Compilación del archivo de auditoría

Deja un comentario

resumen_compilacion

Este mes de marzo he tenido el placer de colaborar con el Instituto de Censores Jurados de Cuentas (*) para, en colaboración con Pilar García Agüero, exponer las cuáles son mejores prácticas para realizar la compilación del fichero de auditoría según el artículo 69 del Reglamento de La Ley de Auditoría.

A fecha de hoy, la gran mayoría de los programas y softwares de auditoría ya disponen de una función que ayuda a los auditores a compilar y cerrar el fichero de auditoría. Esta obligación ya venía en la NICC1 de control de calidad (Resolución de 26 de octubre de 2011 del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma de Control Calidad), así como el la propia Ley 22/2015, de 20 de julio, de Auditoría de Cuentas. Es decir, la obligación no es nueva, pero no es hasta el Real Decreto 2/2021, de 12 de enero, por el que se aprueba el Reglamento de desarrollo de la Ley 22/2015, cuando se concreta exactamente el procedimiento que se debe llevar a cabo.

En la suite Gesia de auditoría, se incorporó la funcionalidad de compilación en noviembre de 2016 siendo, probablemente, el primer software de auditoría en implementar esta opción. Al mismo tiempo, hemos animado ayudado a todos los despacho y firmas de auditoría con los que colaboramos en sus procesos de seguimiento de control de calidad, a mejorar sus procesos de compilación, de modo que se realicen en menos de 60 días.

En todo caso y, como veremos a continuación, NO es necesario disponer de un software de auditoría para poder cumplir con este requerimiento y compilar nuestro archivo de auditoría conforme con el artículo 69 del RLAC.

En mi opinión, éstos serían los pasos que deberíamos seguir para realizar la compilación

Revisar la documentación del archivo de auditoría

Antes de compilar el archivo, es conveniente realizar una comprobación final de la documentación de auditoría para asegurarnos de que no hay errores, omisiones o inconsistencias que puedan afectar a la calidad del trabajo o a la opinión del auditor. Esta comprobación puede ser realizada por el propio auditor o por otro miembro del equipo con experiencia y conocimiento del encargo.

La comprobación de la documentación de auditoría puede compararse con la organización de un cajón o un armario: se trata de revisar que todo está en su sitio, que no falta nada y que no hay nada que sobre o que esté mal colocado. Así, se evitan problemas futuros como no encontrar lo que se busca, perder información relevante o tener documentos duplicados o innecesarios.

No existe un criterio unificado y cada firma puede establecer su propio protocolo de comprobación, unas mediante la cumplimentación de un check list y otras mediante la cumplimentación de los documentos que proponen sus programas de auditoría. Una solución muy sencilla y al alcance de todos puede ser la cumplimentación de una hoja Excel como la que vemos a continuación, y que nos permite añadir, quitar o modificar los elementos de comprobación de la documentación del archivo de forma ágil.

checklist_compilacion_auditoria

La ventaja de usar una hoja Excel es que se puede filtrar, ordenar y modificar fácilmente según las necesidades del auditor. Además, se puede utilizar como un índice del archivo y como un control de seguimiento del trabajo realizado. La hoja Excel debe ser revisada por el responsable del encargo antes de compilar el archivo.

Creación de un archivo electrónico

La documentación de auditoría es un elemento clave para demostrar la calidad y el rigor del trabajo realizado por el auditor. Por ello, es necesario que la documentación de auditoría esté en formato electrónico de cara al proceso de compilación (ficheros PDF, libros Excel, documentos Word, etc) y a su vez, organizada conforme a una estructura lógica que permita la comprensión del trabajo realizado por un auditor que no haya tenido relación previa con la auditoría.

Una posible estructura del trabajo en carpetas es la siguiente:

– Análisis: Contiene los papeles de trabajo que evidencian las pruebas realizadas y los resultados obtenidos en cada área de auditoría (inventarios, ventas, compras, tesorería, etc). también contiene los documentos que reflejan el análisis de los estados financieros y las cuentas significativas, así como los ajustes propuestos y las diferencias de auditoría.
– Circularización: Contiene las cartas de confirmación enviadas y recibidas de terceros (clientes, proveedores, bancos, abogados, etc) para verificar saldos y operaciones.
– Documentación: Contiene aquella documentación recibida del cliente y que estimamos relevante como para ser incluida en el fichero compilado.
– Archivo general: Contiene los documentos generales de la auditoría, como el contrato de servicios, el plan de auditoría, el informe de control interno, el memorando de cierre, etc.
– Informes: Contiene los informes emitidos por el auditor al finalizar la auditoría, como el informe de auditoría, el informe a la dirección y el informe sobre hechos posteriores al cierre.
– Muestreo: Contiene los archivos que muestran el método y los criterios utilizados para seleccionar las muestras de auditoría en cada área.
– Archivo permanente: Contiene los documentos que se mantienen de un ejercicio a otro, como los estatutos sociales, las actas de las juntas generales, los contratos relevantes, etc.

estructura_carpetas_compilacion

Comprimir la documentación

La compresión de archivos es una técnica que permite reducir el tamaño de los ficheros y facilitar su envío y almacenamiento. En este caso nos va a ser de utilidad para disponer de un solo archivo que contenga todas las evidencias de auditoría a las que se refiere el apartado 1 del artículo 69 del RLAC.

En este texto vamos a explicar cómo comprimir la documentación del encargo usando el programa 7Zip, que es uno de los más populares y versátiles. Además, veremos cómo proteger el archivo comprimido con una contraseña para evitar que personas no autorizadas puedan acceder a su contenido.

Los pasos a seguir son los siguientes:

1. Organizar toda la documentación del encargo en una única carpeta. Es conveniente revisar que no haya archivos duplicados, innecesarios o corruptos que puedan afectar al proceso de compresión o al resultado final.

2. Abrir el explorador de carpetas de Windows (tecla Windows+E) y seleccionar la carpeta que contiene la documentación del encargo. Hacer clic con el botón derecho del ratón sobre la carpeta y elegir la opción “Más opciones”. En el menú desplegable de 7Zip, seleccionar la opción “Añadir al archivo”.

3. En la ventana que se abre, elegir el tipo de compresión que se desea utilizar. El formato zip es el más común y compatible con la mayoría de los programas y sistemas operativos, pero también se pueden usar otros formatos como 7z, rar o tar.

4. Establecer una contraseña para el archivo comprimido. Esta es una medida de seguridad opcional pero muy recomendable para proteger la confidencialidad de la información del encargo. La contraseña debe ser lo suficientemente compleja y larga para evitar que pueda ser descifrada por métodos de fuerza bruta o por programas especializados. Una buena contraseña debe contener entre 6 y 8 caracteres, mezclando mayúsculas, minúsculas, números y símbolos.

NOTA: Es importante recordar la contraseña o guardarla en un lugar seguro, ya que sin ella no se podrá acceder al contenido del archivo comprimido.

5. Una vez finalizado el proceso, se creará un nuevo archivo con el mismo nombre que la carpeta original pero con la extensión correspondiente al tipo de compresión (.zip, .7z, .rar, etc.). Este es el archivo que contiene toda la documentación del encargo comprimida y protegida con contraseña.

Con estos pasos hemos creado un único archivo de auditoría usando la herramienta 7Zip. Este archivo se puede subir a un servicio de almacenamiento en la nube o guardar en un dispositivo externo como una memoria USB o un disco duro portátil. De esta forma se facilita la gestión de la documentación del encargo, su seguridad y confidencialidad.

comprimir_archivo_auditoria

Identificación del fichero compilado

Para garantizar la integridad de nuestro archivo de auditoría, necesitamos asignarle un código hash que lo identifique de forma única y que refleje la fecha de compilación. El código hash es un valor alfanumérico que se obtiene a partir de las propiedades del archivo, como el contenido, el tamaño, los caracteres que contiene, la fecha de creación, etc. Si el archivo se modifica de alguna manera, el código hash cambiará y podremos detectar cualquier alteración.

Para generar el código hash, podemos usar una utilidad gratuita que analice el archivo y nos devuelva el valor correspondiente. Una opción es la utilidad que hemos desarrollado para usuarios de Windows, pero también se puede usar QuickHash, que es compatible con MacOS. Alternativamente, Autofirma también dispone de esta funcionalidad.

Una vez que tenemos la utilidad descargada, abrimos el documento que hemos compilado y elegimos el algoritmo que queremos usar. Para cumplir con el artículo 72.2 del RLAC, que exige dejar constancia de las acciones realizadas en el archivo de auditoría, debemos usar un algoritmo seguro que genere un código hash diferente ante cualquier cambio en el archivo. Por ejemplo, podemos usar el SHA-256, que es el mismo que se usa en las transacciones con criptomonedas como bitcoin.

Después de generar el código hash, lo copiamos en la lista donde registramos los encargos compilados, indicando el ejercicio auditado, la fecha de emisión del informe, la fecha de compilación y el código hash entre otros datos. Este código es el que nos permitirá demostrar que nuestro archivo de auditoría es auténtico y no ha sido manipulado. Podemos comprobar que si cambiamos el archivo de ubicación, el código hash no se altera, pero si lo modificamos aunque sea mínimamente, el código hash será diferente.

Restricción de acceso a un archivo compilado

La compilación de archivos es un proceso que permite reducir el tamaño y proteger la integridad de la documentación de auditoría. Sin embargo, también implica ciertas limitaciones a la hora de acceder y modificar los contenidos.

Para acceder a un archivo compilado, se necesita un programa que pueda descomprimirlo y mostrar su contenido (ej. 7zip). No se debe abrir directamente con un explorador de archivos o un editor de texto. Hay que tener cuidado de no modificar el archivo original, ya que esto podría alterar su código hash y comprometer su validez.

Al descomprimir el archivo, se crea una copia temporal de los documentos que contiene, que se pueden visualizar y editar.

Si se necesita modificar el archivo compilado por alguna razón, como por ejemplo, para incorporar documentación adicional en el marco de un plan de subsanación, se debe seguir un procedimiento específico.

Primero, se debe extraer todo el contenido del archivo a una carpeta nueva. Luego, se deben realizar los cambios necesarios en los documentos de esa carpeta, incluyendo un documento que describa y justifique las modificaciones. Finalmente, se debe volver a compilar el archivo con los mismos parámetros que el original y generar un nuevo código hash. Este proceso garantiza que se conserve la trazabilidad y la coherencia de la documentación de auditoría.

Adopción de las medidas necesarias para garantizar la custodia y conservación del archivo compilado

El RLAC establece que los auditores deben asegurar la custodia, integridad y recuperabilidad de la información que utilizan y generan en el desarrollo de sus trabajos. Para ello, existen diferentes métodos que pueden ser efectivos y accesibles para todos. Algunos de ellos son:

– Copia de seguridad de la información en unidades externas o de red. Estos sistemas permiten guardar una copia de los archivos en dispositivos físicos que se pueden desconectar del ordenador y almacenar en lugares seguros. De esta forma, se evita la pérdida o el daño de la información por causas como incendios, inundaciones o robos. Es importante realizar las copias de seguridad con una frecuencia adecuada y verificar que se pueden restaurar correctamente.
– Copia de seguridad en un servicio de almacenamiento en la nube. Estos servicios ofrecen la posibilidad de guardar la información en servidores remotos que se pueden acceder desde cualquier dispositivo con conexión a internet. De esta forma, se facilita la recuperación de la información en caso de fallo del ordenador o pérdida del dispositivo. Además, algunos servicios permiten recuperar versiones anteriores de los archivos, lo que puede ser útil en caso de ataques informáticos o modificaciones no deseadas.
– Combinación de ambos métodos. Esta opción consiste en utilizar tanto las copias de seguridad en unidades externas o de red como las copias de seguridad en la nube. De esta forma, se aumenta el nivel de protección y se dispone de varias alternativas para recuperar la información en caso de necesidad.

Conclusión

A modo de conclusión, mi consejo para aquellas firmas que aún no están compilando adecuadamente su ficheros es que se pongan al día cuanto antes y que aprovechen las ventajas que ofrecen las herramientas tecnológicas disponibles para facilitar y agilizar este proceso. No se trata de una mera formalidad, sino de una garantía de calidad y rigor en el trabajo del auditor. Además, una correcta compilación de los ficheros puede evitar posibles sanciones por parte del ente regulador.

Por tanto, mi consejo es que no lo dejen para más tarde y que se informen y formen sobre cómo realizar una compilación adecuada de sus ficheros de auditoría.

(*) Mas información en el artículo publicado por ICJCE

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.