NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.

401
Información por Computadora

Auditoría en un Ambiente de
Sistemas de Información por
Computadora

NEA 11
Norma Ecuatoriana de Auditoría 11

Corporación Edi-Ábaco Cía. Ltda

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

Instrucciones de Ubicación:

NEA: La información referente al contenido de la NEA 11 (Norma

Ecuatoriana de Auditoría 11), la ubicará en la hoja directriz de las
Actualizaciones 14, 15 y 16, que se encuentra en la sección NIA de la carpeta.
Siguiendo las instrucciones de la sección ÍNDICE, proceda a grabar el contenido
del disquete No. 5 en el disco duro de su computador.

Título general de la obra: Actualización Contable

Título de ésta norma: NEA No. 11: Auditoría en un Ambiente de Sistemas de Información
por Computadora

© International Federation of Accountants

© International Auditing Practices Committee

Original en inglés:International Standards on Auditing.

© Adopción: Federación Nacional de Contadores del Ecuador

© Adaptación: Instituto de Investigaciones Contables del Ecuador.

Base legal:
Registro Oficial No :
Resolución Interinstitucional : SB-SC-SRI-01
Superintendencia de Bancos
Superintendencia de Compañías
Servicio de Rentas Internas

Primera Edición : En Recurso Informático: 2000/2001

Revisión y Edición: Corporación Edi-Ábaco Cía. Ltda.

Revisión Técnica: Geovanny Córdova J.
Comunicador Responsable: Margoth Coronado V.
Diseño Gráfico y Diagramación: Esteban Córdova J.
Textos: Yvette Páez M.

Tiraje: 1.000 copias Editado en Ecuador

Derechos reservados. Prohibida la reproducción total o parcial de la Obra, por cualquier medio:
fotomecánico, informático o audiovisual, sin la autorización escrita de los propietarios de los
Derechos Intelectuales.

ISBN-9978-95-009-5 Registro Nacional de Derechos de Autor: 009508

Corporación Edi-Ábaco Cía. Ltda

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

ACERCA DE ESTA EDICIÓN:

En la presente edición, Corporación Edi-Ábaco Cía. Ltda, ofrece el contenido de la

Norma Ecuatoriana de Auditoría 11, conforme a los textos originales del Instituto de
Investigaciones Contables del Ecuador, órgano técnico de la Federación Nacional de
Contadores.
Se ha rediagramado íntegramente la presentación del texto, para facilitar la utilización
y comprensión del mismo, y se han corregido errores tipográficos y ortográficos.
Para las siguientes ediciones se tiene previsto incluir un valor agregado, pues
contendrá un cuadro comparativo de las diferencias importantes respecto a las NIA y
en lo que la norma permite, ejercicios de aplicación.

El Editor

Corporación Edi-Ábaco Cía. Ltda

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

CONTENIDO

Párrafos Páginas

Auditoría en un Ambiente de Sistemas de

Información por Computadora
Introducción 1-3 1
Habilidad y competencia 4 1-2
Planificación 5-7 2-4
Evaluación del riesgo 8-10 4-5
Procedimientos de auditoría 11-12 5

Corporación Edi-Ábaco Cía. Ltda. i

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

Las Normas Ecuatorianas sobre Auditoría (NEA) se deben aplicar en la

auditoría de los estados financieros. Las NEA deberán también aplicarse,
adaptadas según sea necesario, a la auditoría de otra información y a
servicios relacionados.

Las NEA contienen los principios básicos y los procedimientos esenciales

(identificados en letra negrilla) junto con los lineamientos relacionados en
forma de material explicativo y de otro tipo. Los principios básicos y los
procedimientos esenciales deben interpretarse en el contexto del material
explicativo y de otro tipo que proporciona lineamientos para su aplicación.

Para comprender y aplicar los principios básicos y los procedimientos

esenciales junto con los lineamientos relacionados, es necesario considerar el
texto íntegro de la NEA incluyendo el material explicativo y de otro tipo
contenido en la NEA, y no sólo el texto resaltado en negrillas.

En circunstancias especiales, un auditor puede juzgar necesario apartarse de

una NEA para lograr en forma más efectiva el objetivo de una auditoría.
Cuando surge una situación así, el auditor deberá estar preparado para
justificar la desviación.

Las NEA necesitan ser aplicadas sólo a asuntos importantes.

Es poco práctico establecer normas de auditoría y servicios relacionados que

apliquen universalmente a todas las situaciones y circunstancias que pueda
encontrar un auditor. Por lo tanto, los auditores deberán considerar las NEA
como los principios básicos que deberán seguir en la realización de su trabajo.
Los procedimientos precisos requeridos para aplicar estas normas se dejan al
juicio profesional del auditor en particular y dependerán de las circunstancias
de cada caso.

El Instituto de Investigaciones Contables de la Federación Nacional de

Contadores del Ecuador ha determinado que las Normas Ecuatorianas de
Auditoría sean adoptadas a partir del 1 de octubre de 1999.

La Perspectiva del Sector Público (PSP) se expone al final de una NEA.

Cuando no se añade PSP, la NEA es aplicable en todos los aspectos
importantes al sector público

Corporación Edi-Ábaco Cía. Ltda.

ii
NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

AUDITORÍA EN UN AMBIENTE DE SISTEMAS DE

INFORMACIÓN POR COMPUTADORA
Nota del Editor: Esta Norma ha sido desarrollada con referencia
a la Norma Internacional de Auditoría NIA 15, sección 401.

Introducción
1. El propósito de esta Norma Ecuatoriana sobre Auditoría (NEA) es establecer
normas y proporcionar lineamientos sobre los procedimientos que deben seguirse
cuando se realiza una auditoría en un ambiente de sistemas de información
computarizada (SIC). Para fines de las NEA, existe un ambiente SIC cuando está
involucrada una computadora de cualquier tipo o tamaño en el procesamiento, por
parte de la entidad, de información financiera de importancia para la auditoría, ya
sea que dicha computadora sea operada por la entidad o por un tercero.

2. El auditor deberá considerar cómo afecta a la auditoría un ambiente de

sistemas de información computarizada (SIC).

3. El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. Sin

embargo, el uso de una computadora cambia el procesamiento, almacenamiento y
comunicación de la información financiera y puede afectar los sistemas de
contabilidad y de control interno empleados por la entidad. Por consiguiente, un
ambiente SIC puede afectar:

 Los procedimientos seguidos por un auditor para obtener una comprensión

suficiente de los sistemas de contabilidad y de control interno.
 La consideración del riesgo inherente y del riesgo de control a través de la cual
el auditor llega a la evaluación del riesgo.
 El diseño y desarrollo, por parte del auditor de pruebas de control y
procedimientos sustantivos apropiados para cumplir con el objetivo de la
auditoría.

Habilidad y competencia
4. El auditor debería tener suficiente conocimiento del SIC para planificar,
dirigir, supervisar y revisar el trabajo desarrollado. El auditor debería
considerar si se necesitan habilidades especializadas en SIC en una auditoría.
Estas pueden necesitarse para:

 Obtener una suficiente comprensión de los sistemas de contabilidad y de control

interno afectados por el ambiente SIC.
 Determina el efecto del ambiente SIC sobre la evaluación del riesgo global y del
riesgo al nivel de saldo de cuenta y de clase de transacciones.

Corporación Edi-Ábaco Cía. Ltda.

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

 Diseñar y realizar pruebas de control y procedimientos sustantivos apropiados.

Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un

profesional con dichas habilidades, quien puede pertenecer al personal del auditor o
ser un profesional externo. Si se planea el uso de dicho profesional, el auditor
debería obtener apropiada evidencia suficiente de auditoría de que dicho
trabajo es adecuado para los fines de la auditoría, de acuerdo con la NEA “Uso
del Trabajo de un Experto”.

Planificación
5. De acuerdo con la NEA “Evaluaciones del Riesgo y Control Interno” el auditor
debería obtener una suficiente comprensión de los sistemas de contabilidad y
de control interno, para planificar la auditoría y desarrollar un enfoque de
auditoría efectivo.

6. Al planificar las porciones de la auditoría que pueden verse afectadas por el

ambiente SIC del cliente, el auditor debería obtener una comprensión de la
importancia y complejidad de las actividades del SIC y la disponibilidad de los
datos para uso en la auditoría. Esta comprensión incluiría asuntos como:

 La importancia y complejidad del procesamiento por computadora en cada

operación importante de contabilidad. La importancia se refiere al carácter
significativo de las aseveraciones de los estados financieros afectados por el
procesamiento por computadora. Se puede considerar como compleja una
aplicación cuando, por ejemplo:
- El volumen de transacciones es tal que los usuarios encontrarían difícil
identificar y corregir errores en el
procesamiento.
- La computadora automáticamente genera transacciones o entradas de
carácter significativo directamente a otra aplicación.
- La computadora desarrolla cálculos complicados de información financiera
y/o automáticamente genera transacciones o entradas de carácter
significativo que no pueden ser (o no son) validadas independientemente.
- Las transacciones son intercambiadas electrónicamente con otras
organizaciones (como en los sistemas electrónicos de intercambio de
datos-EDI) sin revisión manual para la propiedad o razonabilidad.
 La estructura organizacional de las actividades SIC del cliente y el grado de
concentración o distribución del procesamiento por computadora en toda la
entidad, particularmente en cuanto puedan afectar la segregación de deberes.
 La disponibilidad de datos. Los documentos fuente, ciertos archivos de
computadora, y otro material de evidencia que pueden ser requeridos por el
auditor, pueden existir por un corto período de tiempo o sólo en forma legible
por computadora. El SIC del cliente puede generar reportes internos que

Corporación Edi-Ábaco Cía. Ltda. 2

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

pueden ser útiles para llevar a cabo pruebas sustantivas (particularmente

procedimientos analíticos). El potencial uso de técnicas de auditoría con ayuda
de computadora puede permitir una mayor eficiencia en el desempeño de los
procedimientos de auditoría, o puede capacitar al auditor a aplicar en forma
económica ciertos procedimientos a una población completa de cuentas o
transacciones.

7. Cuando el SIC es significativo, el auditor deberá también obtener una

comprensión del ambiente SIC y de si puede influir en la evaluación de los
riesgos inherente y de control. La naturaleza de los riesgos y las características del
control interno en ambientes SIC incluyen lo siguiente:

 Falta de rastros de las transacciones. Algunos SIC son diseñados de modo que
un rastro completo de una transacción, que podría ser útil para fines de
auditoría, podría existir por sólo un corto período de tiempo o sólo en forma
legible por computadora. Donde un sistema complejo de aplicaciones
desempeña un gran número de pasos de procesamiento, puede no haber un
rastro completo. Por consiguiente, los errores incrustados en la lógica de un
programa de aplicaciones pueden ser difíciles de detectar oportunamente por
procedimientos (usuarios) manuales.
 Procesamiento uniforme de transacciones. El procesamiento por computadora
procesa uniformemente transacciones iguales con las mismas instrucciones de
procesamiento. Así, los errores de oficina ordinariamente asociados con el
procesamiento manual son virtualmente eliminados. Por el lado contrario, la
programación de errores (u otros errores sistemáticos en el hardware o
software) ordinariamente darán como resultado que todas las transacciones sean
procesadas incorrectamente.
 Falta de segregación de funciones. Muchos procedimientos de control que
ordinariamente serían desempeñados por individuos por separado en los
sistemas manuales, pueden ser concentrados en SIC. Así, un individuo que tiene
acceso a los programas de computadora, al procesamiento o a los datos, puede
estar en posición de desempeñar funciones incompatibles.
 Potencial para errores e irregularidades. El potencial para error humano en el
desarrollo, mantenimiento y ejecución de SIC puede ser mayor que en los
sistemas manuales, parcialmente a causa del nivel de detalle inherente a estas
actividades. También, el potencial para que los individuos ganen acceso no
autorizado a los datos o a la alteración de datos sin evidencia visible puede ser
mayor en SIC que en los sistemas manuales.
 Además, la disminución de involucramiento humano en el manejo de
transacciones procesadas por SIC puede reducir el potencial para observar
errores e irregularidades. Los errores o irregularidades que ocurren durante el
diseño o modificación de programas de aplicación o del software de los sistemas
pueden permanecer sin ser detectados por largos períodos de tiempo.
 Iniciación o ejecución de transacciones. El SIC puede incluir la capacidad de
iniciar o causar la ejecución de ciertos tipos de transacciones, automáticamente.

Corporación Edi-Ábaco Cía. Ltda. 3

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

La autorización de estas transacciones puede estar implícita en su aceptación del

diseño del SIC y posterior modificación.
 Dependencia de otros controles del procesamiento por computadora. El
procesamiento por computadora puede producir reportes y otros datos de salida
que son usados en la realización de procedimientos de control manuales. La
efectividad de estos procedimientos de control manuales puede depender de la
efectividad de controles sobre la integridad y precisión del procesamiento por
computadora. A su vez, la efectividad y funcionamiento consistente de los
controles de procesamiento de transacciones en las aplicaciones de
computadora a menudo depende de la efectividad de los controles generales de
SIC.
 Potencial para mayor supervisión de la administración. SIC puede ofrecer a la
administración una variedad de herramientas analíticas que pueden ser usadas
para revisar y supervisar las operaciones de la entidad. La disponibilidad de
estos controles adicionales, si se usan, pueden servir para mejorar toda la
estructura de control interno.
 Potencial para el uso de técnicas de auditoría con ayuda de computadora. El
caso del procesamiento y análisis de grandes cantidades de datos usando
computadoras puede brindar al auditor oportunidades para aplicar técnicas y
herramientas generales o especializadas de auditoría con computadora en la
ejecución de pruebas de auditoría.

Tanto los riesgos como los controles introducidos como resultado de estas
características de SIC tienen un impacto potencial sobre la evaluación del auditor del
riesgo, y sobre la naturaleza, oportunidad y alcance de los procedimientos de
auditoría.

Evaluación del riesgo

8. De acuerdo con la NEA “Evaluación del riesgo y control interno”, el auditor
debería hacer una evaluación de los riesgos inherente y de control para las
aseveraciones importantes de los estados financieros.

9. Los riesgos inherentes y los riesgos de control en un ambiente SIC pueden tener
tanto un efecto general como un efecto específico por cuenta en la probabilidad de
exposiciones erróneas importantes, como sigue:

 Los riesgos pueden resultar de deficiencias en actividades generales de SIC

como desarrollo y mantenimiento de programas, respaldo al software de
sistemas, operaciones, seguridad física de SIC, y control sobre el acceso a
programas de utilería de privilegio especial. Estas deficiencias tenderían a tener
un efecto penetrante en todos los sistemas de aplicación que se procesan en la
computadora.
 Los riesgos pueden incrementar el potencial de errores o actividades
fraudulentas en aplicaciones específicas, en bases de datos específicas o en

Corporación Edi-Ábaco Cía. Ltda. 4

NEA 11: Auditoría en un Ambiente de Sistemas de NIA 15 Sec.
401
Información por Computadora

archivos maestros, o en actividades de procesamiento específicas. Por ejemplo,

los errores no son poco comunes en los sistemas que desarrollan una lógica o
cálculos complejos, o que deben manejar muchas diferentes condiciones de
excepción. Los sistemas que controlan desembolsos de efectivo u otros activos
líquidos son susceptibles a acciones fraudulentas por los usuarios o por personal
de SIC.

10. Al surgir nuevas tecnologías de SIC, frecuentemente son empleadas por los clientes
para construir sistemas de computación cada vez más complejos que pueden incluir
enlaces micro a redes, bases de datos distribuidas, procesamiento de usuario final, y
sistemas de administración de negocios que alimentan información directamente a
los sistemas de contabilidad. Dichos sistemas aumentan la sofisticación total de SIC
y la complejidad de las aplicaciones específicas a las que afectan. Como resultado,
pueden aumentar el riesgo y requerir una consideración adicional.

Procedimientos de auditoría
11. De acuerdo con la NEA “Evaluaciones del riesgo y control interno” el auditor
debería considerar el ambiente SIC al diseñar los procedimientos de auditoría
para reducir el riesgo de auditoría a un nivel aceptablemente bajo.

12. Los objetivos específicos de auditoría del auditor no cambian ya sea que los datos de
contabilidad se procesen manualmente o por computadora. Sin embargo, los
métodos de aplicación de procedimientos de auditoría para reunir evidencia pueden
ser influenciados por los métodos de procesamiento por computadora. El auditor
puede usar procedimientos de auditoría manuales, técnicas de auditoría con ayuda
de computadora, o una combinación de ambos para obtener suficiente material de
evidencia. Sin embargo, en algunos sistemas de contabilidad que usan una
computadora para procesar aplicaciones significativas, puede ser difícil o imposible
para el auditor obtener ciertos datos para inspección, investigación, y confirmación
sin la ayuda de la computadora.

Corporación Edi-Ábaco Cía. Ltda. 5