El auditor como tecnólogo

Todo se complica y evoluciona, claro. La gestión, por supuesto; pero la auditoría también. La semana pasada, el presidente del Instituto Rui Barbosa (centro de investigación y formación de los auditores públicos brasileños) y del Tribunal de Cuentas del Estado de Minas Gerais (TCEMG) inauguraba, a través de su presidente Sebastián Helvecio, un pionero centro tecnológico de tres pisos. Se trata de la introducción de un sistema de fiscalización de las facturas electrónicas en tiempo real relativas a un Estado con 3.352 organismos y entidades estatales y municipales, con una extensión territorial similar a Francia.

Recientemente, el diario Cinco Días reconocía que todas las grandes firmas del sector de auditoría, denominadas Big Four, ya han introducido la robótica de forma sistemática en la elaboración de informes de auditoría: “Se sirven de las primeras aplicaciones dotadas de inteligencia artificial para mejorar en el tratamiento masivo de datos”. Así, la Ernst & Young –cuarta del ranking– acaba de inaugurar en la Torre Azca de Madrid su primer Centro de Excelencia de inteligencia artificial y analítica de datos en Europa. Allí trabajan 200 ingenieros dando servicio a clientes de la firma repartidos por todo el mundo y formarán a profesionales de la firma en big data y análisis avanzado. 

Antonio Minguillón, auditor director del Gabinete Técnico de la Sindicatura de Cuentas de la Comunidad Valenciana, ofreció una brillante conferencia en Toledo con ocasión del VII CNASP en noviembre de 2016. Con el título “Retos actuales y de futuro de los OCEX”, ya nos alertaba (ver diapositiva superior) de la oportunidad que supone repensar y transformar la forma en la que se realizan las auditorías.

Para Minguillón, los nuevos perfiles del auditor público exigen personal y equipos especializados en:

• Auditoría de sistemas informatizados.
• Expertos en datos, Big Data y Cloud.
• Herramientas de análisis de datos y de visualización.
• Ciberseguridad.

Los auditores, en general, deberán tener un nivel alto de conocimientos tecnológicos, más profundo que el existente actualmente, debiendo promoverse acciones formativas orientadas a esas nuevas necesidades, dirigidas a los actuales y futuros profesionales. La propia Declaración de Toledo se reconocía sensible al desafío tecnológico:

“Las instituciones de control externo deben afrontar los retos relacionados con la revolución tecnológica que se está desarrollando a medida que se implanta la administración electrónica. Esto va a exigir un esfuerzo organizativo para introducir en las plantillas expertos con perfil informático, así como una actualización de las metodologías de auditoría y amplios esfuerzos formativos en esta materia para todo el personal de auditoría”.

“La transformación también exigirá la adquisición de nuevas áreas de conocimiento, así como la incorporación ineludible de sistemas inteligentes en los procesos: Big Data analytics, programas predictivos y soluciones de ciberseguridad”. Daniel Faura. President de Censors de Catalunya

Guía práctica de fiscalización de los OCEX

Antonio M. López, presidente de la Cámara de Cuentas de Andalucía, y el propio Antonio Minguillón, han publicado un estudio titulado “La adopción de las Normas Internacionales de Auditoría del Sector Público por parte de los Órganos de Control Externo”. Un texto para introducirse en las ISSAI, que establecen un marco técnico común para las Instituciones de control españolas. Un cuadro homologable a nivel nacional e internacional, pues han sido aprobadas por los presidentes del TCu y de los OCEX. Los autores analizan las diversas Guías prácticas de fiscalización de los OCEX.

De todas ellas, quiero destacar un clásico: el análisis de la evidencia de auditoría, actualmente estudiada en el GPF-OCEX 1500, aprobada el 29/11/2016. Allí encontramos, por ejemplo, como la utilización de herramientas informáticas de análisis de datos facilita tanto la ejecución de pruebas que está cambiando las herramientas profesionales. 
Así, reconoce en su parágrafo 27 que un entorno de administración electrónica permite, con costes muy similares, “realizar determinadas pruebas no sobre una muestra o selección de elementos sino sobre la totalidad de la población, lo que proporciona un elevado grado de seguridad al auditor”.

Esta norma incorpora recomendaciones de tercera generación (v.g.: uso y guarda de e-mails, la factura electrónica, etc) así como atinadas reflexiones sobre el nuevo escepticismo profesional, dignas de leer con calma. Así, recomienda hacerse preguntas como las siguientes:

• ¿Cuál es la probabilidad de que este listado u otro documento informático sean incorrectas, tanto accidental como intencionadamente?
• ¿Quiénes, de la organización auditada, tienen la oportunidad y la motivación para alterar los datos electrónicos por algún motivo?
• ¿Puede alterarse la evidencia informática sin dejar pistas de auditoría o rastros del cambio?
• ¿Hay una pista de auditoría que liga claramente la evidencia informática al hecho que la generó y hacia su inclusión en las cuentas anuales?
• ¿Contiene la evidencia informática información que identifique quién generó la entrada y cuándo?
• ¿Qué controles existen para prevenir cambios no autorizados en la evidencia informática después de su correcta generación?
• ¿Quién tiene derechos de acceso para cambiar la evidencia informática?
• ¿Cómo sabe el auditor que la evidencia informática no ha sido intencionadamente alterada para engañar o llevar a conclusiones equivocadas?
• ¿Tiene el sistema un “log” de auditoría adecuadamente establecido para registrar los intentos de acceso (éxitos y fracasos) a la evidencia informática?
• ¿Han sido revisados los “log” de auditoría por alguien independiente?

La respuesta a estas cuestiones ayudará al auditor a evaluar la fiabilidad de los datos informáticos que se utilizan como evidencia, el riesgo de que existan incorrecciones significativas y a planificar pruebas de auditoría más eficaces, incluyendo la necesidad de que participe un experto en auditoría informática.