Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

La tecnología de la información y las normas de auditoría, ¿Un desfase o una adaptación? (página 2)

Partes: 1, 2

En cuanto a los riesgos
específicos de la TI respecto del control
interno menciona, entre otros, los siguientes:

  • Posibilidad de que los errores se multipliquen al
    procesar los datos de manera
    inexacta o datos no exactos, o ambas cosas.
  • Acceso no autorizado a datos o cambios no autorizados
    a sistemas o
    programas.
  • Potencial pérdida de datos o incapacidad de
    acceder a los datos según se requiere.

En cuanto a los sistemas manuales, destaca
que los mismos pueden ser más adecuados donde se requiera
juicio y discreción, como en el caso de registro de
transacciones inusuales o no recurrentes, o circunstancias donde
los errores sean difíciles de definir, anticipar o
predecir. Y, al monitorear la efectividad de controles
automatizados.

El auditor deberá obtener un entendimiento de
cómo ha respondido la entidad a los riesgos que se
originan de la TI.

Si bien el enfoque de la auditoría sobre la base del riesgo es un
nuevo concepto que no
se mencionaba en las guías de auditoría de los
años setenta, las normas más
recientes mantienen en sus textos las referencias a los Controles
Generales y los Controles de Aplicación al igual que las
normas que les precedieron.

Debemos hacer notar en este punto que el enfoque de la
auditoría sobre la base del riesgo no es propio, ni
exclusivo, de la tecnología de la
información, sino que se aplica a todas las
áreas de la auditoría.

DEBATE

La Declaración sobre Normas de Auditoría
No.3, (SAS 3), acerca de los efectos del PED sobre el estudio y
evaluación del control interno
del auditor, en su parte introductoria, hace referencia a la
sección 320.33 del SAS 1 en cuanto a que, debido a que la
definición y los conceptos básicos relativos al
control contable se expresan en términos de objetivos,
ellos son independientes del método de
procesamiento de
datos usado, consecuentemente, se aplican igualmente a
sistemas manuales, mecanizados y de procesamiento
electrónico de datos. Sin embargo, la
organización y los procedimientos
requeridos para lograr estos objetivos pueden ser influenciados
por el método de procesamiento de datos
utilizado.

Esta influencia puede afectar también los
procedimientos empleados por el auditor en el estudio y
evaluación del control contable para determinar la
naturaleza,
oportunidad y extensión de los procedimientos de
auditoría aplicables a su examen de los estados
financieros. Define, además, que un sistema de
procesamiento de datos puede ser totalmente manual o puede
incluir una combinación de actividades manuales,
actividades mecánicas y actividades de procesamiento
electrónico de datos PED. Las aplicaciones de PED
varían considerablemente, desde aplicaciones rutinarias,
como el proceso de una
pequeña nómina,
hasta aplicaciones complejas e integradas que procesan
simultáneamente información contable, de producción, de mercadotecnia
y administrativa. Cuando el PED es utilizado en aplicaciones
contables importantes, el auditor debe considerar a la actividad
del PED en su estudio y evaluación del control contable,
sin importar qué tan limitado o extenso es su uso, o si
las instalaciones de PED son operadas bajo la dirección del cliente del
auditor o por un tercero.

Finaliza la parte introductoria del SAS 3 haciendo
referencia a lo que indica la primera norma general de
auditoría en cuanto a que el examen debe ser efectuado por
personas que tengan entrenamiento
técnico adecuado y experiencia como auditores. Si un
cliente utiliza PED en su sistema contable, el auditor necesita
entender el sistema entero en forma suficiente para permitirle
identificar y evaluar sus características esenciales de
control contable. Las situaciones que incluyen aplicaciones de
PED más complejas, normalmente requerirán que el
auditor aplique conocimientos especializados de PED en la
ejecución de los procedimientos de auditoría
necesarios.

PROCEDIMIENTOS DE CONTROL CONTABLE EN EL
PED.

En cuanto a los procedimientos de control contable en el
PED, la declaración define que algunos procedimientos se
refieren a todas las actividades del PED (controles generales) y
algunos se refieren a funciones
contables específicas, tales como la preparación de
relaciones contables o nóminas
(controles de aplicación).

Los controles generales comprenden:

  1. El plan de
    organización y operación de la
    actividad de PED,
  2. Los procedimientos para la documentación, revisión, prueba y
    aprobación de los sistemas o programas y los cambios a
    los mismos,
  3. Controles incorporados en el quipo por el fabricante
    (normalmente conocidos como "controles de equipo)",
  4. Controles sobre el acceso al equipo y los archivos de
    datos y
  5. Otros controles de datos y de procedimiento
    que incluyen en forma global las operaciones de
    PED.

Las debilidades en los controles generales tienen
frecuentemente efectos trascendentales. Cuando los controles
generales son débiles o inexistentes, el auditor
deberá considerar el efecto de dichas debilidades o
inexistencias en la evaluación de los controles de
aplicación.

Los controles de aplicación se refieren a los
trabajos específicos realizados por el PED. Su función es
proporcionar seguridad
razonable de que el registro, procesamiento y reporte de los
datos se efectúan en forma adecuada. Hay una variedad
considerable de procedimientos particulares y de registros que se
usan para poner en efecto controles de aplicación. Los
controles de aplicación son frecuentemente clasificados
como "controles sobre la entrada (input)", "controles de
procesamiento" y "controles sobre la salida (output)".

LOS EFECTOS DEL PED
SOBRE LAS CARACTERÍSTICAS DEL CONTROL
CONTABLE

Segregación de funciones

Muchos sistemas de PED no sólo procesan datos
contables sino también incluyen procedimientos para
detectar errores e irregularidades y para proporcionar
autorización específica para ciertos tipos de
transacciones. Debido a que los procedimientos pueden ser
combinados, es más probable que se combinen funciones
incompatibles en una actividad de PED que en una actividad
manual.

Frecuentemente, las funciones que podrían ser
consideradas como incompatibles si fueran realizadas por un solo
individuo en
una actividad manual, son realizadas mediante el uso de un
programa o una
serie de programas de PED. Una persona que tiene
la oportunidad de efectuar cambios no aprobados a cualquiera de
dichos programas, realiza funciones incompatibles en
relación con la actividad de PED.

Los archivos de datos del PED frecuentemente son
registros básicos de un sistema de contabilidad.
No pueden ser leídos o cambiados sin el uso del PED, pero
pueden ser cambiados mediante el uso del PED sin evidencia
visible que el cambio ha
ocurrido. Una persona en posición para efectuar cambios no
aprobados en archivos de datos del PED realiza funciones
incompatibles.

Los programas supervisores son usados en algunos
sistemas de PED para realizar funciones generales en más
de un programa de aplicación. Los programas supervisores
incluyen (a) "sistemas
operativos", que controlan el equipo de PED y que puede
procesarse uno o más programas de aplicación en un
momento dado y (b) "sistemas de manejo de datos" que realizan
funciones estándar de manejo de datos para uno o
más programas de aplicación. Un individuo que puede
hacer cambios no aprobados en los programas supervisores tiene la
oportunidad de iniciar transacciones no autorizadas similares a
aquellas de una persona que puede efectuar cambios no aprobados
en programas de aplicación o archivos de datos; por tanto,
esa persona, realiza funciones incompatibles.

Los párrafos anteriores comentan las funciones
incompatibles correspondientes a aspectos tales como la
asignación de funciones, cambios en programas, mantenimiento
de archivos de datos y sistemas
operativos y de manejo de datos. Si los individuos
involucrados realizan funciones incompatibles, pueden aplicarse
controles compensatorios. Por ejemplo, un plan de
organización y operación puede contener controles
sobre el acceso al equipo de PED, controles efectivos sobre la
biblioteca y
prever un supervisión y rotación de personal
efectiva. También, los departamentos usuarios u otros
grupos de
control pueden establecer en forma independiente conteos de
documentos o
totales de campos de datos significativos. Los controles
compensatorios son complementados frecuentemente por
procedimientos de auditoría
interna.

Ejecución de transacciones

La extensión en que es usado el PED en la
ejecución de los pasos en el ciclo de una
transacción varía. En función de la
extensión en que el PED es usado para ejecutar pasos en el
ciclo de una transacción, el programa de aplicación
de PED normalmente incluye procedimientos de control contable
diseñados para asegurar que los pasos son ejecutados de
acuerdo con autorizaciones específicas o generales
emitidas por personas (incluyendo, en sistemas avanzados, a
clientes u otras
personas no empleadas por la entidad) actuando dentro de su campo
de autoridad.
Estos procedimientos pueden incluir verificaciones para
identificar datos que caen fuera de límites
predeterminados o pruebas de
razonabilidad en forma general.

Registro de transacciones

El uso de PED para procesar o iniciar transacciones
puede afectar la fuente y extensión de posibles errores.
La efectividad del control contable sobre el registro de
transacciones por PED depende de a) el funcionamientos de los
procedimientos de PED que registran las transacciones y producen
la información de salida (tal como listados o cuadros
contables, sumarias, archivos magnéticos y reportes de
excepción), y de b) el seguimiento u otras acciones de
los usuarios de la información de salida.

Acceso a los Activos

El personal de PED tiene acceso a los activos si la
actividad de PED incluye la preparación o procesamiento de
documentos que lleven al uso o disposición de los activos.
En este caso, los controles compensatorios de los que se
comentó anteriormente, deben ser implementados para
minimizar las posibilidades de acceso no autorizado a los activos
por el personal de PED.

Comparación de los Registros Contables con los
Activos

El PED es frecuentemente usado para comparar los
registros contables con los activos. Las condiciones en que
pueden ocurrir errores e irregularidades deben ser
consideradas.

REVISIÓN DEL SISTEMA

La revisión del sistema de control contable del
cliente por el auditor debe comprender todas las actividades
manuales, mecanizadas y de PED significativas e importantes y la
relación entre el PED y los departamentos usuarios. La
revisión debe comprender los procedimientos de control
relacionados con transacciones, desde su origen o fuente hasta su
registro en los libros de
contabilidad y los procedimientos de control relacionados con el
registro contable de los activos. La revisión es un
proceso de obtención de información que depende de
preguntas inteligentes hechas al personal del cliente, observación de los trabajos asignados y de
los procedimientos de operación y referencia a la
documentación disponible relacionada con el control
contable.

La revisión del auditor debe estar
diseñada para proporcionar un conocimiento
del flujo de las transacciones a través del sistema
contable, de la extensión en que el PED es usado en cada
aplicación contable importante y de la estructura
básica del control contable. Durante esta fase el auditor
puede identificar algunos de los procedimientos
específicos de control contable relacionados con cada
aplicación y puede darse cuenta de debilidades materiales
aparentes en los procedimientos. El
conocimiento se obtiene ordinariamente por preguntas, pero
también puede obtenerse por observación del
personal del cliente y revisión de la
documentación. Dicho conocimiento preliminar de los
procedimientos de PED normalmente se refiere a los controles
generales y a los controles de aplicación discutidos
anteriormente.

Después de completar la fase preliminar de la
revisión, el auditor debe estar en posición de
evaluar, para cada aplicación contable sustancial, la
importancia del control contable del PED en relación al
sistema total de control contable y, por lo tanto, de determinar
la extensión de su revisión del control contable
del PED.

  1. El auditor puede concluir que los procedimientos de
    control contable dentro de las porciones de la
    aplicación o aplicaciones de PED parecen proporcionar
    una base confiable suficiente para reducir la extensión
    de sus pruebas sustantivas. En ese caso, deberá
    completar su revisión de los procedimientos de control
    contable del PED, efectuar las pruebas de cumplimiento
    respectivas y evaluar los procedimientos de control para
    determinar la extensión a que pueden restringirse las
    pruebas sustantivas.
  2. El auditor puede concluir que existen debilidades en
    los procedimientos de control contable en las porciones de la
    aplicación o aplicaciones de PED suficientes para
    eliminar su confianza en dichos procedimientos; no
    podrá confiar     en esos procedimientos de control
    contable del PED. El auditor deberá evaluar el impacto
    potencial de dichas debilidades en los estados financieros que
    está examinado tan pronto como vengan a su atención y deberá cumplir con sus
    objetivos de auditoría por otros medios.
  3. El auditor puede decidir no extender su
    revisión preliminar y no efectuar pruebas de
    cumplimiento relacionadas con los procedimientos de control
    contable dentro de las porciones de la aplicación o las
    aplicaciones de PED aún cuando concluya que los
    controles son aparentemente adecuados. En ese caso, no
    podrá confiar en esos procedimientos de control contable
    del PED. Las situaciones de este tipo podrán ser esas en
    las que,
  1. El auditor puede concluir que el esfuerzo de
    auditoria requerido para completar su revisión y las
    pruebas de cumplimiento excederían la reducción
    de esfuerzo que podría lograrse al confiar en los
    controles contables del PED.
  2. El auditor concluye que ciertos procedimientos de
    control contable del PED son redundantes debido a que existen
    otros procedimientos de control contable.

PRUEBAS DE CUMPLIMIENTO

El propósito de las pruebas de cumplimiento es
proporcionar razonable seguridad de que los procedimientos de
control contable son aplicados en la forma en que fueron
descritos.

Algunos procedimientos de control contable dentro de la
actividad de PED dejan evidencia visible que indica que los
procedimientos fueron ejecutados.

Algunos procedimientos de control contable dentro de la
actividad de PED, especialmente aquellos en programas que son
diseñados para detectar datos erróneos o
inválidos, no dejan evidencia visible que indique que los
procedimientos fueron ejecutados. Por lo tanto, el auditor
deberá probar estos controles revisando las transacciones
entregadas para proceso para determinar que ninguna de las
transacciones procesadas tiene condiciones inaceptables o que las
condiciones inaceptables existentes fueron reportadas y resueltas
adecuadamente. La revisión puede hacerse manualmente si
las condiciones lo permiten, o el auditor puede tener la
capacidad o considerar necesario utilizar el PED para detectar
condiciones inaceptables, ya sea utilizando sus programas
independientes o utilizando copias de los programas del cliente,
los cuales el auditor ha determinado, en forma independiente, que
son adecuados para sus propósitos.

EVALUACIÓN DEL SISTEMA

La evaluación de los aspectos de PED en un
sistema de control contable no es diferente conceptualmente de la
evaluación de otros aspectos del sistema y deberá
ser parte integral de la evaluación del sistema hecha por
el auditor. Los procedimientos de control contable ejecutados
tanto dentro de la actividad de PED como por los departamentos
usuarios, influyen en la efectividad del sistema y deberán
ser considerados en forma conjunta por el auditor.

La declaración sobre Normas de Auditoría
No. 3, (SAS -3) fue emitida en el año 1974.

Existen actualmente varios pronunciamientos o
guías de auditoría contra los cuales
podríamos contrastar las normas de auditoría de
sistemas enunciadas en el SAS 3 comentado arriba. Siendo que
todos estos pronunciamientos actuales están directa y
estrechamente relacionados, me permitiré hacer mi análisis comparativo con respecto a las
Normas Internacionales de Auditoría por considerar que
éstas, de alguna manera, son de aplicación
más general y abarcan un ámbito más amplio
de situaciones, a diferencia de aquellos pronunciamientos
relacionados con la ley SOX que son
de aplicación más restringida y específicos
para las compañías americanas.

La norma internacional de auditoría 315, titulada
"Entendimiento de la entidad y su entorno y evaluación de
los riesgos de representación errónea de
importancia relativa", tiene como propósito establecer
normas y proporcionar guías para obtener un entendimiento
de la entidad y su entorno, incluyendo su control interno.
Específicamente establece que "El auditor deberá
obtener un entendimiento de la entidad y su entorno, incluyendo
su control interno, suficiente para identificar y evaluar los
riesgos de representación errónea de importancia
relativa de los estados financieros ya sea debido a fraude o error, y
suficiente para diseñar y desempeñar procedimientos
adicionales de auditoría".

En el apartado de Características de elementos
manuales y automatizados del control interno relevantes para la
evaluación del riesgo por el auditor, numeral 58, menciona
lo siguiente:

"El uso de elementos manuales o automatizados en el
control interno también afecta la manera en que las
transacciones se inician, registran, procesan e informan. Los
controles en un sistema manual pueden incluir procedimientos como
aprobaciones y revisiones de actividades, y conciliaciones y
seguimiento de partidas de conciliación. Alternativamente,
una entidad puede usar procedimientos automatizados para iniciar,
registrar, procesar e informar transacciones, en cuyo caso los
registros en formato electrónico sustituyen documentos de
papel como órdenes de compra, facturas, documentos de
embarque y registro de contabilidad relacionados. Los controles
en sistemas de TI consisten de una combinación de
controles automatizados (por ejemplo, controles integrados en
programas de computador) y
controles manuales. Más aún, los controles manuales
pueden ser independientes de TI, pueden usar información
producida por TI, o pueden estar limitados a monitorear el
funcionamiento efectivo de TI y de los controles automatizados y
a manejar las excepciones. Cuando se usa TI para iniciar,
registrar, procesar o informar transacciones, u otros datos
financieros para inclusión en los estados financieros, los
sistemas y programas pueden incluir controles relacionados con
las correspondientes aseveraciones para cuentas de
importancia relativa o pueden ser críticos para el
funcionamiento efectivo de los controles manuales que dependan de
TI.

En cuanto al proceso de evaluación del riesgo por
la entidad, el auditor deberá obtener un entendimiento del
sistema de
información, incluyendo los procesos de
negocio relacionados, relevante para la información
financiera, incluyendo las áreas siguientes:

  • Las clases de transacciones en las operaciones de la
    entidad que sean importantes para los estados
    financieros.
  • Los procedimientos, tanto en sistemas de TI como
    manuales, por los que se inician, registran, procesan e
    informan dichas transacciones en los estados
    financieros.
  • Los registros contables relacionados, ya sea
    electrónicos o manuales, que soportan información
    y cuentas específicas en los estados financieros,
    respecto de iniciar, registrar, procesar e informar las
    transacciones.
  • Cómo captura el sistema de información
    los hechos y condiciones, distintos de clases de transacciones,
    que son importantes para los estados financieros.
  • El proceso de información financiera utilizado
    para preparar los estados financieros de la entidad, incluyendo
    estimaciones contables y revelaciones importantes.

No se encontró ninguna incongruencia entre lo que
aquí se menciona y lo expuesto en el SAS 3. Si bien se
nota una cierta especificidad en cuanto a los procedimientos a
seguir por el auditor para lograr un entendimiento de la entidad
y su entorno, todos los procedimientos se consideran incluidos
dentro de las indicaciones más amplias del SAS
3.

El numeral 93, indica que el Auditor deberá
obtener un entendimiento de cómo ha respondido la entidad
a los riesgos que se originan de la TI. El uso de TI afecta la
manera en que se implementan las actividades de control. El
auditor considera si la entidad ha respondido de manera adecuada
a los riesgos que se originan de TI estableciendo controles
generales de TI efectivos y controles de aplicación. Desde
la perspectiva del auditor, los controles sobre los sistemas de
TI son efectivos cuando mantienen la integridad de la
información y la seguridad de los datos que procesan
dichos sistemas.

Al igual que en el SAS 3, se hace referencia a los
controles especiales de TI, diferenciándolos entre
controles generales y controles de aplicación. Sin
embargo, se hace referencia a los mismos como respuesta a los
riesgos que se originan de la TI. Es este aspecto o enfoque del
riesgo en cuanto a los controles el que podría significar
una diferencia, aunque no significativa o de fondo, entre los
lineamientos del pasado y los del presente.

No encontré ningún otro pronunciamiento o
norma internacional de auditoría que se refiriera a
aspectos específicos de la TI, aunque hay varias normas
que hacen mención de la misma pero de una manera muy
general y ninguna de estas menciones presentan un aspecto que
modifique o contradiga los principios
enunciados en el SAS 3.De hecho, las siguientes normas y
declaraciones específicas de TI fueron derogadas con
ocasión de la entrada en vigor de la norma internacional
de auditoria 315 que he comentado más arriba, a partir de
diciembre de 2004, como sigue:

NIA 401, Auditoría en un ambiente de
sistemas de
información por computadora.

Declaraciones Internacionales de Prácticas de
Auditoría:

1001 Ambientes de CIS-Computadoras
independientes

1002 Ambientes de CIS-Sistemas de computadoras en
línea

1003 Ambientes de CIS-Sistemas de Base de
Datos

1008 Evaluación del riesgo y el control interno-
Características y consideraciones del CIS

1009 Técnicas
de Auditoría con ayuda de computadora.

Para finalizar con el análisis comparativo de las
primeras normas de auditoría relativas al procesamiento
electrónico de datos y las normas más recientes,
nos referiremos al ambiente guatemalteco donde se emitió
la norma de auditoría No. 26, Auditoría en un
ambiente de PED. Esta norma fue promulgada por el INSTITUTO
GUATEMALTECO DE CONTADORES PÚBLICOS Y AUDITORES, en el
año 1993.

En su parte introductoria dicha norma establece que el
objetivo y
alcance globales de una auditoría no cambian en un
ambiente de PED. Sin embargo, el uso de un computador cambia el
procesamiento y conservación de la información
financiera y puede afectar la organización y los
procesamientos empleados por la entidad para alcanzar una
adecuada estructura de control interno. En consecuencia, los
procedimientos seguidos por el auditor en su evaluación
del sistema de contabilidad y de los controles internos
relativos, y la naturaleza, oportunidad y alcance de sus otros
procedimientos de auditoría pueden ser afectados por un
ambiente PED.

El principio de que el objetivo y el alcance de una
auditoría no cambian, independientemente del método
de procesamiento de datos utilizado, pero que éste
sí puede influir en los procedimientos empleados por una
entidad para el logro de sus objetivos de control contable se
mantiene inalterable.

En cuanto a la capacidad y competencia del
auditor, la Norma de auditoría No. 26 no añade
ninguna nueva competencia a las ya requeridas por el SAS 3,
más que los conocimientos suficientes de PED para
implementar los procedimientos de auditoría que sean
necesarios. En este caso, si bien el principio sigue siendo el
mismo, sí cabe hacer la consideración que los
conocimientos de PED necesarios para que el auditor lleve a cabo
su trabajo con
eficiencia y
efectividad sí han cambiado y requieren de una educación continua de
parte del auditor.

En cuanto a la planeación
de la auditoría, los lineamientos generales en cuanto al
conocimiento que debe obtener el auditor en cuanto al ambiente de
PED en la entidad a ser auditada, el grado de utilización
del mismo, el flujo de las transacciones y los controles
generales así como los controles de aplicación,
todo ello con el fin de determinar el grado de confianza que
espera depositar en los controles PED en su evaluación
global de la estructura de control interno, se mantienen
invariables con respecto a lo normado por el SAS 3.

En cuanto al sistema de contabilidad y la estructura de
control interno, la norma No. 26 hace de nuevo referencia a que,
si el auditor planea apoyarse en controles internos para efectuar
su auditoría, debe tomar en cuenta los controles generales
de PED y los controles de aplicación PED, o sea, mantiene
la importancia de identificar, analizar y evaluar estos
controles, como lo hizo en su momento el SAS 3.

Finalmente, en cuanto a la evidencia de
auditoría, la norma No. 26 señala las instancias en
las que podría ser necesaria la utilización de
técnicas de auditoría con ayuda del computador,
TAACS, O CAATS por sus siglas en inglés,
que también fueron referidas en su oportunidad por el SAS
3.

CONCLUSIÓN

Como se desprende del análisis comparativo de los
aspectos esenciales de las normas anteriores (años
setenta) y las actuales, las normas del trabajo de
auditoría en un ambiente computarizado, fundamentalmente
no han cambiado, a pesar de los admirables avances
tecnológicos. No obstante, debido a la naturaleza
cambiante de la Tecnología
de la Información, el Auditor debe actualizarse
constantemente para estar siempre al día con las nuevas
tecnologías y usos y aplicaciones de las mismas
así como de sus riesgos inherentes. Como se mencionaba en
la parte introductoria del SAS 3, refiriéndose a la
primera norma general de Auditoría, el estudio y
evaluación del control interno debe ser efectuado por una
persona o personas que tengan entrenamiento técnico
adecuado y experiencia como auditores. El auditor necesita
entender el sistema entero en forma suficiente para permitirle
identificar y evaluar sus características esenciales de
control contable. Esto sólo se logra con una capacitación constante para mantenerse
informado de los nuevos productos,
nuevos procesos y nuevas habilidades.

Otra conclusión importante de nuestro
análisis comparativo es la relativa a que los conceptos
básicos relativos al control contable se aplican
igualmente a sistemas manuales, mecanizados y de procesamiento
electrónico de datos. Sin embargo, el método de
procesamiento de datos utilizado sí puede influenciar la
organización y los procedimientos requeridos para mantener
un adecuado control contable y, por lo tanto, afecta
también los procedimientos empleados por el auditor para
su estudio y evaluación del control contable.

Finalmente, tanto el SAS 3, como los pronunciamientos
más recientes enfatizan la clasificación y la
importancia de los controles específicos de la
Tecnología de la Información en Controles Generales
y Controles de Aplicación.

De una manera más general, podríamos
concluir que los cambios han sido más de forma que de
fondo. Los sistemas son más poderosos, los diseños
más atractivos, hay una mayor capacidad y velocidad de
procesamiento, utilización más generalizada, etc.
También se han desarrollado nuevas aplicaciones, como la
Internet, las
máquinas portátiles para el ingreso
de datos, y otras aplicaciones posibles debido a los adelantos en
la tecnología
de la comunicación. Así mismo se han integrado
nuevos conceptos en el desarrollo del
trabajo de la auditoría, tales como el enfoque sobre la
base del riesgo, que como ya comentamos anteriormente, no es un
concepto propio del área de TI, sino que aplica a todo
el trabajo de
la auditoria en general, y la mayor relevancia que se le asigna a
la participación efectiva de la gerencia en el
monitoreo de los controles contables y financieros.

BIBLIOGRAFÍA

DECLARACION SOBRE NORMAS DE AUDITORIA No.3, (1976).
Traducción Autorizada del Statement of
Auditing Standards, del American Institute of Certified Public
Acountants, publicada por el Instituto Mexicano de Contadores
Públicos, Primera Reimpresión.

NORMAS INTERNACIONALES DE AUDITORIA, (2006). Emitidas
por el Comité Internacional de Práctica de
Auditoría (IFAC), publicadas por el Instituto Mexicano de
Contadores Públicos.

NORMAS DE AUDITORIA, (2006). Instituto Guatemalteco de
Contadores Públicos y Auditores.

José Luis Nuñez Urrutia

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter