1013: Comercio electrónico - efecto en la auditoria de estados financieros
Introducción
El propósito de esta Declaración Práctica Internacional de Auditoria es proveer asistencia a los auditores de estados financieros cuando la entidad cuyos estados financieros que están siendo auditados, se ocupan de una actividad comercial que tiene lugar mediante la conexión de computadores a una red pública tal como la internet (Internet e com). Las orientaciones de esta Declaración son particularmente relevante con la aplicación de los siguientes Estándares de Auditoria: 300 Planeación, 310 Conocimiento del Negocio, 400 Valoración de Riesgos y Control Interno, 401 Auditoria en Ambientes Computarizados y Sistemas de Información.
El uso de redes públicas para negocios asociados con el consumidor final (B-C), Negocio a Negocio (B-B), Negocio a Gobierno (B-G), Negocio a Empleados (B-E), comercio electrónico (e-com), presentan riesgos únicos que deben ser dirigidos hacia la entidad y considerados por el auditor cuando planea el desarrollo de la auditoria de estados financieros. (Original en Inglés: Business to consumer, business-to-business, business to government or business to employee Internet e-com).
Esta declaración identifica asuntos específicos para asistir al auditor cuando considera significativo el comercio electrónico para las actividades de la entidad y los efectos en la valoración de los riesgos que él requiere para formarse una opinión sobre los estados financieros. En ausencia de un compromiso separado, el propósito de las consideraciones del auditor, diferentes a formarse una opinión, pueden ser proveer una consultoría, recomendaciones concernientes a los negocios de la entidad relacionados con el comercio electrónico, sistemas o actividades propias.
Comunicaciones y transacciones sobre la red a través de computadores, no son una nueva característica del desarrollo de los negocios. Algunos ejemplos de experiencias anteriores son: Procesos del negocio que frecuentemente interactúan con un computador remoto, el uso de redes de computadores e intercambio de datos electrónicos (EDI). Sin embargo, el incremento en el uso de internet para los negocios electrónicos, introduce nuevos elementos de riesgo que requieren consideración por parte del auditor.
La internet se refiere a la red mundial de computadores intercomunidados; esto es una red pública compartida que es capaz de comunicarse con otras entidades e individuos alrededor del mundo. Esto es “interoperable”, lo cual significa que cualquier computador conectado a la internet, puede comunicarse con cualquier otro computador conectado a la internet. La internet es una red pública, en contraste con redes privadas a las cuales solo tienen acceso entidades o personas autorizadas. El uso de redes públicas introduce riesgos especiales que deben ser analizados por la entidad. El incremento de actividades en internet sin la debida atención de los riesgos por parte de la entidad, puede tener efectos para la valoración de los mismos por parte del auditor.
Mientras esta Declaración ha sido escrita para situaciones cuando la entidad se introduce en actividades comerciales sobre una red pública tal como internet, muchas de las orientaciones aquí expuestas pueden ser también utilizadas para redes privadas. Similarmente, las consideraciones pueden ser aplicadas en entidades formadas primordialmente para negocios electrónicos (También llamadas en inglés “dot coms” ). Sin embargo, esta Declaración no fue escrita para tales situaciones.
Habilidades y Conocimientos.
El nivel de habilidades y conocimientos requeridos para interpretar los efectos del comercio electrónico en la auditoria, variará con la complejidad de las actividades realizadas en la internet por parte de la entidad. El nivel de formación en Tecnología de la Información (IT) y de negocios electrónicos en internet, irá tan lejos como los potenciales efectos sobre los estados financieros de:
• Estrategias y actividades de la entidad sobre los negocios electrónicos
• La tecnología usada para facilitar la inmersión de la
entidad en los negocios electrónicos y las habilidades y conocimientos
del personal de la entidad para la Tecnología de la Información
(IT).
• Los riesgos asociados con el uso de los negocios electrónicos
de la entidad en internet y la dirección aproximada de dichos riesgos,
principalmente lo adecuado del sistema de control interno y los procesos de
reportes financieros.
El auditor debe considerar si el personal asignado para introducirse en los negocios electrónicos, tiene apropiadas habilidades y conocimientos en Tecnología de la Información (IT) e internet e-com. Cuando dichas transacciones electrónicas tienen un efecto significativo sobre los negocios de la entidad, pueden ser requeridas algunas competencias especiales, tales como:
• Conocer los riesgos inherentes en la entidad sobre las actividades
en negocios electrónicos y las responsabilidades administrativas por
dichos riesgos incluidos los del sistema de control interno y la contabilidad.
• Elaborar las preguntas apropiadas acerca del uso de negocios electrónicos
en internet e interpretar adecuadamente las implicaciones de las respuestas
obtenidas.
• Determinar la naturaleza, tiempo y extensión de procedimientos
de auditoria y evaluación de la evidencia.
• Considerar los efectos sobre la entidad de la dependencia de los negocios
electrónicos en internet y la posible continuidad de los mismos.
En ciertas circunstancias el auditor puede determinar el uso de expertos, por ejemplo si considera apropiado contratar otro profesional para la evaluación de la seguridad (Prueba de vulnerabilidad o penetración). Cuando dicho trabajo es utilizado, el auditor obtiene apropiada y suficiente evidencia de tal forma que la labor (Del experto) es adecuada para los propósitos de la auditoria en concordancia con el Estándar Internacional de Auditoria 620 “Uso del trabajo de expertos”. Este Estándar considera por ejemplo como esta actividad es incluida en la de otros en la auditoria y cuales procedimientos son considerados para identificar los riesgos del trabajo del experto.