lunes, 14 de julio de 2008

LA AUDITORIA Y EL PROCESAMIENTO ELECTRÓNICO DE DATOS

LA AUDITORIA Y EL PROCESAMIENTO ELECTRÓNICO DE DATOS ELECTRONICO DE DATEl trabajo del auditor, tradicionalmente se ha caracterizado por la gran cantidad de tiempo que consume, sin embargo esa gran cantidad de tiempo en muchos casos es dedicada a actividades muy laboriosas y sobre todo repetitivas.Estas actividades en muchos casos consumen tiempo y recursos que podrían utilizarse en actividades más productivas por parte de los auditores.La llegada de la sumadora y las calculadoras vino a ser un gran avance en la forma de realizar las auditorias y más aun cuando estas se convierten en herramientas de trabajo sin las que hoy en día parecería imposible realizar una auditoria.En los últimos años la gran proliferación de microcomputadoras y el hecho de que cada día estén más accesibles no solo para las grandes empresas sino también para los despachos de los profesionistas, es una oportunidad que no se debe desaprovechar para eficientar mas los trabajos de auditoria, logrando una reducción de tiempo y aumentos de seguridad en los variados y cálculos. Un importante paso es saber que tipo de herramienta vamos a utilizar y estas pueden dividirse básicamente en dos tipos: a) Software de tipo general. b) Paquetes específicos de auditoria a) Se trata de productos que pueden ser utilizados para gran variedad de propósitos y por todo tipo de personas. b) Son productos diseñados específicamente para ser utilizados por los auditores. Los hay desarrollados por las casas especialistas de software para venderlos al publico (auditor) y muchos otros han sido o pueden ser desarrollados por firmas de contadores públicos y auditores que cuentan con sus recursos propios, y elaborar sus propias herramientas de acuerdo a sus necesidades y conveniencias. En este campo hay mucho por hacer y el limite será solamente la creatividad de los propios auditores y analistas. PED se refiere al proceso electrónico de datos, que forman parte de la organización de una empresa y que solamente proporcionan servicio a otras divisiones, áreas o departamentos de la misma empresa. Debe hacer estudios de la viabilidad para la adquisición de equipos de computo electrónico.El procesamiento electrónico de datos ha producido un impacto muy significativo en el procesamiento de datos. Muchos de los atributos de un sistema PED afectan al auditor y al trabajo que este desempeña. El cambio en los rastreos de auditoria, la velocidad y exactitud de la computadora, así como sus capacidades de revisión, exigen al auditor examinar los procedimientos tradicionales y efectivos para los sistemas electrónicos.La concentración del procesamiento en sistemas PED y la complejidad de dichos sistemas requieren que el auditor se familiarice con la planeación, la programación y la documentación necesaria de las actividades de PED. La comprensión cabal del procesamiento electrónico de datos y de los tipos de control factibles en los sistemas electrónicos, es de gran importancia para la evaluación que el auditor pueda hacer de los controles internos, así como para utilizar las computadoras en la auditoria.PROCESAMIENTO ELECTRONICO DE DATOS El proceso electrónico de datos (PED) representa el principal avance técnico logrado en el mundo de los negocios. Los sistemas PED pueden manejar un gran numero de diversas tareas, desde procesar una sencilla nomina hasta simular los efectos que diferentes alternativas de decisión producirían en todas las operaciones de una empresa. En la actualidad, el PED sé esta aplicando audazmente a funciones de control de la función directiva. El equipo de PED proporciona al auditor una poderosa herramienta para aumentar la efectividad de sus procedimientos de auditoria y prestar mayores servicios a los clientes. Un sistema de PED consta de los siguientes elementos: 1. Un procesador electrónico de datos (la unidad central de procesamiento).2. El equipo periférico asociado, formado por dispositivos de preparación de datos, de su entrada y salida, etc. Este elemento central ejecuta funciones de lógica, aritmética, almacenamiento de los datos durante el proceso, y control de los mismos.3. Procedimientos para indicar que datos se necesitan y cuando, así como donde obtenerlos y en que forma utilizarlos. 4. Rutinas de instrucción para el procesador. 5. Personal para operar, conservar y mantener el equipo, para analizar y establecer procedimientos, para preparar instrucciones, proporcionar datos de entrada, utilizar informes, revisar resultados y supervisar la operación en su totalidad.La característica que distingue los sistemas de procesamiento electrónico de datos de cualquier otra técnica de procesamiento de datos es la capacidad de la computadora para ejecutar instrucciones en clave (codificadas) y colocadas en ellas antes de procesar los datos. La computadora lleva a cabo estas instrucciones por medio de una unidad de control, un sistema de circuitos electrónicos. Las instrucciones propiamente dichas reciben el nombre de programa. Normalmente los datos se trasmiten a la unidad central de procesamiento por medio de tarjetas perforadas cintas de papel, cintas magnéticas, caracteres magnéticos y discos magnéticos. Durante el procesamiento, los datos se almacenan en la unidad central de procesamiento. Este almacenamiento interno o memoria de la computadora se conoce como almacenamiento temporal. Las salidas de la unidad central de procesamiento normalmente consisten en tarjetas perforadas, cintas de papel, cintas magnéticas, discos magnéticos e informes impresos. La salida, llamada almacenamiento permanente, se conserva bajo alguna modalidad de sistema de archivo, ya sea secuencial o aleatorio. El proceso secuencial es necesario puesto que el acceso a los registros conservados en un archivo tiene que ser secuencial. Un registro es un acervo de información sobre un determinado sector. La característica principal del procesamiento secuencial es la necesidad de leer todo el archivo cada vez que una transacción va a procesarse y compararse contra el.En los archivos de acceso aleatorio, las transacciones que los afectan se alimentan a la computadora de manera aleatoria, a medida que se presentan. El rastreo de auditoria es esencial al auditor para rastrear la corriente sistemática de datos dentro de una compañía. Las empresas también usan los rastreos de auditoria en respuesta a preguntas y solicitudes de fuentes, tales como los clientes, los empleados, los vendedores y las dependencias de gobierno. Otra innovación en los rastreos de auditoria producido con el advenimiento del sistema PED, es la eliminación de ciertos registros históricos. La velocidad de la computadora permite al auditor procesar o reprocesar actividades completas en menos tiempo. Así mismo ha demostrado ser mucho más exacta que las personas y que los dispositivos mecánicos anteriores para efectuar cálculos y para registrar y recorrer los datos.La computadora, cuando se programa debidamente, puede desempeñar funciones de revisión similares a las realizadas por personas. La computadora puede tomar decisiones lógicas que pueden ayudar enormemente al auditor. En un sistema PED en el cual los registros de inventario se conserven en cinta magnética o en discos magnéticos, una pregunta redactada en forma adecuada puede informar, en un plazo relativamente breve, la cantidad de inventario que no a sido usada durante un periodo especifico de tiempo. El procesamiento electrónico de datos permite concentrar numerosas etapas del procesamiento en un solo departamento, eliminando así el tradicional control interno logrado mediante la separación de funciones en el proceso de registro.En algunos aspectos, la complejidad de un sistema PED ayuda al auditor. Un sistema electrónico exige anunciar los procedimientos en forma excepcionalmente detallada, precisa y completa. Como parte de la documentación de los sistemas, es muy posible que el auditor encuentre diagramas de recorrido de sistemas, diagramas de recorrido de programa, relaciones de programa, y descripciones narrativas.Los diagramas de recorrido son un medio de presentar la información y las operaciones de tal manera que resulten fáciles de visualizar y seguir. Existen dos tipos de diagramas de recorrido: diagramas de recorrido del sistema y diagramas de recorrido de programa. Un diagrama de recorrido del sistema muestra la corriente de los datos a lo largo de todas las partes del sistema.Se emplean diversos símbolos para describir el recorrido que siguen los datos y las relaciones entre estos, para representar el equipo, las operaciones de equipo y las operaciones manuales. Un diagrama de recorrido de programas describe lo que sucede en un programa almacenado o lo que esta representado por un solo símbolo de procesamiento en el diagrama de recorrido del sistema. El diagrama de recorrido muestra operaciones y decisiones especificas e indica la secuencia u orden en que deben realizarse las operaciones lógicas y de aritmética.La relación del programa muestra las instrucciones en el lenguaje del programa tal y como las ha escrito el programador, y las instrucciones en el lenguaje de maquina al que aquellas han sido traducidas. Las instrucciones en el lenguaje fuente se traduce al lenguaje de maquina con programas especiales de computadora denominados programas de ensamblado y copiladores. El lenguaje de maquina obtenido como resultado de una rutina de ensamblado o de copilador consiste en instrucciones escritas en un sistema de clave (codificado) de números y letras. LOS CONTROLES DEL SISTEMA DE PROCESAMIENTO ELECTRONICO DE DATOSEl control interno es: El plan de organización y todos los métodos coordinados y medidas adaptadas dentro de un negocio para salvaguardar sus activos, verificar la exactitud y confiabilidad de sus datos contables, mejora la eficiencia de las operaciones y alentar el apego a las políticas directivas prescritas. Elementos del control interno: 1. Un plan de organización que proporcione segregación apropiadas de las responsabilidades funcionales. 2. Un sistema adecuado de procedimientos de autorización y registro para ejercer un control de contabilidad razonable sobre los activos, pasivos, ingresos y gastos.3. Practicas consecuentes a seguir en la ejecución de los deberes y las funciones de cada uno de los departamentos de la organización.4. Un grado de calidad del personal conmensurable con sus responsabilidades. Las finalidades del control interno si son afectadas por el PED. La utilización del PED exige emplear nuevos controles, mientras que la necesidad de ciertas medidas tradicionales de control posiblemente ha disminuido. La división de las responsabilidades funcionales debe trazar una clara separación entre las funciones de iniciar y autorizar la transacción; el registro de la transacción por escrito y la custodia de los activos resultantes. Tal división brinda las eficiencias derivadas de la especialización, permite efectuar una verificación cruzada que de precisión y aumenta la efectividad de un sistema de control directivo.La automatización ha producido una mayor centralización de las actividades de procesamiento de datos y la concentración de las funciones de dicho proceso.En la actualidad una entidad especial funcional y organizativa del centro de procesamiento de datos afina la coordinación y elimina la duplicidad debido al procesamiento de datos y la generación de informes que proporcionan a los departamentos de operación las bases necesarias para desempeñar sus actividades individuales.Tales sistemas reducen el tiempo y los costos asociados al procesamiento de datos, la dirección recibe una información mas actualizada con la cual podrá controlar eficazmente las operaciones de la compañía. La centralización ha dado por resultado la concentración de muchas etapas de procesamiento en un solo departamento, comúnmente se denomina integración que prepara todos los informes necesarios o convenientes para fines directivos, a partir de un solo registro de cada transacción de negocios, y todas las transacciones se procesan en un sistema totalmente unificado. Uno de los principios fundamentales del control interno es la separación entre las personas que autorizan una transacción, las que ejercen custodia sobre los activos adquiridos, y quienes registran la contabilidad de dichos activos.Es necesario separar la función de planeamiento de sistemas y programación; tal separación es importante por las siguientes razones:1. Proporciona una eficaz verificación cruzada de la exactitud y corrección de los cambios introducidos en el sistema. 2. Impide al personal de operación efectuar revisiones sin previa autorización y plena verificación.3. Evita que el personal ajeno a la operación tenga acceso al equipo.4. Mejora la eficiencia, puesto que las capacidades, el adiestramiento y las pericias que se requieren para desempeñar tan diversas actividades, difieren notablemente.La característica de control más importante en la función de operaciones comprende la división de labores entre la adquisición de datos y el control, las operaciones de PED y las de EAM (Maquinas Electrónicas de Contabilidad). La sección de adquisición y control de datos, es la responsable de todas las entradas al centro de PED, así como de ejercer en todo momento el control de los datos que se están procesando, hasta que la salida final se entregue al usuario. Esta función ejecuta cualquier conversión necesaria de los datos de entrada a una forma o lenguaje que pueda ser leída por la maquina para su procesamiento electrónico. El control se logra cuando el departamento que use los datos, ola propia sección de Adquisición y Control de Datos, compara los totales previamente determinados con la salida emanada del procesamiento de computación electrónica. La sección de Adquisición y Control de Datos también es responsable de cumplir con los itinerarios predeterminados para todos los datos de entradas y salidas, y dispone la forma de reportar los datos resultantes al usuario final. La Sección de Operaciones de PED y la Sección de Adquisición y Control de Datos controlan los procesamientos. El departamento que origina los datos que van a procesarse y recibe la salida emanada del centro de procesamiento de datos, normalmente ejerce el control sustantivo. Una vez que la dirección ha determinado su plan de organización, precisa elaborar un sistema que comprende tres niveles:1. El nivel de datos fuente 2. El nivel de procesamiento de datos 3. El nivel de reportes Controles de los datos fuente Las finalidades perseguidas por los controles de los datos fuente son:§ Determinar que todas las transacciones se hayan registrado correctamente en su punto de origen o fuente. § Determinar que todas las transacciones se trasmitan del punto de registro al de procesamiento.Registro correcto: En los sistemas PED en que el documento fuente se elimina o esta en tal forma que no permite la revisión humana, existen dos soluciones básicas para garantizar su registro correcto. La primera es retroceder el control hacia el punto de origen a fin de permitir que el acceso al equipo de transmisión y registro, y el uso del mismo, queden debidamente controlados para evitar su uso desautorizado o impropio. Una segunda solución consiste en dejar que la computadora ejerza la misma revisión de la transacción que la que efectuaran personas. La capacidad de revisión y corrección de la computadora puede utilizarse para descubrir, en la preparación del material de entrada, errores que no habían sido advertidos por la revisión humana. Las verificaciones programadas para determinar la validez de los datos de entrada o fuente son: 1. Verificación de existencia 2. Verificación de combinación 3. Verificación de totalidad 4. Verificación de razonabilidad Las verificaciones de existencia se usan para determinar si un cierto código (clave) de transacción continua es valido. Las verificaciones de combinación se usa en aquellas transacciones en las cuales diversos sectores o campos del registro se relacionan lógicamente entre sí.Las verificaciones de totalidad tienen por objeto asegurar que la entrada tenga él número total de datos prescritos en todas las categorías de información.Las verificaciones de razonabilidad se usan para probar los campos de registro y ver si no se han excedido ciertos límites predeterminados. Transmisión de todas las transacciones. El segundo objeto de ejercer control de los registros es determinar que todas las transacciones se transmitan desde el punto de registro hasta el punto de procesamiento. Para lograr este objetivo en los sistemas PED, se ha usado técnicas de totales de prueba, o de lote cuando los documentos fuente se convierte en datos de entrada traducidos a lenguaje de maquina y las transacciones se ordenan en una secuencia de acuerdo con el orden de los registros en el archivo. Controles del procesamiento El centro de procesamiento electrónico de datos se ocupa exclusivamente de procesar los datos que se le remitan dé acuerdo con instrucciones y procedimientos previamente establecidos. La exactitud del procesamiento depende de la precisión y exactitud de la programación de las verificaciones diseñadas e incorporadas al equipo por el fabricante, así como las verificaciones programadas que el usuario incluya en sus programas. La exactitud y precisión de la programación depende de la concepción cuidadosa y la realización esmerada tanto del diseño de los sistemas como de las instrucciones del programa; de la adecuada documentación del programa, así como de su acertada revisión y aprobación. La exactitud del procesamiento de datos en un sistema PED se logra mediante verificaciones programadas. Las verificaciones programadas pueden clasificarse en relación con los objetivos básicos de los controles del procesamiento. Tales objetivos son los siguientes: § Descubrir la perdida de datos o la falta de su procesamiento § Determinar que las funciones aritméticas se ejecuten correctamente § Determinar que todas las transacciones se asienten en el registro indicado § Asegurar que todos los errores descubiertos en el procesamiento de datos se corrijan satisfactoriamente.Controles de salida La función de los controles de salida es determinar que los datos procesados incluyan ninguna alteración desautorizada por la sección de operación de la computadora, y que los datos son sustancialmente correctos o razonables.El control de salida mas básica es la comparación de los totales de control de los datos procesados con los totales obtenidos independientemente de procesos anteriores o de los datos fuente originales. El muestreo sistemático de renglones individuales procesados proporciona otro control de salida. Además de los controles de organización y de procedimientos, todo sistema PED necesita controles administrativos. Estos controles pueden asociarse con la formulación, documentación y administración de los métodos y practicas de operación en el diseño de sistemas, la programación y las operaciones de la computadora.Diseño de sistemas La complejidad de los sistemas electrónicos requieren programaciones y diseños de sistemas detallados. Estos detalles deben estar debidamente documentados, a fin de evaluar y modificar el sistema. Programación La programación de la computadora es la preparación de los diagramas de recorrido, relaciones de programa e instrucciones para el manejo de la computadora. Durante la planeación e instalación de un sistema o aplicación de PED, es conveniente documentar todos los aspectos del desarrollo de programas lo mas explícitamente posible.Operaciones de la computadora Uno de los más importantes controles sobre las operaciones de la computadora es el riesgo que se mantiene para marcar el tiempo de análisis. Este registro de utilización consigna las operaciones de la computadora, el uso del equipo y el tiempo consumido en procesar un trabajo. Tal registro debe ser analizado y revisado por personal de operación responsable, para determinar el tiempo que se requiere para procesar cada uno de los trabajos y las razones de todas las demoras. EL CONTROL INTERNO Y EL PROCESAMIENTO ELECTRONICO DE DATOSLa evaluación del sistema de control interno mide la calidad del sistema y proporciona al auditor las bases sobre las cuales este construirá su examen y derivara sus conclusiones.El mejor punto de partida para evaluar el control interno es revisar la documentación, después observar las actividades de procesamiento de datos, e interrogar a las personas encargadas de desempeñar esas actividades. Tal revisión es necesaria para determinar la existencia de un sistema contable, así como para evaluar los controles empleados para fomentar el apego a las políticas de las empresas y para lograr eficiencias de operación.Controles de organización Básicamente, el auditor revisa el plan de organización y las responsabilidades funcionales, a fin de determinar si existe una separación de la autoridad, el mantenimiento de los registros y la custodia de los activos. Esta segregación de funciones se logra en los sistemas PED por la separación de las funciones de análisis de sistemas y las de programación. Además, tal separación fomenta la eficiencia de operación, puesto que las capacidades, conocimientos, capacitación y destrezas que se requieren para ejecutar estas funciones, difieren grandemente. Para valorizar los controles de organización, el auditor debe revisar los diagramas y manuales de organización, observar las actividades del personal PED y plantear preguntas.Controles administrativos La evaluación de los controles administrativos consiste principalmente en revisar la documentación referente a diseño de sistemas, programación y operaciones de computadoras. El auditor debe determinar la idoneidad de la documentación revisando los diagramas de recorrido del sistema y de los programas, los libros de corridas de programas y de consola, los manuales de normas de programación, los registros de utilización del PED, los procedimientos del mantenimiento del programa, y los procedimientos de biblioteca de PED. Controles de procedimientos El aspecto principal de la evaluación que de los controles internos haga el auditor, es determinar la existencia de un sistema de procesamiento de datos y la efectividad con que dicho sistema registre, procese y reporte los datos. Esta revisión es importante para poder determinar si se han establecido procedimientos financieros y contables para asegurarse de que: 1. Las transacciones son revisadas lo suficiente para establecer la idoneidad y exactitud de sus registros. 2. El recorrido del procesamiento de datos permite descubrir y corregir errores en los datos de operaciones y financieros, reduciendo dichos errores al nivel permitido por la gerencia.3. Se exigen y preparan informes que reflejan la responsabilidad de la autorización, la ejecución y la revisión de transacciones financieras y contables. El auditor necesitara entonces observar las diferentes actividades del procesamiento de datos, e interrogar a los encargados de ejecutarlas, a fin de comprender mas a fondo el sistema y sus controles. Prueba del sistema El auditor tiene que probar el sistema de procesamiento de datos para determinar la existencia y efectividad de los procedimientos de procesamiento del cliente, así como de los controles programados. Al probar los sistemas electrónicos, el auditor deberá elaborar datos de prueba para determinar con exactitud como reaccionara un sistema de procesamiento especifico ante determinado tipo de transacciones. Prácticamente, el auditor deja que el sistema de PED se haga una auditoria a sí mismo, presentando al sistema transacciones de prueba que éste no puede distinguir de las transacciones de operación. Entonces el auditor evalúa los resultados y determina si efectivamente las transacciones de prueba se procesaron de la manera descrita en su revisión del sistema.La elaboración y el empleo de las transacciones de prueba tiene seis etapas:1. Decidir el punto exacto del sistema donde han de introducirse las transacciones de prueba.2. Determinar los tipos de transacciones que incluirán en los datos 3. Obtener registros maestros para procesar con las transacciones de prueba y computar los resultados predeterminados para compararlos con los resultados de salida del procesamiento de prueba .4. Considerar cuidadosamente los efectos que causara el procesamiento de las transacciones de prueba en los resultados del sistema producido bajo condiciones normales de operación5. Obtener los programas regulares de procesamiento del cliente y comprobar que el programa se utilice para procesar las transacciones de prueba.6. Hacer los arreglos necesarios para preparar y procesar las transacciones de prueba y obtener la salida en la forma deseada. Obtención de registros maestros En algunas instalaciones se usan registros maestros simulados. La ventaja de estos registros maestros simulados es la facilidad con que pueden usarse o modificarse para reflejar ciertas condiciones necesarias para la prueba, además de la facilidad con que pueden imprimirse para su revisión visual. La creación de registros maestros simulados puede ser el único método de obtener registros maestros con los cuales procesar los datos de prueba del auditor en sistemas de tiempo real en línea. Obviamente, el auditor no desea que sus datos de prueba afecten los resultados producidos bajo condiciones normales de operación. En consecuencia, es su obligación considerar con todo cuidado que efectos puede producir el procesamiento de los datos de prueba sobre los resultados del sistema. Cualquier prueba que se procese junto con transacciones o registros maestros verdaderos debe controlarse cuidadosamente par evitar resultados indeseables.Control del programa del cliente Uno de los procedimientos importantes para probar el sistema PED de una empresa, consiste en asegurarse que el programa en estudio es el mismo que la compañía usa efectivamente para procesar sus datos. Básicamente existen dos formulas de lograrlo.La primera, si los controles del procesamiento de datos, tanto de organización como de administrativos, son adecuados, es solicitar sorpresivamente el programa al bibliotecario de PED, duplicarlo para el control del auditor, y usarlo en el procesamiento de los datos de prueba. El auditor también puede solicitar datos de prueba, previamente procesados con la copia de programa del auditor, para procesarlos con el programa de operación del cliente; el auditor puede así comparar los resultados. Este método tiene la ventaja adicional de verificar cualquier intervención de los operadores de la computadora.El segundo método consiste en que el auditor solicite, inesperadamente y a base de sorpresa, que el programa de operación permanezca en la computadora después de haberse procesado totalmente los datos de operación, de tal manera que él pueda procesar sus datos de prueba con dicho programa. Este método tiene, sobre el anterior, la ventaja de que por lo general garantiza una versión vigente y actual del programa.Una vez que ha obtenido el programa del procesamiento del cliente, el auditor debe duplicar el programa, conservar la copia para su propio uso, y observar el procesamiento de sus datos de prueba con esta copia controlada.Preparación y procesamiento de los datos de prueba Además de determinar los tipos de transacción y de obtener registros maestros y el programa normal de procesamiento del cliente, el auditor debe diseñar cuidadosamente datos de prueba, obtener el equipo y el personal necesarios y solicitar tiempo de computadora al personal autorizado, para preparar y procesar los datos de prueba y obtener la salida en la forma deseada. La interpretación y evaluación que el auditor haga de los resultados de prueba, puede simplificarse y acelerarse mediante el empleo de claves especiales y nombres distintivos que permiten identificar fácilmente las transacciones de pruebas.