Los profesionales contables, particularmente los que desempeñan labores de aseguramiento de la información, se enfrentan a un riesgo en su actividad que puede presentarse con más frecuencia de lo que se podría imaginar, en especial en la actual implementación acelerada de la digitalización de procesos en las organizaciones.

Por Juan David Hernández, asistente de investigación técnica del INCP

Dado que la segunda década del siglo XXI inició con un reto de adaptación a los ambientes virtuales, producto de la situación de emergencia causada por la pandemia del covid-19, los preparadores y aseguradores de información financiera, quienes ya venían enfrentando los retos y asumiendo las oportunidades que los desarrollos tecnológicos traían para sus actividades profesionales, se vieron en la necesidad de depender más que nunca de la virtualidad y los programas tecnológicos para ejercer efectivamente su trabajo.

Como era de esperar, para el caso de los aseguradores de la información, muchas actividades de inspección y control que previamente requerían la presencialidad del auditor pasaron a realizarse de modo virtual, representando un riesgo en la calidad del proceso.

Si a lo anterior se suma el hecho de contar cada vez más con softwares contables más completos y desarrollos tecnológicos de tratamiento y análisis de datos con mayor capacidad y eficiencia, los auditores pueden, sin percibirlo, enfrentarse a un riesgo de excesiva confianza en la tecnología.

Ante este panorama, el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB, por sus siglas en inglés) publicó un material de apoyo con el fin de ayudar a los auditores a abordar los principales interrogantes que plantea dicho riesgo. El material destaca el impacto de la tecnología al aplicar ciertos aspectos de las Normas Internacionales de Auditoría (NIA) y se centra en consideraciones específicas cuando se utilizan las capacidades de herramientas y técnicas automatizadas (ATT, por sus siglas en ingles) y cuando se utiliza información producida por los sistemas de la entidad.

¿Qué son los ATT?

Los profesionales pueden utilizar varios términos en la práctica para describir herramientas o técnicas automatizadas. Por ejemplo, la aplicación de procedimientos analíticos automatizados a los datos durante los procedimientos de evaluación de riesgos o procedimientos de auditoría adicionales a veces se denomina análisis de datos.

Aunque tal término se utiliza a veces para referirse a dichas herramientas y técnicas, no tiene una definición o descripción uniforme. Este término es demasiado estrecho porque no abarca todas las tecnologías emergentes que se utilizan al diseñar y realizar procedimientos de auditoría en la actualidad. Además, las tecnologías y aplicaciones de auditoría relacionadas seguirán evolucionando, como las aplicaciones de inteligencia artificial (IA), los procesos de automatización robótica y otros. Por lo tanto, el IAASB utiliza el término más amplio de herramientas y técnicas automatizadas (ATT).

Preguntas frecuentes sobre el riesgo de confianza excesiva en la tecnología

Hay varias acciones que el auditor puede considerar, y acciones que las firmas pueden tomar para ayudar al auditor, para abordar los sesgos y el riesgo de dependencia excesiva que el auditor puede enfrentar. Para ello, debe plantearse las siguientes inquietudes:

¿Qué tipo de sesgos podría crear el uso de tecnología, ya sea por el auditor o la entidad al proporcionar información?

Los sesgos inconscientes del auditor pueden impedir el ejercicio del escepticismo profesional y, por lo tanto, la razonabilidad de los juicios profesionales realizados por el equipo del trabajo para cumplir con los requisitos de las NIA. La NIA 220 (revisada) proporciona ejemplos de sesgos inconscientes del auditor. El uso de tecnología en la realización de procedimientos de auditoría puede reducir ciertos sesgos del auditor (por ejemplo, sesgo de confirmación, pensamiento de grupo o exceso de confianza, como se describe en la NIA 220 (revisada)). Esto se debe a que la tecnología considera solo la información que se proporciona y, aunque es susceptible de sesgo en su programación, no tiene ninguno de los fenómenos psicológicos humanos que pueden resultar en sesgos (por ejemplo, creencias existentes, el deseo de conformarse con grupos, etc.). Sin embargo, el uso de tecnología también puede dar lugar a otros sesgos del auditor, por ejemplo, sesgo de automatización. Este es una tendencia a favorecer la salida generada a partir de sistemas automatizados, incluso cuando el razonamiento humano o la información contradictoria plantean dudas sobre si dicha salida es confiable o adecuada para su propósito. Como resultado, aumenta el riesgo de dependencia excesiva de la información o la tecnología.

¿Cómo pueden las empresas ayudar al auditor a abordar el sesgo de automatización y el riesgo de dependencia excesiva al utilizar ATT?

Implementar ciertas políticas o procedimientos

Las empresas pueden tener políticas o procedimientos establecidos para asegurar que obtienen, desarrollan, implementan, mantienen y usan de manera apropiada los recursos tecnológicos en el desempeño de los trabajos. Dichas políticas o procedimientos pueden incluir abordar los siguientes asuntos:

Las empresas pueden considerar desarrollar una lista de recursos tecnológicos para los cuales se han aplicado las políticas o procedimientos anteriores a nivel de empresa. Estos recursos pueden aprobarse para su uso en trabajos de auditoría, junto con el propósito específico de cada uno. Las firmas también pueden establecer políticas o procedimientos para abordar circunstancias en las que el equipo del encargo utiliza un recurso tecnológico que no está aprobado por la firma.

Diseñar o adaptar recursos tecnológicos

Las empresas pueden considerar diseñar o adaptar los recursos tecnológicos de determinadas formas para reducir el riesgo de dependencia excesiva, por ejemplo:

Mejorar la formación

Las empresas pueden considerar incluir consideraciones tecnológicas en los materiales de capacitación para ilustrar que los estándares se aplican por igual, ya sea que se use ATT o no; sin embargo, también se destacan consideraciones especiales en la ejecución de los estándares al utilizar ATT.

Adicionalmente pueden organizar campañas internas (para mostrar varios aspectos de la calidad de la auditoría) y alentar al auditor a participar en un compromiso para aumentar la calidad de la auditoría, incluida una mayor conciencia de las implicaciones que tiene la dependencia excesiva de la tecnología en la calidad.

¿Cómo puede el auditor abordar el sesgo de automatización o el riesgo de dependencia excesiva de la información proporcionada por la entidad que es producida por el sistema automatizado de la entidad?

Comprender los sesgos, reconocer la posibilidad de que ocurran y reconocer las causas que los originan son los primeros pasos para abordarlos. Permanecer alerta al sesgo y mantener el escepticismo profesional al realizar la auditoría, incluida la evaluación crítica de la evidencia de auditoría, ayudará al auditor a abordar el riesgo de sesgo al examinar la información producida por el sistema automatizado de la entidad. Las acciones que el auditor puede tomar para abordar el riesgo de sesgo de automatización o el riesgo de dependencia excesiva de la información producida por los sistemas de la entidad incluyen:

  • Alertar explícitamente al equipo de trabajo sobre instancias o situaciones en las que la vulnerabilidad al sesgo de automatización pueda ser mayor y enfatizar la importancia de buscar el consejo de miembros más experimentados del equipo en la planificación y ejecución de los procedimientos de auditoría.
  • Involucrar a miembros del equipo de trabajo con habilidades y conocimientos especializados o al auditor experto para ayudar al equipo con áreas complejas o subjetivas de la auditoría.     
  • Modificar la naturaleza, oportunidad y alcance de la dirección, supervisión o revisión, involucrando a miembros del equipo con más experiencia.
  • Evaluar si la información es suficientemente confiable, incluyendo, entre otros factores, la obtención de evidencia de auditoría sobre la exactitud e integridad de los datos ingresados en los sistemas de la entidad.

Además, el cumplimiento de las NIA también ayuda al auditor a abordar el riesgo de sesgo de automatización y la dependencia excesiva de la información producida por los sistemas de la entidad, por ejemplo:

La NIA 200: requiere que el auditor ejerza su juicio profesional al planificar y realizar una auditoría, y que planifique y realice una auditoría con escepticismo profesional, reconociendo que pueden existir circunstancias que causen que los estados financieros contengan errores materiales. En el contexto de dependencia excesiva de la información producida por los sistemas de la entidad, es importante que el auditor mantenga una mente inquisitiva y evalúe críticamente la evidencia, incluso si se relaciona con información de un sistema automatizado.

El Apéndice 5 de la NIA 315 (revisada en 2019) proporciona una guía para comprender el uso de TI por la entidad en los componentes del sistema de control interno. El Apéndice 6 establece consideraciones para comprender los controles generales de TI. Estos apéndices ayudan al auditor a comprender el uso de la tecnología por la entidad, disminuyendo así el riesgo de dependencia excesiva de la información producida por los sistemas mientras realiza los procedimientos de auditoría.

La NIA 500: requiere que el auditor considere la relevancia y confiabilidad de la información que se utilizará como evidencia de auditoría. Cuando se utiliza información producida por la entidad, la NIA 500 también requiere que el auditor, según sea necesario en las circunstancias, obtenga evidencia de auditoría sobre la exactitud e integridad de la información y evalúe si la información es suficientemente precisa y detallada para los propósitos del auditor.

¿Cómo puede el auditor abordar el sesgo de automatización y el riesgo de dependencia excesiva al utilizar su propio ATT?

La aplicación del juicio profesional ayuda al auditor a abordar la dependencia excesiva. Se requiere que ejerza su juicio profesional a lo largo de la auditoría, por ejemplo, al determinar:

  • Materialidad
  • Evaluación de riesgos
  • La naturaleza, oportunidad y alcance de los procedimientos de auditoría
  • Si es necesario trabajar más para lograr los objetivos de las NIA
  • La evaluación de los juicios de la administración al aplicar el marco de información financiera aplicable de la entidad
  • Razonabilidad de las estimaciones realizadas por la administración en la preparación de los estados financieros.