esperar que el conocimiento del auditor de los negocios de cliente y de la industria debe incrementarse para asegurar la confiabilidad y relevancia de los documentos electrónicos, registros contables y datos. El conocimiento de la estrategia de negocios de la industria del cliente resulta importante para entender los objetivos de sus negocios y para evaluar los riesgos relacionados y las actividades de control interno. Por ejemplo, en el manejo de auditoría de KPMG, el entendimiento acerca de la estrategia de negocios del cliente es considerado como el primer paso en la evaluación sobre la efectividad y eficiencia de los controles internos y en la creación de expectativas en relación con los balances (Bell et al. 1997).

Los avances en tecnología y el uso de sistemas de contabilidad de tiempo real bajo el formato XBRL alientan a los auditores para dar mayor importancia en los procesos de negocios de sus clientes y a la planeación de la auditoría para determinar el uso adecuado de los reportes financieros electrónicos de acuerdo con las especificaciones y taxonomías de la industria. En segundo lugar, los auditores necesitan entender el flujo de transacciones y actividades de control relacionadas, que aseguren la validez y confiabilidad de la información a través de un sistema RTA. En un sistema de contabilidad en tiempo real, las transacciones son trasmitidas, procesadas y evaluadas electrónicamente y por lo tanto, los auditores deben tener la seguridad de que esas transacciones no están siendo alteradas. El AICPA (1997, 2) establece que “la competencia de la evidencia electrónica normalmente depende de la efectividad del control interno sobre su validez e integridad”.

En tercer lugar, bajo la auditoría continua, el auditor debe utilizar un plan de auditoría orientado hacia el control del riesgo, que busque primordialmente la eficiencia y efectividad de los controles internos del sistema RTA y enfocado menos en pruebas sustantivas de documentos y transacciones electrónicas. La auditoría continua exige de parte de los auditores desarrollar plantillas de control interno específicas para el cliente para: 1) evaluar la eficiencia y efectividad de la estructura de control interno; 2) evaluar los riesgos inherentes y de control; y 3) suministrar detalles de las pruebas auditoría a ser practicadas. Estas plantillas de control interno pueden llevar a cabo pruebas electrónicas de controles sofisticados, incluyendo “firewalls”, autenticaciones, claves de acceso y la encriptación de la información sensible.

Finalmente, la auditoría continua exige que los auditores desarrollen sus propias herramientas de auditoría de software con capacidad para auditar a través del computador o alternativamente adquirir paquetes de software comercialmente disponibles(2). Estas herramientas y técnicas de auditoría continua (Continuous audit tools and techniques –CATTs) permiten a los auditores valorar riesgos, evaluar controles internos y llevar a cabo de manera electrónica una serie de procedimientos de auditoría que incluyen: la extracción de datos, la obtención de información para revisión analítica, extractos de libros mayores y registros contables, selección de pruebas aleatorias de control y pruebas sustantivas para identificar excepciones y transacciones inusuales y llevar a cabo confirmaciones.

La auditoría continua permite a los auditores orientar su enfoque ya no en la auditoría tradicional del “balance general” sino en la auditoría del “sistema y resultados operacionales”. La auditoría continua conlleva una serie de ventajas potenciales que incluyen: 1) la reducción del costo de la auditoría al permitir a los auditores hacer pruebas aleatorias a una muestra más grande (hasta del 100%) de las transacciones del cliente y examinar los datos de una manera rápida y eficiente, más allá de lo logrado con las pruebas manuales; 2) la reducción del tiempo y de los costos tradicionalmente utilizados por los auditores en el examen manual de las transacciones y los saldos de las cuentas; 3) mejoramiento de la calidad de las auditorías financieras, al permitir a los auditores concentrarse más en el entendimiento de la industria y el negocio del cliente y su estructura de control interno; 4) La especificación de los criterios de selección para escoger transacciones y llevar a cabo pruebas de controles y pruebas sustantivas a través del año de manera continua.

La evidencia de auditoría que se reúne al llevar a cabo pruebas de controles puede ser utilizada como una base para reducir los costos de procedimientos analíticos de pruebas sustantivas, pruebas de detalles de transacciones y cuentas de balance. Con la auditoría continua, los auditores pueden llevar a cabo pruebas de controles simultáneamente con procedimientos analíticos de pruebas sustantivas y pruebas de detalles de las transacciones para obtener evidencia persuasiva, en relación con la calidad e integridad de los sistemas electrónicos del cliente, para la producción de información financiera confiable y creíble.

Los auditores llevan a cabo pruebas sustantivas de los detalles de las transacciones para determinar si un proceso erróneo o irregular de procesamiento de estas transacciones ha causado errores materiales en los estados financieros. CATTs puede ser utilizado para llevar a cabo pruebas en las transacciones de manera continua en el transcurso del año, con el propósito de reducir la extensión de las pruebas sustantivas de cuentas de balance, normalmente realizadas después de la fecha de cierre.

La auditoría continua reúne evidencia de auditoría en relación con los siguientes puntos: 1) cómo son recopilados los datos electrónicamente; 2) cómo, de dónde, y de quién se originan los datos; 3) qué técnicas de autenticación son utilizadas; 4) qué redes se utilizan para originar y transmitir datos; y 5) cómo son procesados los datos. Los auditores normalmente utilizan programas especializados (agentes de control) que son definidos por ellos mismos y aplicados a un grupo de transacciones. El agente de control, al encontrar actividades inusuales, primero busca actividades similares que expliquen el patrón de actividad y alerta al auditor si se detectan actividades inusuales sin precedentes (kogan et al., 2000). El agente de control basa su opinión en técnicas analíticas novedosas (como el análisis digital) y la extracción de datos para detectar patrones inusuales.

Los auditores pueden desarrollar sus propios programas de auditoría en línea o adquirir herramientas de sistemas de auditoría disponibles comercialmente (Intacct Corp. 2001)(3). Las herramientas de auditoría en línea de Intacct Corp. incluyen programas de auditoría, cuestionarios y más de 100 hojas de trabajo que pueden crear documentos personalizados o pruebas tanto en excel como en word. Estas herramientas de auditoría también contienen funciones de auditoría tales como: archivos de interrogación y recuperación de papeles de trabajo que permite a los auditores llevar a cabo auditorías continuas en línea. Más específicamente, este tipo de herramientas permite a los auditores: 1) bajar o subir archivos para incluirlos en un archivo de auditoría; 2) crear hojas principales, realizar análisis de ratios, preparar proyecciones y estados financieros; 3) seleccionar criterios de interrogación en relación con los datos del cliente y probar transacciones o saldos de cuentas del balance ; 4) elaborar resúmenes sobre errores sin ajuste; 5) preparar balances de prueba efectivos con ajustes y reclasificaciones y 6) crear documentos en pdf que permitan una más fácil impresión y estudio.

Los programas de auditoría en red permiten a los auditores reunir en línea información relevante sobre el negocio de sus clientes y la industria, para determinar donde yacen los riesgos potenciales y qué controles pueden ser implementados para administrar tales riesgos. Adicionalmente, estas herramientas también permiten a los auditores salirse de la “visión retrospectiva” de auditoría de estados financieros históricos para pasar a la visión de “auditoría continua” de sistemas de contabilidad confiables e integrados, así como también de controles internos adecuados y efectivos.

4. Metodología de la auditoría continua

El desarrollo efectivo de una metodología de auditoría continua exige crear una infraestructura tecnológica de información para acceder y obtener los datos con formatos de diversos tipos y para archivar formatos a partir de diferentes sistemas y plataformas.

Este procedimiento conlleva la estandarización de los datos obtenidos de una variedad de fuentes y sistemas de datos. La estandarización de los datos constituye el aspecto más complejo y retador en la construcción de una capacidad de auditoría continua ya que los costos, complejidades y riesgos de que se introduzcan errores y se duplique la información pueden crear grandes obstáculos para el desarrollo de un análisis tanto de la auditoría como de las posibles soluciones.

4.1. Construyendo capacidades para una auditoría continua

El grado de sistematización en la auditoría continua puede variar dependiendo del diseño de su sistema e implementación. Los procesos altamente sistematizados involucran módulos de auditoría encriptados, en los cuales los programas de auditoría se integran con el código de fuente de la aplicación para monitorear de manera constante e informar acerca de eventos significativos en la auditoría. Otros procesos menos sistematizados pueden involucrar la capacidad para capturar, transformar y cargar datos de manera automática, pero en todo caso requieren de una participación del auditor para cargar las búsquedas que permiten aislar las excepciones y detectar patrones inusuales. Así, existen diferentes aproximaciones y métodos para llevar a cabo una auditoría continua.

Aquellas compañías con sistemas de datos dispersos y variados pueden optar por diseñar e implementar un depósito de datos (audit data warehouse) de auditoría que permita almacenar una gran cantidad de datos para pruebas de auditoría y análisis. Un depósito de datos es un receptáculo para archivar transacciones capturadas de diversos sistemas comerciales. Idealmente, estos deben tener una gran capacidad para poder procesar altos volúmenes de datos en la medida en que la cobertura de la auditoría aumente. Frecuentemente la implementación de modelos de auditoría encriptados en sistemas complejos con multitud de características sistemáticas e interrelaciones de datos puede resultar demasiado costosa. En estas circunstancias, los auditores pueden sacar beneficios al construir sistemas de auditoría expansivos de bancos de datos, cuyo objetivo es automatizar la captura de las transacciones, la auditoría y el proceso de elaboración de reportes financieros.

Resulta imperativo que el software y herramientas de auditoría utilizados para la adquisición, transformación de datos, pruebas de auditoría y reportes financieros sean capaces de relacionarse entre ellos. La construcción de una capacidad de auditoría continua puede requerir que se desarrollen aplicaciones que utilicen diversos tipos de software para el manejo de requerimientos multifacéticos de datos. El gráfico 1 muestra las diversas fases en el desarrollo de una capacidad de auditoría continua. Las fases están interrelacionadas y no necesariamente en un orden lineal y serán discutidas en las siguientes páginas.

El gráfico 2 muestra un acercamiento general a las pruebas y análisis de auditoría que también evidencia las interrelaciones entre las varias fases del desarrollo de pruebas de auditoría automatizadas y análisis de capacidades.

En el gráfico 2 varias de las fases que se incorporan en el gráfico 1 se muestran como una sola fase para propósitos de resumir los procesos. Por ejemplo: las fases de extracción de datos, creación de metadatos y carga de datos se combinan como ETL en el gráfico 2. Las pruebas de control conjunto y secciones de análisis del gráfico 2 facilitan el entendimiento entre los gerentes de las unidades de negocios de la información tecnológica (IT), de los auditores y las aplicaciones relacionadas con los objetivos de un proyecto de auditoría continua, los métodos de pruebas de control, los criterios para la formulación de preguntas y desarrollos y los requisitos para el reporte de excepciones.

En los gráficos 1 y 2, las primeras dos fases –1) definición de objetivos de auditoría y descripción de los controles internos, y 2) el entendimiento de las reglas comerciales aplicables a los datos –son requisitos para cualquier función de auditoría. Todo compromiso de auditoría implica probar las afirmaciones de la gerencia (por ejemplo la existencia de activos) mediante la recolección de evidencia competente y suficiente. Los auditores independientes deberían considerar la disponibilidad de la evidencia en un formato electrónico y su implicación para determinar la extensión de las pruebas de controles y la naturaleza, tiempo y extensión de las pruebas sustantivas.

La existencia cada vez mayor de tecnología de información y el uso del comercio electrónico exige que los auditores obtengan evidencia de forma electrónica y en consecuencia promueven que la profesión contable incorpore el concepto de la evidencia electrónica dentro de los estándares profesionales. Es así como, en diciembre de 1996 la Junta de Estándares de Auditoría (Auditing Standard Board –ASB–) expidió la declaración sobre estándares de auditoría (Statement on auditing standards –SAS–) N° 80, modificando SAS 31 and evidential matter (AICPA, 1996). SAS 80 establece que los auditores de entidades que transmitan, procesen, mantengan o tengan acceso a grandes cantidades de información electrónica pueden no tener la capacidad de reducir el riesgo de detección a un nivel aceptable por llevar a cabo únicamente procedimientos sustantivos, que exigen llevar a cabo pruebas a los controles para obtener evidencia que permita lograr un nivel de riesgo de control lo suficientemente inferior al máximo.

Cierta evidencia electrónica puede existir en un momento específico, pero puede no estarlo después de un tiempo si los archivos son cambiados y no se tiene un backup. El auditor debe considerar el tiempo durante el cual la información se mantiene o está disponible para determinar la naturaleza, tiempo y extensión de las pruebas sustantivas. AICPA publicó además un estudio sobre procedimientos de auditoría, The information technology age: Evidential matter, con el objeto de suministrar a los auditores una guía adicional para la aplicación de las normas de SAS Nº 80 (AICPA, 1997).

ASB, en abril de 2001 expidió el SAS N° 94, The effect of information technology on the auditor’s consideration of internal control in a financial statement audit (AICPA 2001). El SAS N° 94, que reforma el SAS N° 55 (AICPA 1998b) suministra una guía sobre el efecto de la tecnología de la información (TI) en el entendimiento del auditor del control interno, evaluación del riesgo de control y sus impactos en los procedimientos de auditoría. Las provisiones de SAS N° 94 tienen aplicación en la auditoría continua al proveer guías a los auditores para conocer mejor: 1) los efectos de la TI sobre la estructura de control interno; 2) los tipos de control de TI importantes para la auditoría continua; y 3) los procesos de reportes financieros bajo sistemas de contabilidad de tiempo real (AICPA, 2001).

 

rev18audit1.JPG
 

 

Los CATTs de mayor utilización para probar la efectividad de la estructura de control interno son: 1) Datos de prueba o posibilidades de pruebas integradas (integrated text facilities -ITF-) para determinar si el sistema RTA procesa correctamente las transacciones válidas e inválidas y para verificar la efectividad e integridad del proceso; 2) simulación paralela para replicar algunas partes de las aplicaciones del cliente para evaluar la efectividad de las actividades de control; 3) procesamiento concurrente de módulos de auditoría incorporados directamente en las aplicaciones de mayor importancia para hacer una selección continua y monitoreo del procesamiento de datos; y 4) simulación continua e intermitente (continuous and intermittent simulation –CIS-) para seleccionar transacciones durante el proceso que permita efectuar la revisión y proporcionar capacidades de auditoría en línea. Las técnicas de auditoría concurrente, tales como el enfoque snapshot y el control de sistemas y las facilidades para la revisión de auditoría (Snapshot approach and systems control and audit review facility –SCARF–), deberían recibir una mayor atención y uso bajo una auditoría continua, al probar la efectividad de la estructura de control interno del cliente.

Bajo los sistemas de contabilidad en tiempo real, el rastreo de auditoría basada en papel, que documenta la secuencia de eventos en el procesamiento de una transacción, en muchas ocasiones no existe. Cuando no existe una prueba de auditoría, la auditoría continua recoge evidencia al mismo tiempo que se procesan las transacciones, de manera electrónica. Los CATTs que pueden utilizarse en la auditoría continua como la ITF, son normalmente utilizados en un ambiente de auditoría EDP y detalles sobre los mismos se pueden encontrar en la literatura usual de tecnología de auditoría (como por ejemplo Warren et al. 1996; Kanter, 2001).

El método ITF exige la creación de pequeños subsistemas dentro de los aplicativos del cliente para comparar los procesos de datos de pruebas de auditoría contra los datos del cliente como un mecanismo para verificar la autenticidad, exactitud e integridad del proceso. SCARF es un método que se incluye dentro de los programas de procesamiento de datos para llevar a cabo procedimientos de prueba de manera continuada, de acuerdo con criterios de auditoría seleccionados tales como límites especiales y razonables. Esta técnica exige incluir módulos de software de auditoría dentro de la aplicación del cliente para suministrar un monitoreo permanente del sistema de procesamiento de transacciones. Aquellas transacciones y eventos que estén de acuerdo con el criterio especificado por el auditor son pasados a un archivo, al cual solo tiene acceso el auditor para un análisis más completo.

El método snapshot que consiste en tomar una “foto” de los elementos de la base de datos antes y después del procesamiento por computador de las operaciones, es utilizado para determinar si los procesos de actualización actúan correctamente. Este software encriptado en los aplicativos normalmente captura una imagen antes y después de llevar a cabo la transacción en línea y almacena los resultados en un archivo expandido para estudio del auditor.

En una compañía grande, el administrador de la unidad de datos (ver gráfico 1, fase 3) es de vital importancia. El administrador de la unidad de datos puede suministrar información esencial en relación con las definiciones de datos, la presentación de los archivos (gráfico 1, fase 4) y puede identificar datos claves para permitir la realización de las pruebas de auditoría (gráfico 1, fase 5). La siguiente fase involucra el establecimiento de mecanismos para permitir el acceso a los datos y protocolos de autorización (gráfico 1, fase 6) por medio de los cuales la aplicación de auditoría continua puede conectarse simultáneamente a múltiples plataformas para capturar y transferir datos. Los datos contenidos en los sistemas de datos empresariales frecuentemente se encuentran en diversas ubicaciones, bancos de datos múltiples y en diversas plataformas y sistemas de datos, algunos de los cuales son altamente interrelacionados. Las plataformas múltiples, dispersas geográficamente, pueden interactuar así para generar una sola transacción. Una solución de auditoría continua debe permitir a los auditores tener acceso rápido y obtener datos que se encuentren en cualquier plataforma empresarial, tal como SAP R/3, Baan, PeopleSoft, Oracle o SQL, o en cualquier formato de archivo como: IMS, VSAM, ASCII, MDB, CSV, XLS, TXT, utilizado por grupos empresariales.

Las plataformas de sistemas empresariales, como SAP R/3, ofrecen herramientas poderosas para la auditoría en línea y para la evaluación de controles internos, incluyendo capacidades de conexión, habilidades para rastrear transacciones disponibles de principio a fin y herramientas de seguridad (Gibbs, 1998).

Los datos que se capturan mediante aplicaciones de auditoría continua pueden ser guardados en bancos de datos (audit data mart) para pruebas y análisis. Los bancos de datos constituyen conceptos bien conocidos en la literatura sobre conservación y almacenamiento de datos. David y Steinbart (199, 30) definen los almacenes de datos como “una gran piscina de datos –de una empresa– un receptáculo de gran cantidad de datos –con herramientas para extraer y analizar datos”.

Un almacén de datos integra datos de todos los sistemas aplicativos dentro de la organización. Los bancos de datos son depósitos de datos más pequeños, basados sobre almacenes de datos, que se enfocan únicamente en un área funcional (por ejemplo contabilidad o mercadeo) y, por lo tanto integran datos en relación con un número limitado de sistemas aplicativos (David y Steinbart, 1999). Con la utilización de un modelo de almacenamiento de datos, la información sobre la extracción de estos (como por ejemplo el acceso a tablas de fuentes o la selección de columnas), la transformación de los mismos (como por ejemplo la edición, el renombramiento el etiquetado y la clasificación) y las pruebas de auditoría (como la aplicación de diversos escenarios de prueba) quedan guardados en los meta datos de auditoría (gráfico 1, fase 9).

Un banco de datos creado para una unidad de negocios se desarrolla a través de tres fases: extractar, transformar y cargar (extract, transform, and load –ETL–). Las fases 7 a 9 en el gráfico 1 evidencian el proceso de ETL. La última etapa en la construcción de una capacidad de una auditoría continua automatizada es la introducción de pruebas estandarizadas de auditoría que residan en los bancos de datos de la auditoría. Estas pruebas están en continuo funcionamiento o a ciertos intervalos programados (diariamente, semanalmente, mensualmente) y recogen de manera automática evidencia de auditoría y generan reportes sobre excepciones para la revisión y consideración del auditor.

Varios factores contribuyen a la necesidad de tener almacenes de datos de auditoría y bancos de datos. Entre estos factores están: la fragmentación física y lógica de datos, las diferencias de tiempos entre las bases de datos, la falta de integridad y consistencia de los datos empresariales, la incorrecta o incompleta definición de datos y reglas de negocios, los rastreos de auditoría incompletos y las limitaciones de acceso a los sistemas de producción de los negocios y los millones de transacciones y registros creados y actualizados diariamente.

La arquitectura técnica conceptual de un sistema de auditoría continua se muestra en el gráfico 3. Un modelo óptimo de auditoría continua debe combinar el poder de la arquitectura existente entre el cliente y el servidor con los datos accesibles por red para entrega a las estaciones de trabajo de auditoría.

En primer lugar los datos deben ser capturados desde los sistemas de transacción ya sea a través de un vínculo directo con tablas específicas, utilizando el protocolo para la transferencia de archivos (file transfer protocol -FTP-), o bien a través de la lectura de datos desde una cinta, bajando estos a un archivo zip o transfiriéndolos a través de un módem en línea para guardarlos en un servidor de auditoría que tenga la capacidad para ello.

Los datos que se extraen de diversas plataformas y sistemas deben sufrir un proceso de estandarización. Esta exige el desarrollo de una serie de estándares para el almacenamiento de datos en los almacenes o depósitos de datos de la auditoría. Por ejemplo, la fecha de la transacción puede ser almacenada en formatos diferentes (como fecha-hora, año-mes-día). Dependiendo de la complejidad de la transformación de datos, el procesamiento puede hacerse bien sea en la aplicación fuente o por el contrario se pueden bajar las transacciones para posteriormente transformarlas y limpiarlas en el servidor de auditoría. El mecanismo que se escoja puede incrementar los costos debido a que el procesamiento en el mismo ambiente de sistemas puede resultar más costoso que el procesamiento en un servidor.

El modelo de solución de auditoría continua presentado aquí, es capaz de facilitar la transformación de datos mediante la limpieza, validación, etiquetado, renombramiento de columnas y variables y la “limpieza” de los mismos datos con reglas de negocios. La limpieza de los datos puede lograrse a través de varias herramientas de software comercial avanzadas que utilizan interfases de usuarios gráficas (graphhical user interfase –GUI–) para generar la necesaria transformación lógica de datos o a través de la generación de códigos personalizados y la ejecución por lotes (batch).

 

rev18audit2.JPG
 

 

El modelo de auditoría continua presentado en el gráfico 3 no exige la implementación de un almacén de datos de grandes proporciones. El costo y complejidad de esta iniciativa pueden ir más allá del alcance de la mayoría de los departamentos de auditoría corporativos. Por lo tanto, el objetivo es el de alimentar de manera automática varios bancos de datos y periódicamente extraer datos específicos con base en un plan de pruebas de auditoría, tomado de grupos de datos que contengan menos elementos para su transformación.

El banco de datos consiste en una serie de “metadatos” estándar que contienen la documentación requerida para las transacciones fuente y el proceso ETL (como las definiciones de archivos, las reglas comerciales, los flujos de procesos, etc.). Dependiendo del grado de interrelación entre las unidades de negocios, cada unidad puede tener su propio banco de datos de auditoría o varias unidades pueden compartir y utilizar la misma base de datos en caso de estar altamente interrelacionadas. Los datos que se extraigan y transformen de diversos bancos de unidades de negocios serán archivados físicamente en un servidor de datos de auditoría para facilitar el acceso, análisis y generación de reportes. La idea aquí no es duplicar las bases de datos corporativas. Solo algunas transacciones específicas que hayan sido definidas como portadoras de un riesgo de auditoría serán extraídas y archivadas en el depósito de datos de auditoría. Por ejemplo un archivo de negociaciones de inversiones puede contener cientos de columnas y millones de registros. Sin embargo, solo algunas de las columnas que contienen rastros de auditoría claves (como por ejemplo, la identificación del usuario, el nombre del cliente y el número de la cuenta, la fecha, valor y tipo de transacción) serán consideradas para las pruebas de auditoría.

El acceso a las bases de datos de auditoría estaría normalmente limitado a los auditores, gerentes de unidades de negocios y a los funcionarios a cargo de la seguridad corporativa, quienes necesitan desarrollar fácilmente pruebas de auditoría y obtener reportes sobre excepciones desde sus estaciones de trabajo. Estos usuarios pueden realizar pruebas y obtener reportes sin preocuparse por las complejidades de la obtención, transformación y cargue de datos.

Los usuarios finales de los bancos de datos de auditoría deben estar equipados con el software apropiado a sus necesidades. Las dos categorías genéricas de usuarios de bancos de datos de auditoría son los usuarios específicos y los analíticos. Los usuarios específicos son aquellos que solo necesitan examinar los reportes de excepción y que no están interesados en interactuar con los datos a través de pruebas estándar de auditoría automatizadas y predefinidas. Los usuarios analíticos construyen sus propias pruebas con el fin de encontrar respuestas a sus preguntas y necesitan unas herramientas de software sofisticadas para la extracción y análisis de datos, para soportar su interacción con las bases de datos de auditoría.

Un banco de datos de auditoría integrado que responda a las necesidades de los dos grupos de usuarios arriba mencionados debe tener como mínimo las siguientes características:

• Posibilidad de hacer preguntas, análisis y reportes integrados a través de una interfase unificada de usuarios –que cubra la mayoría de ambientes operacionales, de hardware y de red, a través del servidor del cliente y la red;

• Una línea de producto de fácil utilización pero que sea lo suficientemente poderosa para las necesidades de los usuarios analíticos;

• Capacidad para correr aplicativos de Windows (con los resultados de las pruebas fácilmente extraíbles a hojas de trabajo comunes y aplicaciones de bases de datos para facilitar la manipulación por parte de los usuarios finales);

• Una herramienta de búsqueda capaz de extraer y procesar altos volúmenes de datos;

• Datos agregados y una base de datos multidimensional con capacidad para obtener resúmenes de datos a través de dimensiones de auditoría definidas y mediante la relación de múltiples tablas provenientes de diferentes fuentes;

• Capacidad de procesamiento estadístico avanzado para diferentes grupos de datos (simple, aleatoria, estratificada y por grupos), exploración de datos (frecuencia de distribución, planificación de datos y agrupamiento, medidas de tendencia central y medidas de dispersión), análisis de correlación y regresión, resumenes de datos (principal componente del análisis) y capacidad de crear modelos estadísticos (análisis grupal, análisis discriminante y análisis de regresión múltiple); y

• Capacidad de visualización de datos para su exploración y la identificación de patrones y tendencias en los mismos.

El desarrollo de un informe de auditoría adecuado exige la colaboración entre los grupos de sistemas de TI de las unidades de negocios y los auditores. La interacción entre el personal del proyecto para el diseño e implementación de un banco de datos de auditoría se ilustra en el gráfico 4. Los depósitos de datos de auditoría y los bancos de datos junto con las herramientas de análisis mejoran el entendimiento del auditor de los negocios del cliente, ayudan a los auditores a manejar la cada vez mayor cantidad de complejidades de los sistemas transaccionales, a evaluar los riesgos y controles internos relacionados, y a monitorear los costos de auditoría manteniendo al mismo tiempo estándares de calidad (Goderre, 2001; Stinger y Stewart, 1996; Nigrini, 2000).

 

rev18audit3.JPG
 

 

4.2. Aplicativos de auditoría continua

El uso de software para la extracción y análisis de datos en los departamentos de auditoría ha aumentado significativamente en los últimos años y está reemplazando los métodos manuales tradicionales de la auditoría. Glover y Romney (1998) reportan que la mayoría de los auditores internos (94%) actualmente utilizan software para extraer o importar datos de las bases de datos contables. Bajo una auditoría continua, los auditores externos también deberían utilizar los depósitos de auditoría y los bancos de datos para conducir electrónicamente una porción significativa de los procesos de auditoría. David y Steinbart (2000) reportan que el uso de depósitos de datos mejora la calidad y eficiencia de la auditoría al reducir el tiempo requerido para acceder a la información y llevar a cabo el análisis de datos.

Las nuevas estrategias de auditoría en conjunto con los conceptos de depósitos de datos y bancos de datos de auditoría han mostrado ser efectivos y eficientes en la expansión de las capacidades de los auditores en el manejo de ambientes de negocios cada vez más complejos. Por ejemplo, Carolina Power and Light, adoptaron un sistema de auditoría para monitoreo selectivo y evaluación de riesgos y tendencias (Selective monitoring and assessment of risks and trends -SMART) para identificar problemas potenciales de la auditoría, tendencias desfavorables y variaciones inusuales medidas por indicadores claves. Al utilizar CATTs, el departamento de servicios de auditoría ha podido analizar las interrelaciones de datos entre varios grupos de negocios sobre una base continua. Para monitorear la eficiencia de los ingenieros de distribución cuando se diseñan e instalan líneas de distribución, los auditores en colaboración con las unidades de negocios pueden monitorear desviaciones de órdenes de trabajo, comparar los costos estimados del trabajo con los costos reales y la facturación estimada del cliente con la facturación real para la construcción de las líneas (Rose y Hirte, 1996).

Otro ejemplo del modelo de auditoría continua se encuentra en Exxon Company USA, una división de Exxon Corporation; que cuenta con alrededor de 85 auditores internos, cinco de los cuales están asignados a un nuevo grupo de auditoría de aplicaciones (Audit application group - AAG). El AAG fue creado debido a la convicción de los gerentes de auditoría interna de que la tecnología avanzada en computadores para la auditoría, beneficia a toda la compañía.

El personal tradicional no entendía verdaderamente la necesidad funcional de los auditores. Entrenar nuevamente a los auditores para acceder, transformar y cargar datos habría resultado muy costoso. En cambio se creó el AAG para relacionarse con los clientes e identificar fuentes de datos, acceder y cargar datos y suministrar un repositorio de datos de alta demanda (por ejemplo proveedores, cuenta de gastos, detalles financieros), estructurar y crear pruebas de auditoría mediante la formulación de preguntas y formatos para ayudar a los auditores a examinar los datos, llevar a cabo encuestas relacionadas con los pasos para la recuperación de datos a través de la Bibilioteca de referencia de la auditoría (Audit reference library -ARL-) y suministrar un sistema de referencia para el entrenamiento y apoyo de proyectos especiales.

El AAG creó la ARL con información de 110 grandes archivos de datos y procesos de auditoría, para reducir significativamente los costos, utilizando computadoras de mayor alcance de una manera más controlada y, reducir la necesidad de entrenar al personal para crear habilidades de acceso a los datos (por ejemplo: JCL, TSO, ISPF), y así ahorrar los extracostos de entrenamiento (Marwill y Lappin, 1996).

Los problemas de auditoría dentro de los departamentos de transferencias de una institución que presta servicios financieros nos da otro ejemplo de la aplicación del concepto de auditoría continua, discutido en este documento. En una entidad financiera, los fondos se transfieren normalmente a solicitud del cliente, de las cuentas del cliente hacia bancos externos. Los bancos externos envían reportes de confirmación que detallan las actividades realizadas. Al auditor le interesa asegurarse que todas las transferencias se hayan completado. Aunque el departamento de conciliaciones seguramente detectará cualquier transferencia no autorizada el día siguiente, este tiempo puede no ser aceptable para prevenir la transferencia de fondos a cuentas no autorizadas y el consecuente retiro por parte de estafadores.

Teniendo en cuenta los riesgos y el volumen de las transferencias, es prudente utilizar un sistema de auditoría y monitoreo continuo para detectar transacciones no autorizadas. El auditor no puede contar solamente con una revisión manual de los fondos transferidos. La comparación electrónica de las transacciones y los registros de confirmación requieren acceso a los archivos de transferencia. Sin embargo, los datos electrónicos no siempre están disponibles en un formato que pueda ser analizado rápidamente por el auditor. El siguiente cuadro muestra el recorrido de una transferencia normal. La fuente de la transferencia no tiene columna de encabezados y cada registro es almacenado en cuatro líneas como sigue:

1. “NONREP,5419121,CO,ACHCD,36833.19,,,01/14/2000,22,,,,,,,,,,”
2. “BENE,,,29019000519053202,Jonh Brown,,,,,,,,,,,”
3. “BANK,,191234035,,,,,,,,,,,”
4. “DETAIL,NTE*UMB Bank”

Al utilizar la metodología de auditoría continua expuesta en este documento, los procedimientos almacenados pueden ser utilizados para transformar el anterior registro a un formato que pueda ser modificado para análisis del auditor. La siguiente tabla muestra el anterior registro de giro después de la transformación. El detalle del giro, tal como: el valor de la transacción, la fecha, el número de la cuenta y el ABA, son almacenados en sus correspondientes columnas en una sola fila. Este registro puede ahora ser analizado por el auditor.

Folio cod.CoPaytypeAmountValdateBenacctBennameAbaBkdetail
5419121CoAchccd$ 36.833,1901/14/200019019000519Jonh Brown191234035NT E*Umb Bank

Varias pruebas predefinidas de auditoría pueden desarrollarse y archivarse electrónicamente en comandos para ser ejecutados por el auditor. Al activar un solo botón el auditor dispara varios procesos archivados para acceder/transformar y vincular los registros de giros recibidos y enviados a los bancos, llevar a cabo pruebas de auditoría predefinidas y generar reportes de excepciones que deban investigarse. Así el auditor no tiene que preocuparse sobre como leer los archivos fuente, ni adquirir habilidades de programación para transformar o utilizar varias horas en el análisis de los datos.

Una interfase hipotética de un usuario de auditoría para un departamento de transferencias electrónicas se muestra en el gráfico 5. Cada botón de comando marcado con un OK dispara procedimientos archivados para llevar a cabo la prueba de auditoría descrita y para generar reportes de excepciones. Por ejemplo, al activar el primer comando se generará un reporte que contiene cada registro, bien sea el nombre del beneficiario, el número de la cuenta, la suma de diferencia entre los registro de envío y el registro del banco girador y receptor. Para asegurar la segregación de tareas, la persona que apruebe el giro (la persona autorizada para aprobar la transferencia de los fondos) y el transmisor del giro (la persona que lo envía) deben ser personas distintas. Este control evita que un individuo al aprobar y trasmitir el giro lo haga para beneficio personal a una cuenta fraudulentamente diseñada.

El auditor debe poder vincular electrónicamente los archivos detallados de transferencias electrónicas con el archivo de autorización del giro, que contiene los nombres, identificaciones del usuario y el rol o función de los funcionarios autorizados para determinar si hubo una falla en los controles. Sin embargo, el tiempo asignado para un proyecto típico de auditoría no permite al auditor llevar a cabo todas estas funciones manualmente. Idealmente la totalidad de la función de auditoría de las transferencias electrónicas debería ser encriptada en los archivos fuente de la aplicación. Sin embargo esta solución requiere la colaboración de varias unidades de negocios, de los bancos externos, de los proveedores comerciales, quienes pueden tener restricciones sobre los derechos de desarrollo para el software aplicativo de las transferencias electrónicas.

Gráfico 5
Una guía hipotética para la auditoría de transferencias electrónicas
Pruebas y análisis de auditoría
1El nombre del beneficiario, el número o números de cuenta o la suma difieren en el giro y en la hoja de confirmaciónOK
2Entrada o aprobación de la confirmación recibida del banco en blancoOK
3Entrada o aprobación en la confirmación no concuerda con la tabla de autorizacionesOK
4El digitador y la persona que aprueba son los mismos en el archivo de confirmación. Se detectan varias filas que se fusionan con una tabla abierta para determinar si el digitador y quien aprueba se encuentran en el archivo de identificación. También determina si el porcentaje de dinero enviado; el digitador y quien aprueba son la misma persona.OK

Conclusiones

La tecnología permite a las compañías hacer negocios y publicar su información financiera en tiempo real. Los rastros tradicionales de auditoría documental están desapareciendo al igual que el tiempo transcurrido entre la realización de las transacciones y su aparición en estados financieros publicados se está volviendo cada vez más corto. Los sistemas de contabilidad en tiempo real exigen que los auditores empleen una auditoría electrónica continua debido a que la mayoría de la evidencia de auditoría solo existe en formato electrónico y en muchos casos solamente por un período corto de tiempo.

El proceso de auditoría ha dejado de ser una auditoría manual tradicional de documentación en papel y se ha convertido en una auditoría computarizada, y por necesidad está caminando hacia una auditoría continua, sin papel, en línea y en tiempo real. Etiquetar la información financiera mediante la utilización de estándares tales como XBRL, permite a las organizaciones intercambiar y extraer libremente la información financiera a través de formatos de software y tecnologías, incluyendo Internet.

Este artículo presenta un acercamiento para la construcción de capacidades de auditoría continua y una descripción de lo que son los depósitos y bancos de datos. Se define la auditoría continua aquí como un “proceso electrónico de auditoría que permite a los auditores dar un cierto grado de certeza sobre la información continua, simultáneamente, o poco tiempo después de la revelación de la información”. La auditoría de reportes financieros electrónicos de acuerdo con los principios de auditoría generalmente aceptados (GAAS) presenta desafíos sin precedentes para los contadores. El actual GAAS contiene un número de estándares en relación con los estados financieros en formato electrónico, sin embargo estos no están compilados actualmente en un solo documento. El uso de una auditoría continua permite a los auditores predefinir un cierto número de atributos (como el modelo “snapshot”, sistemas de control y facilidades para la revisión de la auditoría -Scarf-) que continuamente seleccionan, monitorean y analizan el sistema de información contable y la estructura de control interno del cliente. La auditoría continua consiste en una serie de pasos que se describen en este artículo. Los bancos y depósitos de datos de auditoría pueden ser utilizados para recoger evidencia al mismo tiempo que se lleva a cabo la tarea de procesamiento. Los bancos de datos son fuentes eficaces de evidencia de auditoría para un posterior análisis, mediante la utilización de software creado por los auditores o comprado de diversas fuentes disponibles en el mercado.

El desarrollo permanente de la tecnología sugiere que el intercambio en tiempo real de datos financieros sensibles ejercerá cada vez más presión sobre los auditores para actualizarse sobre técnicas de auditoría. La mayoría de las nuevas técnicas que se requerirán involucrarán la creación de software y modelos de auditoría. Este documento inicia una discusión general e identifica las implicaciones potenciales de la auditoría continua y su probable impacto sobre las actividades de la auditoría.

Investigación futura

En la medida que el ambiente de negocios y los procesos de reportes financieros continúen cambiando como respuesta a los avances tecnológicos, también debe hacerlo la auditoría. La investigación es esencial para ayudar a los auditores a mantenerse al ritmo o incluso ir un paso más delante de los cambios en tecnología. La auditoría continua es un tópico con un potencial ilimitado de investigación(4).

La investigación futura es necesaria para direccionar las siguientes preguntas:

¿Es inevitable la auditoría continua?

Este artículo en conjunto con un estudio realizado por Vasarhelyi y Harper (1991) se ha referido a la importancia y relevancia de la auditoría continua bajo procesos de reportes financieros electrónicos y en tiempo real. Sin embargo, la investigación futura debe examinar los puntos de vista de practicantes y académicos en relación con la demanda de auditoría continua y su relevancia y aplicación en varios dominios de la auditoría.

¿Qué estándares y métodos de auditoría se requieren para suministrar servicios de auditoría continua de manera efectiva y eficaz?

Este documento identifica los bancos y depósitos de datos como piedras angulares en los procesos de auditoría continua. Los depósitos de datos debe ser estudiados para identificar qué almacenes de datos deben necesariamente copiarse para obtener informes de datos completos para propósitos de auditoría. Adicionalmente, la metodología de depósito de datos requiere investigaciones acerca de mecanismos que aseguren la confiabilidad de la duplicación de la producción de datos, metodologías de espejos de datos y oportunidad de la replicación.

Al asegurarse de la integridad de los datos tanto en los depósitos y en los bancos de datos, es un asunto de gran preocupación. Una metodología específica de transformación para la creación de bancos de datos a partir de depósitos de datos de auditoría es un tema de suma importancia. No estamos lejos, de que el 100% de las tareas de auditoría sean posibles con la tecnología actual. Se requiere de nuevos modelos estadísticos para capitalizar la calidad y cantidad de los datos de auditoría que se encuentran disponibles en los bancos de datos. Los estudios futuros deben examinar: 1) la posibilidad de crear un sistema de conexión abierto a las bases de datos, que responda a las especificaciones del depósito y banco de datos de la organización; 2) los problemas de la contabilidad y auditoría de sistemas contables en tiempo real y auditoría continua incluyen lavaloración, el reconocimiento de ingresos, seguridad, exposición, actividades de control y procedimientos de auditoría; 3) los aspectos de auditoría continua (por ejemplo oportunidad, naturaleza y extensión) que difieren la auditoría tradicional de los estados financieros; 4) la necesidad de estándares de auditoría electrónica; 5) el grado de certeza otorgado y riesgo de auditoría tomado en varios campos de la auditoría continua (aseguramiento, atestación y servicios de auditoría); y 6) los efectos de la auditoría continua en los objetivos e independencia del auditor cuando las herramientas –CATTs– están encriptadas en los sistemas de contabilidad en tiempo real del cliente.

¿Cuáles son las experiencias de organizaciones que hayan implementado la auditoría continua?

Los futuros casos de investigación experimental pueden describir un acercamiento novedoso que integra metodologías de auditoría continua dentro de una organización, como por ejemplo, cuando un sistema de planeación empresarial está presente (Enterprise resource planning –ERP–). Estos casos podrían: 1) compartir ideas en relación con la aplicación de la auditoría continua en una serie de dominios de la auditoría y la contabilidad; 2) establecer las mejores prácticas para los servicios de auditoría continua; 3) suministrar un mejor entendimiento y uso de la metodología de auditoría continua; y 4) mostrar cómo otros llevan a cabo una auditoría continua, eficaz y efectiva.

¿Cuál debe ser el cubrimiento pedagógico de la auditoría continua en un currículo de formación contable?

Otro tema que exige la atención de los investigadores es conocer cuál es la educación apropiada para profesionales de la contabilidad y auditores. El currículo de contabilidad requiere incluir una exposición apropiada de la tecnología que deberán enfrentar los profesionales de la contabilidad en la práctica como auditores o contadores. La tecnología de bases de datos es utilizada por todo tipo de organizaciones debido a que todas utilizan algún tipo de software contable, que va desde el Quicken hasta el SAP. Los auditores con seguridad se enfrentan con servidores, bases de datos, esquemas para etiquetar datos, etc. que deberán examinar. Un entrenamiento adecuado resulta esencial para todos los auditores, particularmente aquellos que trabajan en ambientes de reportes financieros en tiempo real. Las investigaciones futuras en la educación contable deben examinar métodos de: 1) integración de tecnologías de información, incluyendo comercio electrónico y sistemas de contabilidad en tiempo real en el currículo; y 2) inclusión de la auditoría continua en los cursos de auditoría. Con el desarrollo y utilización de la auditoría continua, será necesario que los programas educativos integren el análisis y diseño de sistemas, depósitos de datos, extracción de datos, administración de sistemas de bases de datos, reportes financieros en formatos electrónicos incluyendo XBRL, en el currículo de auditoría.

¿Cuáles son las oportunidades más prometedoras para la auditoría continua y los contratos de aseguramiento?

Existen oportunidades sustanciales para los practicantes, académicos y organismos emisores de estándares para aplicar la auditoría continua en el ambiente de auditoría. Este artículo sugiere que los organismos emisores de estándares (tales como AICPA, FASB) deben tener un acercamiento más integral para el establecimiento de estándares de auditoría y contabilidad para la contabilidad en tiempo real y para los ambientes de auditoría continua, en lugar de un enfoque fragmentado. La auditoría continua permite a los auditores suministrar servicios de auditoría continua más proactivos, en lugar de servicios reactivos que ocurren después que los hechos han ocurrido. La investigación futura debe identificar y direccionar los dominios de auditoría continua, incluyendo un outsourcing de seguridad, privacidad y aseguramiento sobre la continuidad del negocio y servicios de aseguramiento del comercio electrónico.

Bibliografía

Albrecht, S., and R. Sack. Accounting education: Charting the course through a perilous future. Accounting education series. Sarasota, FL: American Accounting Association, 2000.

American Institute of Certified Public Accountants (AICPA). Amendment to statement on auditing standards Nº 31, Evidential matter. Statement on auditing standards Nº 80. New York, NY: AICPA, 1996.

—The information technology age: Evidential matter in electronic environment. New York, NY: AICPA, 1997.

— CPA Vision: 2001 and beyond. New York, NY: AICPA, 1998a.

— Consideration of the internal control structure in a financial statement audit. Statement on auditing standards Nº 55. New York, NY: AICPA, 1998b.

—The effect of information technology, on the Auditor’s consideration of internal control in a financial statement audit. Statement on auditing standards Nº 94. New York, NY: AICPA, 2001.

Bell, T., F. Marrs, I. Solomon, and H. Thomas. Auditing organizations through a strategic systems lens. New York. NY: KPMG Peat Marwick LLP, 1997.

Bierstaker, J. L., P. Burnaby, and J. Thibodeau. The impact of information technology on the audit process: an assessment of the state of the art and implications for the future. Managerial Auditing Journal 63 (3): pp.159-164, 2001.

David, J. S., and P. J. Steinbart. Drawing in data. Strategic finance (December): 1999, pp. 30-36., and. Data warehousing and data mining: Opportunities for internal auditors. Altamonte Springs, FL: The institute of internal auditors research foundation. Gibbs, J. 1998. Going live with SAP. Internal Auditor (June): 2000, pp. 70-75.

Glover, S., and M. Romney. The next generation software. Internal auditor (august), 1998, pp. 47-53.

Goderre, D. G. Fraud Toolkit for ACL. Canadá: Global audit publications, A Division of ACL Services Ltd, 2001.

Helms, G. I., and J. M. Mancino.. Information technology issues for the attest, audit, and assurance services functions. In: The CPA journal (May), 1999, pp. 62-63.

Intacct Corp. Web-based audit program is developed with Deloitte. Wall street journal (June 26): A 13. 2000. Available at http://www.intacct.com/service/auditing.phtml.

Kanter, H. A. Systems auditing in a paperless environment. Ohio CPA Journal (January-March), 2001, pp. 43-47.

Kogan, A., F. Sudit, and M. Vasarhelyi. Some auditing implications of internet technology. 2000. Available at: http://www.rutgers.edu/accounting/raw/miklos/tcon3.htm.

Lanza, R. Take my manual audit please. Journal of Accountancy (June), 1998, pp. 33-36.

Marwil, L., and G. Lappin.. Exxon Corporation: audit applications group. In enhancing internal auditing through innovative practices, edited by G. L. Gray, and M. J. Gray, 1996, pp. 59-63. Altamonte Springs, FL: The Institute of internal auditors research foundation.

Nigrini, M. J.. Digital analysis using Benford’s Law. Tests and statistics for auditors. Canadá: Global audit publications, A Division of ACL Services Ltd., 2000

Rezaee, Z. W. Ford, and R. Elam. Real-time accounting systems. Internal Auditor (April), 2000, pp. 63-67.

—, and C. Hoffman. XBRL: standardized electronic financial reporting. Internal auditor (August) 2001, pp. 46-51.

—,R. Elam, and A. Sharbatoghlie. Continuous auditing: The audit of the futura. Managerial auditing journal 16 (3), pp. 150-158.

Rose, W. C. and B. Hirte. Carolina Power and Light: Smart auditing. In enhancing internal auditing through innovative practices, editad by G. L. Gray, and M. J. Gray, 1996, pp. 47-57. Altamonte Springs, FL: Institute of internal auditors research foundation.

Stringer, K. W., and T. R. Stewart. Statistical techniques for analytical review in auditing. Second edition. New York, NY: John Wiley & Sons, Inc., 1996.

Study Group. Research report: Continuous auditing. Toronto, Canadá: The Canadian Institute of Chartered Accountants, American Institute of Certified Public Accountants, 1999.

Vasarhelyi, M. A., and F. B. Halper. The continuous auditing of online systems. Auditing: A journal of practice & theory 10 (1), 1991, pp. l l0-125.

Warren, J. D., L. W. Edelson, and X. L. Parker. Handbook of IT auditing. Boston, MA: Warren, GorLam, and Lamont, 1996.

* Documento publicado en inglés como “Continuous Auditing: Building Automated Auditing Capability” en Auditing: A Journal of practice and theory (March 2002, Vol. 21, Nº 1) La Asociación Americana de Contabilidad (American Accounting Association), propietaria de los derechos, autorizó la publicación de este documento pero no revisó la traducción.

(1) XBRL está basado en el Extensible Markup Languaje (XML), que es un sistema con base en la red que utiliza etiquetas para describir los datos. XML corresponde a una serie de especificaciones, guías o convenciones para la creación de formatos de texto de manera que son fácilmente generados o leídos por computadores. XML utiliza etiquetas y atributos para la transferencia de datos estructurados, como es el caso de las hojas de trabajo, a archivos de texto que pueden ser leídos por una variedad de aplicaciones que responden a las necesidades de los usuarios. El XBRL da etiquetas XML y atributos para información de reportes financieros, al igual que información de negocios. El XBRL suministra tanto contenido como estructura a la información financiera y estandariza su preparación, publicación, examen y extracción sobre una serie de formatos de software y tecnologías, incluyendo Internet. (Rezaee y Hoffman, 2001).

(2) Bierstaker et al. (2001), Glover y Romney (1998) y Lanza (1998) debaten alrededor de una serie de herramientas y técnicas de auditoría continua disponibles en el comercio incluyendo Small audit support (SAS) y Audit command language (ACL). SAS permite a los auditores analizar los riesgos, evaluar los controles internos y desarrollar planes de auditoría y procedimientos e informes para la recolección de evidencias. ACL puede ser usado para el cuestionamiento de archivos, lo cual permite un acceso directo a los datos computarizados del cliente.

(3) Una de las cinco grandes firmas de servicios profesionales (Deloitte & Touche, LLP) en colaboración con Intacct Corp. ha desarrollado el primer programa de auditoría en línea para clientes de tamaño intermedio (Interacct Corp. 2000).

(4) El grupo de estudio (1999) sugirió aproximadamente 33 temas de investigación en diferentes aspectos de la auditoría continua, incluyendo; 1) la demanda para auditorías continuas; 2) los requisitos para llevar a cabo procedimientos sustantivos en una auditoría continua; 3) La naturaleza, oportunidad y extensión de los procedimientos sustantivos en una auditoría continua; 4) Los GAAP como criterios para la preparación de estados financieros en línea; 5) guías y nivel de materialidad de la auditoría continua; 6) aplicación efectiva de los CATTs en la auditoría continua; 7) la objetividad e independencia del auditor; 8) el formato y contenido de los reportes de auditoría continua, y 9) educación y habilidades en relación con la auditoría continua. Estos temas garantizan una mayor atención de los practicantes de la auditoría, de los investigadores, académicos y otros organismos gremiales.