by administradorNo Comments

CONGRESO 2022 – SAN LUIS.

Autores: Cra. Cristina del Valle Kostrencic; Cr. Luis Alberto Villegas.

Fecha: 9, 10 y 11 de Noviembre del 2022.

INDICE

RESUMEN. 2

INTRODUCCIÓN. 3

I.      CONCEPTUALIZACIÓN DE LAS HERRAMIENTAS INFORMÁTICAS QUE ASISTEN AL AUDITOR  4

I.1.- PASOS PARA LA UTILIZACIÓN DE TAACS. 8

I.2.- BENEFICIOS. 9

I.3.- CRITERIOS A CONSIDERAR EN LA ELECCIÓN DE LA TAACS. 11

I.4.- DOCUMENTACIÓN DE LA TAAC ELEGIDA. 15

I.5.- PROGRAMAS PARA LA REALIZACIÓN DE AUDITORÍA CON INFORMÁTICA. 16

II.     AUTOMATIZACIÓN DE LOS PROCESOS ROBÓTICOS (RPA) 17

II.1.- POSIBILIDAD DE AUTOMATIZAR UN PROCESO.. 17

II.2.- EVALUACIÓN DEL POTENCIAL DE AUTOMATIZACIÓN. 19

II.3.- APLICACIÓN PRÁCTICA DE LA AUTOMATIZACIÓN 20

CONCLUSIÓN. 29

BIBLIOGRAFÍA. 30

RESUMEN

La actividad de control gubernamental demanda cada vez más profesionalismo, responsabilidad y excelencia, con el fin de poder brindar un servicio acorde a los principios de economía, eficiencia y eficacia.

Darwin decía: “No son las especies más fuertes las que sobreviven, ni las más inteligentes, sino las que mejor responden al cambio”. En la auditoría gubernamental existe claramente la necesidad de emplear nuevas técnicas y herramientas en relación a los procedimientos llevados a cabo en cada una de las fases de este proceso.

Una calculadora, una hoja de cálculo, un sistema informático “enlatado” son herramientas utilizadas en el presente por cualquier profesional que pretende ejecutar procedimientos en el marco de un control financiero. Asimismo, los avances logrados durante la cuarta revolución industrial pusieron a disposición de todo el mundo nuevas tecnologías cuya utilización implican, entre otras cosas, un ahorro de tiempo humano que puede ser aplicado a trabajos “no automatizables”.

El conocimiento del auditor de las herramientas tecnológicas existentes para el análisis de los datos y la automatización de los procesos, le permitirá realizar su tarea con menos costos, de manera más abarcativa y de acuerdo a estándares de seguridad y calidad.

INTRODUCCIÓN

El presente trabajo plantea una propuesta de mejora en el ámbito de la Auditoría General de la Provincia de Salta, en adelante AGPS. Este Órgano de Control, de acuerdo al mandato constitucional, tiene la potestad de ejercer el control externo y posterior, no jurisdiccional, de la Hacienda Pública Provincial y Municipal. 

El objeto de las auditorías financieras se refiere a la información contable y presupuestaria que confecciona la entidad auditada, resultado de un conjunto de transacciones que han sido procesados por sistemas informáticos y de gestión. En la actualidad, la totalidad de los entes sujetos a control poseen sistemas informáticos en sus procesos claves. Utilizar las herramientas tecnológicas adecuadas a cada propósito y etapa de la auditoría permitirá la mejora continua de la calidad de los informes y de la productividad actual en la APGS.

“Sin auditores adecuadamente formados es inútil y hasta peligroso el empleo de técnicas de auditoría asistidas por computadora” (Suárez, 1998, p.95).

En este orden, se realizará una descripción de los conceptos que involucran las TAACs y de las herramientas informáticas más usuales, sus características, aplicaciones y ventajas.

Posteriormente, se detallará a modo ejemplificativo y de manera práctica, una serie de procedimientos relativos a una auditoría a efectuar sobre el rubro remuneraciones y cargas sociales, ejecutados mediante la utilización de Automatizaciones de procesos robóticos (RPA), utilizando en estos casos el software de automatización UI PATH STUDIO 2022.4.4.

Como conclusión, se evaluará la factibilidad de la aplicación de estas herramientas en la AGPS, la necesidad de establecer lineamientos claros y estándares que sirvan de guía al auditor, y la consecuente capacitación y formación del personal, que permitan lograr resultados efectivos.

  1. CONCEPTUALIZACIÓN DE LAS HERRAMIENTAS INFORMÁTICAS QUE ASISTEN AL AUDITOR

Primeramente, es necesario realizar una diferenciación entre las auditorías a las TICs y el uso de TAACs en el proceso de auditoría.

La auditoría a las TIC (Tecnologías de Información y las comunicaciones), está basada en una evaluación objetiva, selectiva, crítica y sistemática de las políticas, procesos, normas, funciones, actividades de la empresa con el fin de generar un informe del uso eficiente de los recursos informáticos, de la comunicación, la oportunidad en la entrega de la información, aprovechamiento de los recursos y la efectividad de los controles establecidos por el área de Tecnología al interior de la empresa.

El auditor debe seguir los lineamientos, prácticas y controles que se encuentran contenidos dentro de los estándares y la normatividad que es relacionada en el enfoque COSO, COBIT, NIAS, SAC, ITL, los estándares de seguridad de la información (ISO 27000) entre algunos otros al momento de ejecutar la auditoría de las TIC, que hacen referencia en la realización de buenas prácticas de auditoría a los sistemas de información y comunicaciones, el control establecido para el acceso a los sistemas por parte de los funcionarios de la organización, las bases de datos donde se almacena la información procesada, la adaptación y ubicación de las áreas de servidores, instrucciones de codificación de la información, medidas de prevención de virus, fraude, controles para la detección y mitigación de personal no autorizado por la empresa.

Por otro lado, las TAACs (o CAAT por sus siglas en inglés), son programas de computadora (o software) que el auditor usa como parte de los procedimientos de auditoría para procesar datos importantes para la auditoría, contenidos en los sistemas de información de una entidad. Puede referirse a datos de transacciones, sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos controles generales pueden mantenerse en forma de archivos de texto u otros archivos por aplicaciones que no sean parte del sistema contable. El auditor puede usar TAACs para revisar dichos archivos, para obtener evidencia de la existencia y operación de dichos controles.

Las TAACs pueden consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente del origen de los programas, el auditor ratifica que sean apropiados y su validez para fines de auditoría antes de usarlos:

 •  Los programas en paquete: son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos, tales como leer datos, seleccionar y analizar información, hacer cálculos, crear archivos de datos, así como dar informes en un formato especificado por el auditor.

 •  Los programas escritos para un propósito: desempeñan tareas de auditoría en circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la entidad que está siendo auditada o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar los programas existentes de una entidad en su estado original o modificados porque así puede ser más eficiente que desarrollar programas independientes. 

•  Los programas de utilerías: se usan por una entidad para desempeñar funciones comunes de procesamiento de datos, tales como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteos automáticos de registros o totales de control.

 •  Los programas de administración del sistema: son herramientas de productividad mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos, por ejemplo, software de recuperación de datos o software de comparación de códigos. Como los programas de utilerías, estas herramientas no están diseñadas específicamente para usarlos en auditoría y su uso requiere un cuidado adicional.

Incluyen:

  • Fotos instantáneas: Esta técnica implica tomar una foto de una transacción mientras fluye por los sistemas de computadora. Las rutinas del software de auditoría están incorporadas en diferentes puntos de la lógica del procesamiento para capturar imágenes de la transacción mientras avanza por las diversas etapas del procesamiento. Esta técnica permite al auditor rastrear los datos y evaluar los procesos de computadora aplicados a los datos.
    • Archivo de revisión de auditoría del control del sistema: Este implica incorporar módulos de software de auditoría dentro de un sistema de aplicaciones para proporcionar monitoreo continuo de las transacciones del sistema. La información es reunida en un archivo especial de computadora que el auditor puede examinar.

 •  Las técnicas de datos de prueba a veces se usan durante una auditoría, alimentando datos (por ejemplo, una muestra de transacciones) en el sistema de computadora de una entidad y comparando los resultados obtenidos con resultados predeterminados. Un auditor podría usar datos de prueba para:

  • poner a prueba controles específicos en programas de computadora, tales como controles en línea de contraseñas y acceso a datos;
  • poner a prueba transacciones seleccionadas de transacciones previamente procesadas o creadas por el auditor para poner a prueba características específicas de procesamiento de los sistemas de información de una entidad. Dichas transacciones generalmente son procesadas por separado del procesamiento normal de la entidad; y
  • poner a prueba transacciones usadas en un mecanismo integrado de pruebas donde se establece una unidad modelo (por ejemplo, un departamento o empleado ficticio), a la cual se le registran las transacciones durante el ciclo de procesamiento normal.

En términos más generales, las TAACs pueden referirse a cualquier programa informático utilizado para mejorar el proceso de auditoría. Sin embargo, generalmente se utiliza para referirse a cualquier software de análisis y extracción de datos. Esto incluiría programas como herramientas de análisis y extracción de datos, hojas de cálculo (por ejemplo, Excel), bases de datos (por ejemplo, Access), análisis estadístico (por ejemplo, SAS), software de auditoría generalizado (por ejemplo , ACL, Arbutus, EAS), inteligencia empresarial (por ejemplo, CrystalReports y Business Objects), etc.

Valencia Duque (2015), plante el enfoque ampliamente difundido en la literatura académica para abordar el uso del computador:

  1. La auditoría alrededor del computador (Auditingaroundthecomputer), consiste en conciliar los documentos fuente, asociados a las transacciones de entrada al computador, con los resultados generados por este, mientras que el procesamiento realizado por la aplicación de computador es tratado como una caja negra (Braun & Davis, 2003).
  2. La auditoría con el computador (Auditingwiththecomputer), es asociada por autores como (Cerullo&Cerullo, 2003) y (Smieliauskas&Bewley, 2010) con el uso de software generalizado de auditoría (Generalized Audit Software, -GAS-), que consiste en utilizar el computador para desarrollar labores, en las diferentes fases del ciclo de auditoría, y cuenta con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de diferentes aplicaciones, algunas especializadas y otras que no tienen foco específico en auditoría; pero, que cuentan con funciones que apoyan alguna de sus fases.
  3. La auditoría a través del computador (Auditingthroughthecomputer), asociada directamente por (Smieliauskas& Bewley,2010) a las Técnicas y Herramientas de Auditoría Asistidas por Computador (ComputerAssisted Audit Tools and Techniques –CAAT-) propiamente dichas, y está inscrita en las técnicas que requieren probar controles automatizados. Consiste en que el auditor evalúa la tecnología, para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad operacional de los controles relacionados con el computador (Louwers et al., 2011).

Martínez et al (2012), realizan una clasificación de las TAACs en estándar y avanzadas. Las primeras consisten en la utilización de determinados softwares que actúan sobre los datos y las avanzadas consisten en la realización de procesos sobre los sistemas. En el caso de los auditores mayormente usan las TAAC estándar.

Según Zavaro y Martínez (1999), entre los trabajos que mayormente realizan las mismas se pueden citar:

  • Selección e impresión de muestras de auditoría sobre bases estadísticas o no estadísticas.
  • Verificación matemática de sumas, multiplicaciones y otros cálculos en los archivos de información de la entidad.
  • Realización de funciones de revisión analítica al establecer comparaciones, calcular razones identificar fluctuaciones y llevar a cabo cálculos de regresión múltiple.
  • Manipulación de la información al calcular subtotales, sumar y clasificar información volver a ordenar en serie la información, entre otras.
  • Preparación de balances de comprobación, estados financieros, solicitudes de confirmación, papeles de trabajo de auditoría
  • Examen de los registros de acuerdo con criterios especificados, como puede ser la verificación de créditos excedidos, cantidades negativas y operaciones en exceso de importantes especificados.
  • Varias funciones de comparación, tales como comparar las cantidades físicas de los inventarios con las cantidades de los libros.
  • Hacer búsquedas de alguna información en particular la cual cumpla ciertos criterios y que se encuentra dentro de la base de datos del sistema que se audita.
  • Poder listar la información encontrada.
  • Realizar cálculos, comparaciones, ordenamientos con los datos tomados de muestra.
  • Tomar muestras electrónicas a través de algoritmos estadísticos ya elaborados.
  • General listado con formatos determinados donde se pueda ver mejor los resultados.
  • Realización de diagramas de flujo u otro tipo.
  • Creación de gráficos de barras u otro a partir de los datos obtenidos.

Estas técnicas se ejecutan con la utilización de software de auditoría de propósitos generales o específicos. Los softwares de auditoría de propósitos generales trabajan con diferentes estructuras de datos siendo los más apropiados para auditores externos. Los softwares de propósito específico se utilizan sobre una estructura de base de datos determinada.

I.1.- PASOS PARA LA UTILIZACIÓN DE TAACS

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

  1. establecer el objetivo de aplicación de la TAAC;
  2. determinar el contenido y accesibilidad de los archivos de la entidad;
  3. identificar los archivos específicos o bases de datos que deben examinarse;
  4. entender la relación entre las tablas de datos cuando deba examinarse una base de datos;
  5. definir las pruebas o procedimientos específicos y transacciones relacionadas y saldos afectados;
  6. definir los requerimientos de datos de salida;
  7. convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y momento apropiado del corte;
  8. identificar al personal que puede participar en el diseño y aplicación de la TAAC;
  9. refinar las estimaciones de costos y beneficios;
  10. asegurarse que el uso de la TAAC está controlado y documentado en forma apropiada;
  11. organizar las actividades administrativas, incluyendo las habilidades necesarias e instalaciones de computación;
  12. conciliar los datos que deban usarse para la TAAC con los registros contables;
  13. ejecutar la aplicación de la TAAC; y
  14. evaluar los resultados.

I.2.- BENEFICIOS

Algunos autores como Salazar Say (2005), Bohórquez-Urrego et al (2017), describen entre los beneficios o ventajas del uso de las TAACs, los siguientes:

  1. Rapidez: Realizar auditorías en menos tiempo debido a que el trabajo de análisis de los datos se realiza de forma automatizada con las funciones que se indiquen por el auditor. Ocurre lo contrario al hacerse en forma donde el procedimiento puede llevar más tiempo al tener que hacer la revisión a través de reportes o trasladando información a archivos, para luego realizar el análisis en software como hojas electrónicas, teniendo que segmentar la información, especialmente, en sistemas que tienen mucha información o los que trabajan en tiempo real con muchas transacciones.
  2. Mejora la productividad del trabajo del auditor: El trabajo en verificaciones manuales o en software que no son especialmente para auditoría, ya que, es necesario estar creando fórmulas o procedimientos alternativos, lo que requiere de mucho tiempo, sin embargo al tener las TAACs apropiadas el tiempo puede ser utilizado para un análisis más profundo de los resultados obtenidos en los procedimientos donde se utilizaron o en la realización de otras tareas de la auditoría.
  3. Auditorías más completas: Las TAACs son utilizadas, principalmente, en sistemas que trabajan con muchas transacciones. Estas permiten analizar una gran cantidad de datos y en ocasiones utilizar toda la población.
  4. Certeza: Al utilizar una cobertura del 100% de los datos, es decir, la población o, bien, una muestra significativa de los datos asegura el incremento en la certeza de las conclusiones y resultados del análisis; en los casos que se utiliza una muestra las TAACs contribuyen en la elección de la misma, con los métodos apropiados para que sea una muestra significativa. Esto contribuye a brindar mejores recomendaciones administrativas utilizando conclusiones de auditoría de alta calidad.
  5. Prevención de fraudes: Los análisis que permiten hacer las TAACs pueden ser de funciones estadísticas con la ayuda de gráficas, esto ayuda a detectar movimientos o relaciones que provoquen hallazgos en los resultados y en ocasiones resulten en fraudes.
  6. Detección de defectos del sistema: Como resultados de los análisis puede haber transacciones o datos erróneos lo cual es producto del mal funcionamiento del sistema y no, precisamente, de fraudes. Esto puede detectarse al estar verificando la información.
  7. Informes: Los informes de las transacciones de las pruebas se utilizan para rastrear transacciones individuales y como parte de la documentación final de la auditoría.
  8. Reportes: Las TAACs permiten la elaboración de reportes de los resultados, los cuales pueden ser elaborados en las herramientas o, si es necesario, apoyándose de software como hojas de cálculo para la edición, estos servirán como constancia de los resultados obtenidos.
  9. Precisión: A la hora de detectar un error o un posible fraude, las TAACs permiten un análisis y revisión de determinadas cuentas, en una o un conjunto de las tablas de las bases de datos, o análisis individuales de determinadas transacciones. Y de esta forma saber con exactitud el origen del error.
  10. Reducción de los costos y mantenimiento: Los costos pueden ser beneficiados tomando en cuenta el ahorro de tiempo, el recurso que se utiliza es, prácticamente, el computador donde se encuentra la TAAC.
  11. Investigaciones más a fondo: Permiten que los auditores hagan un asesoramiento para la empresa dando como resultado una auditoría híbrida que cubre tanto las funciones de “vigilancia” como el mejoramiento del proceso de las empresas.
  12. Eficiencia: Permite un trabajo, como ya se dijo, rápido y de la mejor manera, ya que, permite a los auditores un análisis de alta calidad y con resultados que pueden ser utilizados, posteriormente, para hacer cambios, correcciones y en los próximos trabajos de auditoría.
  13. Procedimientos automatizados: El personal o auditor que realizaba los procedimientos mecánicos o manuales tediosos realizará procedimientos más rápidos y mejores.
  14. Nivel reducido de riesgo: Reduce el riesgo en el caso de los cálculos o verificaciones de campos debido a que es la computadora la que realiza el trabajo.
  15. Son independientes del sistema que se está auditando y utilizarán una copia de solo lectura del archivo para evitar cualquier corrupción de los datos de una organización.
  16. Proporciona documentación de cada prueba realizada en el software que se puede utilizar como documentación en los papeles de trabajo del auditor.

I.3.- CRITERIOS A CONSIDERAR EN LA ELECCIÓN DE LA TAACS

Tal como lo expone Salazar Say (2005) y la IAP 1009, existen elementos que los auditores deberán considerar al momento de planificar la elección de la TAAC a utilizar en el proceso de auditoría:

  • Sistema Operativo: Es esencial que la TAAC pueda ser utilizada en la plataforma en la cual esté el sistema que se va a analizar, debido a que existe una diversidad de sistemas operativos y cada TAAC, tiene especificaciones que tienen que cumplirse para su ejecución.
  • Facilidad de uso: Debe tener cierta facilidad para los auditores que lo utilizan por primera vez. Asimismo, otro elemento que puede contribuir para quien está aprendiendo a utilizarla es que cuente con ayuda para el usuario y que pueda ser consultada en cualquier momento. El equipo de auditoría deberá tener suficiente conocimiento para planear, ejecutar y usar los resultados de la TAAC particular que se adopte. El nivel de conocimiento requerido depende de la complejidad y naturaleza de la TAAC y del sistema de información de la entidad.
  • Asesoría técnica y de entrenamiento: La asesoría técnica puede necesitarse desde la instalación del software y luego al estar utilizándola en los procedimientos de la auditoría, ya que, pueden resultar problemas inesperados con respecto a la configuración o error en el sistema y lo mejor es poder acudir al servicio de los expertos en el software para que esto no sea un atraso considerable al realizar la auditoría. Además, se deben conocer las especificaciones mínimas requeridas para el buen funcionamiento de la misma.
  • Habilidad de manejar datos de distintos tipos: La TAAC debe tener la capacidad de hacer operaciones con los distintos tipos de datos que se utilice en el sistema, para poder realizar el análisis con los datos que se tienen almacenados. 
  • Bases de datos del sistema: Se debe tener la seguridad que la herramienta a utilizar puede acceder a los datos de la base de datos que el sistema utiliza, o, en algunos casos, a los archivos que se utilizan para guardar la información, pues, de lo contrario se tendrían que hacer migraciones de datos a bases que la herramienta pueda utilizar, o buscar una alternativa que llevaría mucho trabajo innecesario o no sea posible realizar, por razones como: el poco tiempo con que se cuenta para realizar el análisis o la cantidad de información es muy grande para estar migrando la información.
  • Tipos de reportes que generan: Los reportes de los resultados que las TAACs proporcionan pueden ser para distintos usos, por lo que es importante saber para que serán utilizados después de ser obtenidos o luego de la auditoría y que la TAAC elegida, pueda proporcionar dichos reportes. Por ejemplo, si serán publicados para algunos usuarios dentro de una Intranet y es necesario presentar los reportes en documentos de procesadores de textos, hojas de cálculo, presentaciones gráficas, etc. Además, para el auditor es importante obtener los reportes con ciertas especificaciones para utilizarlos como parte del informe final, como parte de la evidencia de su trabajo para respaldar los hallazgos, conclusiones y recomendaciones. Esto implica que contenga la toda información que el auditor indique y puedan ser generados en formatos presentables y entendibles para los que reciban y lean el informe final. Esto permite ahorro de tiempo en diseñar los reportes o trasladar la información a otras aplicaciones para luego elaborar el diseño deseado.
  • Tipos de resultados que se pueden obtener: En cada procedimiento dentro de la auditoría se obtienen resultados que el auditor utilizará para su análisis y revisiones del sistema, por lo cual la TAAC debe ser capaz de ejecutar las revisiones o procedimientos que el auditor planifique en los procedimientos donde será utilizada, y tener las funciones necesarias para obtener los resultados deseados. La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse usando las TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs son a menudo un medio eficiente de poner a prueba un gran número de transacciones o controles sobre grandes volúmenes por medio de:
    • analizar y seleccionar muestras de un gran volumen de transacciones;
    • aplicar procedimientos analíticos; y
    • desarrollar procedimientos sustantivos.

Asimismo, permiten:

(a) automatizar una prueba de auditoría existente que es realizada manualmente, tal como evaluar la exactitud matemática de un registro;

(b) Realizar pruebas que no son factibles efectuar manualmente, por ejemplo, la revisión de las transacciones de ventas para partidas grandes y/o inusuales para una entidad grande, a través del cual, para realizar manualmente, el número de transacciones que se necesitaría revisar serían imposibles desde una perspectiva de tiempo.

La NIA 330 – Respuesta del auditor a los riesgos valorados indica que: El uso de las Técnicas de auditoría asistidas por computadora podría permitir una evaluación más extensiva de las transacciones electrónicas y de los archivos de cuentas, la cual podría ser útil cuando el auditor decide modificar el grado de la evaluación, por ejemplo, en respuesta a los riesgos de error significativo debido al fraude. Tales técnicas pueden ser utilizadas para seleccionar ejemplos de transacciones de archivos electrónicos claves o para clasificar las transacciones con características específicas.

  • Oportunidad: Ciertos datos, como detalles de transacciones, a menudo se conservan por sólo un corto tiempo, y pueden no estar disponibles en forma legible por la máquina para cuando el auditor lo requiere. Así, el auditor necesitará hacer arreglos para la retención de los datos requeridos, o puede necesitar alterar la programación del trabajo que requiera de estos datos. Cuando el tiempo disponible para desempeñar una auditoría sea limitado, el auditor puede planear el uso de una TAAC, porque cumplirá con su requerimiento de tiempo mejor que otros procedimientos posibles.
  • Detección de fraude: Las TAACs también pueden ayudar en la detección de fraude al permitirnos clasificar a través de grandes cantidades de datos. La TAAC elegida, más aún en el sector público donde se gestionan recursos públicos, debe permitir detectar condiciones que podrían indicar la existencia de fraude, por ejemplo: evaluar el riesgo de fraude de los asientos diarios y de otras áreas de la auditoría que tienen un alto riesgo de fraude. El primer paso consiste en definir qué será considerado usual para cada categoría de transacciones que será analizada. Las TAAC luego pueden generar una lista de todas las transacciones que no son consideradas usuales. Dicha lista puede usarse posteriormente para seleccionar elementos a los cuales se les aplicarán pruebas adicionales. Este proceso debe ser adecuado a las necesidades de cada entidad, pues ninguna tendrá la misma definición de lo que es usual o normal. Con esta prueba no se podrán identificar todos los tipos de fraude posibles; más bien está diseñada para resaltar potenciales fraudes significativos en la medida en que se pueda detectar la evidencia en los archivos de transacciones revisados. Para diseñar esta prueba, es importante obtener la opinión de personas con un profundo conocimiento de la entidad y sus procesos. Algunos ejemplos de estas pruebas incluyen: (a) análisis de ingresos para identificar picos de actividad inusuales al cierre del período; (b) comparación de los niveles de inventario con las actividades para determinar si son razonables; (c) análisis de indicadores de cuentas o montos que deberían tener una alta correlación.

I.4.- DOCUMENTACIÓN DE LA TAAC ELEGIDA

 El estándar de papeles de trabajo y de procedimientos de retención para una TAAC es consistente con el de la auditoría como un todo (tal como lo establece la NIA 230).

 Los papeles de trabajo necesitan contener suficiente documentación para describir la aplicación de la TAAC, tal como:

 a)   Planeación

  • objetivos de la TAAC;
    • consideración de la TAAC especifica que se va a usar
    • controles que se van a ejercer; y
    • personal, tiempo, y costo.

 b)  Ejecución

 •  preparación de la TAAC y procedimientos de prueba y controles;

 •  detalles de las pruebas realizadas por la TAAC;

 •  detalles de datos de entrada, procesamiento y datos de salida; e

 •  información técnica relevante sobre el sistema de contabilidad de la entidad, tal como la organización de archivos.

 c) Evidencia de auditoría

 •  datos de salida proporcionados;

 •  descripción del trabajo de auditoría desarrollado en los datos de salida; y

 •  conclusiones de auditoría.

 d)  Otros

 •  recomendaciones a la entidad,

 •  además, puede ser útil documentar las sugerencias para usar la TAAC en años futuros.

I.5.- PROGRAMAS PARA LA REALIZACIÓN DE AUDITORÍA CON INFORMÁTICA

Las herramientas de auditoría más utilizadas en la actualidad son las siguientes:

  • WinIdea (Interactive Data Extraction and Analysisfor Windows), elaborado por el Instituto Canadiense de Contadores Públicos.
  • ACL: Desarrollados en Canadá, siendo unos de los países más destacado en el desarrollo de software para auditoría con informática. Permite el análisis de datos y generación de informes.
  • El e-ACM.net: Producido en Argentina por la empresa de X Project S.A. El e-ACM.net, cubre todo el proceso de Auditoría, desde la planificación, el desarrollo de los planes de trabajo, las tareas de campo, la emisión de sin número de Informes y el seguimiento de las observaciones.
  • El e-ACM+.net cubre todo el proceso completo de explotación y análisis de datos, diferentes técnicas de análisis, muestreo, genera documentación para la ejecución de las pruebas sustantivas, e interactúa con el eACM.net.
  • Zifra: Desarrollado en España, es un software de auditoría con muestreos, planificación automática, programas de trabajo por área, multipuesto y monopuesto, para trabajar en red y en local sin duplicar contenidos.
  • Auto Audit – Es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final.
  • Delos: es un sistema experto que posee conocimientos específicos en materia de auditoría, seguridad y control en tecnología de información.

Muchos consideran algunos softwares como Excel y Access como TAACs, pues son muy utilizadas por su acceso libre y sirven de herramientas para verificar información. Sin embargo, algunos autores sostienen no cumplen con las características de las TAACs, pues no han sido creadas con el principal propósito de ser herramientas para los auditores.

  1. AUTOMATIZACIÓN DE LOS PROCESOS ROBÓTICOS (RPA)[1]

El acelerado avance en el desarrollo de software experimentado en la última década, ofrece la posibilidad de integrar lostrabajos basados en el software utilizado por la mayoría de los auditores (Excel, Word, Navegadores, y demás) en un entorno de automatización, donde un robot se encarga de ejecutar instrucciones predefinidas de manera automática o semiautomática.

RPA (Automatizaciones de procesos robóticos) es la tecnología que permite al software informático emular e integrar acciones que normalmente realizan los seres humanos que interactúan con sistemas digitales. Es probablemente el camino más rápido hacia la transformación digital y uno de los más eficientes y eficaces.

Los robots de RPA pueden capturar datos, ejecutar aplicaciones, generar respuestas, tomar decisiones basadas en reglas predefinidas y comunicarse con otros sistemas. RPA se dirige principalmente a procesos que son altamente manuales, repetitivos, basados en reglas, con baja tasa de excepciones y entrada electrónica legible estándar.

Las soluciones de RPA se pueden considerar como mano de obra robótica virtual, con más o menos asistencia humana, dependiendo del tipo de trabajo que se necesite.

Normalmente, este tipo de procesos se abordan por un equipo de programadores experimentados, pero actualmente existen herramientas que simplifican la posibilidad de impartir ordenes complejas a un computador mediante entornos amigables para el usuario y exigiendo un nivel básico de lenguajes de programación.

II.1.- POSIBILIDAD DE AUTOMATIZAR UN PROCESO

Hay dos conjuntos de criterios que debe tenerse en cuenta para determinar el potencial de automatización: la aptitud del proceso y la complejidad de la automatización.

  1. Aptitud del Proceso

Estos son los criterios con los que puede evaluar la aptitud de un proceso para su automatización:

  • Basado en Reglas:

Las decisiones tomadas (incluida la interpretación de datos) en el proceso se pueden capturar en una lógica predefinida. La tasa de excepción es baja o también puede incluirse en la lógica organizacional.

  • Procesos automatizables y/o repetitivos

Se diferencian cuatro tipos de procesos:

  • Manual y no repetitivo: los pasos del proceso son realizados por seres humanos y pueden ser diferentes cada vez que el proceso se ejecuta
  • Manual y repetitivo: los pasos del proceso son realizados por el usuario y se repiten al menos varios de ellos en cada ocasión
  • Semiautomatizado y repetitivo: algunos de los pasos repetitivos ya se han automatizado (usando macros, reglas de Outlook, etc.)
  • Automatizado: hay procesos que ya han sido automatizados utilizando otras tecnologías diferentes a RPA.
  • Los procesos que necesitan ser manuales o que no son repetitivos, debido a la alta tasa de excepción o factores que no se pueden integrar en una lógica de organizaciones, no son buenos candidatos para la automatización.
  • Entrada estándar

La entrada en el proceso debe ser electrónica y fácilmente legible o legible utilizando una tecnología que pueda asociarse con RPA (como OCR). Un ejemplo es una factura con los campos predefinidos.

  • Estable

Los procesos que no han cambiado durante un cierto período de tiempo y que no esperan cambios en los próximos meses son buenos candidatos para la automatización, siempre que cumplan con los demás criterios también.

  • Complejidad de la Automatización

Este conjunto de criterios determina la dificultad de la automatización de un proceso:

  • Número de pantallas

RPA funciona programando el robot para realizar tareas a nivel de pantalla (cuando la pantalla cambia, tiene que enseñarse la lógica). Cuanto mayor sea el número de pantallas, más elementos tendrán que capturarse y configurarse antes de la automatización del proceso.

  • Tipo de aplicaciones

Algunas aplicaciones se automatizan más fácilmente (como OfficeSuite o los navegadores), otras aumentan en gran medida el esfuerzo de automatización. Y cuanto más diferentes sean las aplicaciones, el número de pantallas también aumentará.

  • Escenarios de lógica organizacional

La complejidad de una automatización aumenta con el número de puntos de decisión en la lógica organizacional. Básicamente, cada uno podría multiplicar por dos el número de escenarios.

  • Tipos y Número de entradas

Como se ha indicado anteriormente, la entrada estándar es recomendable. Sin embargo, hay casos en los que una entrada estándar (como una factura) tiene que configurarse para cada proveedor que se verá afectado por la automatización. Además, la entrada no estándar puede ser de diferentes grados de complejidad, siendo el texto libre el más complejo.

II.2.- EVALUACIÓN DEL POTENCIAL DE AUTOMATIZACIÓN

Teniendo en cuenta estos factores en nuestra evaluación del potencial de automatización, podemos clasificar los procesos en 4 categorías:

  • SIN RPA

Procesos donde el cambio es frecuente, el entorno del sistema es volátil y se requieren varias acciones manuales (incluso no digitales).

  • SEMI AUTOMATIZACIÓN

Procesos que pueden desglosarse en pasos que pueden automatizarse claramente y pasos que deben mantenerse manuales (como validaciones o uso de tokens de seguridad física)

  • RPA DE ALTO COSTO

Procesos que son bastante digitales y pueden automatizarse, pero utilizan ciertas tecnologías complejas (como OCR) o requieren habilidades avanzadas de programación

  • AUTOMATIZACIÓN SIN CONTACTO

Procesos que son digitales e implican un sistema y entorno de proceso altamente estático, para que puedan dividirse fácilmente en instrucciones y puedan definirse desencadenadores simples.

II.3.- APLICACIÓN PRÁCTICA DE LA AUTOMATIZACIÓN EN UNA AUDITORÍA FINANCIERA

Al considerar las distintas etapas de un proceso de auditoría, podemos incluir en cada una de ellas, dadas las condiciones explicadas anteriormente, la automatización de los procesos involucrados.

  1. Etapa de Planificación: Requerimiento de Información a las Municipalidadsujeta a control de la AGPS.

Sumario:Preparar las notas de requerimiento de información y adjuntarla implican varios procesos de los cuales un gran porcentaje es automatizable.

Procedimiento:

En este hipotético caso se requiere:

  1. Preparar una nota en un procesador de texto (Word) para cada uno de los 61 municipios que contenga:
    1. Fecha actual
    1. Nombre de la municipalidad
    1. Nombre y cargo de la autoridad municipal responsable.
    1. La enumeración de la información requerida.
    1. Un saludo final.
  2. Convertir el archivo Word en formato pdf. cuyo nombre sea el correspondiente al de la municipalidad.
  3. Redactar un e-mail a cada municipio:
    1. Asunto:REQUERIMIENTO DE INFORMACION
    1. Cuerpo: “Estimado, nos contactamos por este medio para solicitarles que nos envíen la información detallada en la nota adjunta, sin más, saludo atte.”
  4. Enviar un mensaje de WhatsApp al celular de contacto brindado por cada una de las municipalidades en la forma:
    “ Estimado (nombre del contacto) nos comunicamos con ustedes para informarle que en fecha (fecha de envió del e-mail) se envió una notificación a la casilla (nombre de la dirección de e-mail) con requerimiento de información. Saludos cordiales.”

Resolución con Herramientas de Automatización:

Uno de los muchos caminos al que se puede abordar ante este tipo de situaciones, es partir de una hoja de cálculo que contenga los datos para que el

sistema confeccione y dirija las notas a sus destinatarios:

Ilustración 1: Datos de los Municipios a Auditar.  

A partir de esta información se indica al software de automatización la ruta para que pueda acceder a consultar los datos.

Ilustración 2: Automatización de le lectura de información contenida en una hoja de Excel.

El funcionamiento del programa se basa en un “bucle”, que en este caso se encarga de leer una por vez cada fila de datos de la hoja de cálculo, para luego crear el archivo pdf, borrar los datos y comenzar con la línea siguiente. Este proceso se repite n-1 veces, siendo n el número de filas con datos en la hoja de cálculo.

Luego, utilizando paquetes de automatización de Microsoft Word, se agregan las actividades de “escribir línea”, “hacer clic en”, “oprimir teclas del teclado”, y demás interacciones en Windows necesarias para trabajar el documento en base a los datos de la hoja de cálculo y posteriormente exportarlo en formato pdf.

Para enviar los datos adjuntos mediante un e-mail, se utilizan herramientas de seguridad, y así evitar robos de contraseñas y envíos no deseados.

Es práctico partir de un archivo Excel, de manera de poder personalizar cada mensaje.

Ilustración 6: Base de datos para automatización de mensajes masivos.

Luego se debe crear un bucle para que repita el proceso tantas veces como sea necesario:

Asimismo, en la continua comunicación con los entes auditados, podría suceder que se envíen requerimientos a través de mensajes WhatsApp a efectos de agilizar algunas cuestiones. En estos casos se trabaja desde la web https://web.whatsapp.com/, para ello se configura el programa para que automáticamente abra el navegador seleccionado y se dirija a esta página.

Posteriormente se debe configurar la ruta de la fuente de datos y se crea un bucle, que, en este caso, tomará de cada fila de la hoja de cálculo, el nombre del contacto del municipio y el mensaje de aviso a enviar, para luego cerrar la ventana y comenzar nuevamente el proceso con el municipio siguiente.

Observaciones:

  • Se pueden ahorrar muchas horas de trabajo al incorporar este tipo de tecnologías, ya que el robot tarda menos de 30 minutos en completar la tarea.
  • La inversión de tiempo en programar es relativamente corta y se puede heredar para futuras tareas similares.
  • La posibilidad de cometer errores involuntarios en la redacción es mínima.
  • Este tipo de automatización es no asistida por lo que la persona responsable de ejecutar la tarea puede realizar otras mientras el robot se ejecuta.
  • Etapa de Ejecución: Análisis de la Nómina de Empleados de un Municipio.

Sumario: A partir de información suministrada por un municipio, se configura un proceso automatizado para que realice el cotejo con la información relacionada.

Procedimiento:

  1. Obtener información de la cantidad de empleados declarados en la planilla Excel que se le envió previamente al municipio como requerimiento.
  2. Obtener la misma información que el punto anterior pero contenida en formulario 931 de la AFIP.
  3. Realizar la comparación de la información obtenida en los puntos anteriores con el objetivo de encontrar desvíos.
  4. Escribir un reporte de los resultados en una hoja de cálculo según la siguiente condición:
    1. Si la cantidad de empleados coinciden, escribir en la hoja de reporte “COTEJADO CON F.931: El municipio informa correctamente la cantidad de empleados en el mes”.
    1. Si la cantidad de empleado es diferente, escribir en la hoja de reporte “Lo informado por el municipio es diferente a lo declarado en el F.931”.
    1. Escribir la información obtenida en celdas diferentes.

Resolución con Herramientas de Automatización:

Ilustración 9: Ejemplo de planilla de requerimiento.

Ilustración 10: Obtener datos de un libro Excel y transcribirlo en otro.

Ilustración 11: Obtención de datos desde un pdf y transcribirlo en un libro Excel.

Ilustración 12:Automatización de formateo en Excel.

Ilustración 13: Instrumentación de la condición.

Ilustración 14: Resultado del procedimiento.

  • Informe: Notificación del Informe de Auditoría Provisorio

Para este caso, se puede heredar parte de la automatización creada para la etapa de planificación. Por lo tanto, el robot prepara un archivo Word, en base a los diferentes reportes generados en etapas anteriores, para posteriormente convertido a formato pdf (incluso con firma digital), y adjuntarlo finalmente al correo electrónico.

De esta manera, solo basta con manipular la base de datos para personalizar el contenido de la notificación según las necesidades ya que la estructura automatizada se puede mantener, copiar, constituir una “plantilla”.

Por otro lado, es posible también programar la ejecución automática de los robots, desde un dispositivo remoto utilizando procesos de “Orchestrations”.

CONCLUSIÓN

La Auditoría General de la Provincia contempla en sus normas y en su Plan de Acción Estratégico, la necesidad del uso de herramientas informáticas que propenden a mejorar la eficacia y la productividad de sus tareas.

Los beneficios que otorgan el uso de las TAAcy de los RPA, son entre otros la reducción del riesgo de auditoría, mayor certeza, auditorías más completas, reducción de tiempos y de costos, detección de riesgos de fraude y la automatización de los procesos.

Sin embargo, su implementación requiere de la capacitación de los auditores y de su formación continua, dado que el mal uso de los mismos podría ocasionar errores y conclusiones incorrectas.

Se plantea entonces, la necesidad de una evaluación profunda y coordinada, por parte de:

a) El área de sistemas, a fin de que examinar los costos, la factibilidad en función de los sistemas actuales y las características y ventajas de los programas disponibles en el mercado; y

b) De los auditores, a efectos de determinar las necesidades y los procedimientos que, en cada fase de la auditoría, requiere la asistencia de las TAACs y de RPA.

Por último, la formulación de guías y de formación técnica en el uso de las TAACs y de RPA, permitirá la aplicación de procedimientos estándares en las distintas áreas de control que conforman la AGPS y el logro de auditorías de calidad.

BIBLIOGRAFÍA

  • Bohórquez Urrego, A. S., Rey Molina, P. A., & Sánchez Sierra, M. A. (2017). Estrategia metodológica para la selección de herramientas de auditoría asistidas por computadora en el sector público.
  • Braun, R. L., & Davis, H. E. (2003). Computer-assistedaudittools and techniques: analysis and perspectives. ManagerialAuditingJournal, 18(9), 725–731. doi:10.1108/02686900310500488
  • Carabajo Galarza, J. S., & Zambrano López, R. X. (2018). Uso de herramientas informáticas para el análisis de datos y ejecución de pruebas de auditoría.
  • Cerullo, M. V., &Cerullo, M. J. (2003). Impactof SAS No. 94 onComputer Audit Techniques. InformationSystems Control Journal, 1(94).
  • Duque, F. J. V. La auditoría continua, una herramienta para la modernización de la función de control público. Caso Colombia.
  • Gutierrez, S. E. (2017). Manual de Normas y Procedimientos de Auditoría Informática: Auditoria General de la Nación (Bachelor’sthesis).
  • Hidalgo Carreón, E. H. (2007). Técnicas de auditoría asistidas por computador en la gestión de los órganos de control institucional del sector público nacional.
  • ISSAI (International Standards of Supreme Auditing Institutions). Obtenido el 01/06/2021 de http://www.isai.org.
  • Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., &Thibodeau, J. (2011). Auditing&AssuranceServices (4th ed.). New York: McGraw-Hill
  • Martínez, Y. A., Alfonso, B. B., & Marichal, L. L. (2012). Auditoría con Informática a Sistemas Contables. Revista de arquitectura e Ingeniería6(2), 1-14.
  • Normas Internacionales de Auditoria (2012). Federación Argentina de Profesionales en Ciencias Económicas.
  • Oría, V. A. Aplicación software de auditoría ACL en el ámbito de la administración pública de la Provincia de Córdoba (Bachelor’sthesis).ResoluciónN° 61/01 de la AGPS, Normas Generales y Particulares de Auditoría para el Sector Público de la Provincia de Salta.
  • Plan Estratégico 2020-2024, Auditoría General de la Provincia de Salta.
  • Resolución Nº 61/01, emitida por la Auditoría General de la Provincia de Salta.
  • Salazar Say, G. N. (2005). Utilización de las Técnicas de Auditoría Asistidas por Computador. Utilización de las Técnicas de Auditoría Asistidas por Computador.
  • Suárez, P. L. (1998). La informática en el trabajo de auditoría. Auditoría Pública: Revista De Los Organos Autónomos De Control Externo, (13), 93-98
  • Smieliauskas, W., &Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach (5th ed., pp. 1–28). Retrievedfrom http://highered.mcgrawhill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdf.
  • Valencia Duque, F. J. (2015). La Auditoría Continua, una herramienta para la modernización de la función de auditoría en las organizaciones y su aplicación en el Control Fiscal Colombiano. Departamento de Informática y Computación.
  • ZavaroBabani, L., Martínez García, C. (1999). Auditoría Informática. Cimex. La Habana.

[1]https://academy.uipath.com/: información extraída del curso “Introducción al rol de desarrollador RPA”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *