MEJORES PRÁCTICAS EN EL MANEJO DE LA DOCUMENTACIÓN DE LOS CLIENTES DE AUDITORÍA

Estándar

30 ENERO 2019

Las organizaciones producen importantes volúmenes de documentación. En el trabajo de auditoría, cierta parte de la información es evaluada y se constituye en evidencia. Dicha información es conocida con las siglas de IPE (Information provided by the entity – Información proporcionada por la entidad); en ciertos casos, también es denominada EAE (electronic audit evidence – evidencia de auditoría electrónica).

Hoy día las empresas han adoptado diferentes sistemas y avances tecnológicos en la gestión de la información (Por ejemplo, ERP Enterprise Resource Planning – sistema de planificación de recursos empresariales), razón por la cual es importante trabajar en los riesgos que se derivan de la información que se genera a partir de estas aplicaciones, en particular los asociados a la exactitud e integridad de los informes electrónicos y hojas de cálculo.

Las organizaciones suelen emplear ITGC (IT General Controls – controles generales de TI) los cuales se aplican a todos los sistemas, componentes, procesos y datos en un entorno de tecnología de la información. No obstante, es necesario evaluar si los mismos son suficientes.

Hay compañías en las cuales los auditores advierten que la IPE es íntegra y precisa, pues los ITGC son estrictos, todos los controles de negocios dependen únicamente en los informes predeterminados generados por el sistema; no hay forma de que los propietarios de control modifiquen los informes en los que se basan.  No obstante, en la gran mayoría de organizaciones, todavía se depende de hojas de cálculo para elaborar informes y existe el riesgo de error o fraude en los reportes.  En estos casos, los auditores requerirán aplicar algunos procedimientos en torno a la integridad y precisión de los informes y hojas de cálculo.

Algunas actividades por realizar pueden ser las siguientes:

• Identificar los informes y hojas de cálculo que se están realizando actualmente y que son clave para la generación de reportes a terceros principalmente y estados financieros.
• Verificar el entorno de TI. Evaluar perfiles de usuarios, opciones de generación de reportes, políticas, autorizaciones y controles en el manejo de la información.
• Evaluar los controles existentes. En algunos casos pueden ser redundantes y para algunos procesos, los controles son inexistentes. Hay casos en que varios controles aplican sobre un mismo reporte por lo que hay desgaste y el esfuerzo podría aplicarse en otras áreas.
• Documentar apropiadamente las revisiones. Así se evita duplicidad de tareas y se puede medir el avance del trabajo y los resultados obtenidos.
• Automatizar en cuanto sea posible los controles y las revisiones efectuadas sobre los reportes. Esto redunda en ahorros de tiempo y recursos y facilita la determinación de oportunidades de mejora y la generación de informes.

Hay que tener en cuenta, que en todo el manejo de la documentación del cliente, que es usada como evidencia, existen una serie de normas profesionales y otras de carácter legal, que deben ser cumplidas de manera rigurosa, garantizando que conserve su utilidad.

C.P. Iván Rodríguez – ivan.rodriguez@auditool.org          

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia