Como vimos en la entrega anterior una vez definido el tipo de control debemos validar la eficacia operativa y esto significa poder comprobar que el control se comporta de forma consistente a lo largo del tiempo. Obviamente no podemos hacer esto viendo la totalidad de las veces en que el control fue efectuado, sino que debemos recurrir a un mecanismo que nos permita optimizar el esfuerzo y tiempo pudiendo llegar a la misma conclusión pero sin tener que verificar la totalidad del universo. Para esto utilizamos el muestreo estadístico el cual nos permite extrapolar los resultados de la muestra a la población en general. Esto significa que para validar la eficacia operativa de un control determinaremos una muestra, y si esta muestra se comporta de forma apropiada (según lo que nosotros esperamos) podremos concluir que todo el universo se comparta de forma similar.
En este artículo no entraremos en aspectos más complejos como ser determinar el margen de error de la muestra y otros elementos que un auditor puede querer hacer antes de extraer la misma, para esto utilizaremos una tabla de muestras utilizadas por alguno de los más importantes estudios de auditoría. Los supuestos de la muestra ya se encuentran contemplados en estos resultados.
El primer aspecto que debemos tomar en consideración al momento de validar el control es la unidad de medida que utilizaremos para extraer la misma, y para esto daremos un ejemplo. Supongamos que uno de los controles establece que todos los despachos generan un remito, para este control que unidad de medida utilizaremos ¿Remitos? Supongamos que utilizamos los remitos, pero aquí tendremos un problema, si por alguna razón no se generó un remito al momento de la entrega ese documento no estará en nuestro universo, nuestro universo estará formado por todos los remitos que efectivamente hayan sido generados. Ahora bien, si en vez de remitos, definimos como unidad de medida las facturas, en este caso sabemos que luego de facturarse un producto debería ser despachado y por lo tanto debería tener un Remito. A partir de definir como unidad de medida las facturas, luego relacionamos esas facturas con los remitos. Aquí habremos definido un universo completo dado que por cada factura debería existir un remito y a partir de esta definición podremos continuar con nuestra tarea de validación.
Por lo tanto el primer aspecto importante al momento de testear un control es definir la unidad de medida que asegure que el universo a testear sea íntegro.
El segundo aspecto es tener bien en claro la naturaleza del control, como vimos anteriormente los controles pueden ser automáticos, y en este sentido hemos definido que si validados los controles generales de TI concluimos que los mismos funcionan de forma apropiada, podemos concluir que un control automático se comportará de la misma forma ahora y siempre y bajo este supuesto podremos testear el control una sola vez.
Distintos son los controles manuales, los cuales dependen precisamente de personas que no necesariamente ejecutarán el control de la misma forma todo el tiempo y aquí es donde debemos aplicar el concepto de muestreo estadístico. Básicamente la tabla que utilizaremos es la siguientes:
La misma establece la frecuencia del control y en función de la frecuencia (es decir las veces en que el mismo es ejecutado) la cantidad de muestras que son necesarias. Como vemos en la primera parte de esta tabla para un control que es anual, se tendrá que probar la totalidad el control, en la medida que el control tiene más frecuencia, como por ejemplo el control mensual, ya no tendremos que seleccionar los 12 meses sino como máximo podremos seleccionar sólo 6 meses.
Otro elemento importante en esta tablas es que a partir de los controles que tienen una mayor frecuencia (por ejemplo el mensual) vemos que la cantidad de ítem a ser testeados varía y ¿a qué se debe esta variación? A otros elementos que deberemos tener en cuenta y pueden transformar al control en más simple o complejo. Tengamos en cuenta como regla general que a mayor complejidad de un control tomaremos un mayor tamaño de muestra para asegurarnos de tener una conclusión correcta.
En este sentido los elementos que hacen que podamos ir por una muestra menor o mayor son los siguientes:
– Complejidad del Control
– Importancia del Juicio en la determinación del control,
– Competencias necesarias para realizarlo,
– Impacto de cambios que pudieran haber afectado la forma en que se realizó un control,
– Relevancia del control
Esto significa que un control más complejo seguramente implica tomar una muestra mayor; si un control requiere un elemento de juicio muy importante también iremos por una muestra mayor. Si el control requiere de competencias importantes, también iremos por una muestra mayor y así sucesivamente.Teniendo en cuenta los aspectos anteriormente vistos y la tabla propuesta, podremos determinar el tamaño de la muestra que utilizaremos para validar el funcionamiento del control. En este sentido, si por ejemplo para un control mensual tomamos una muestra de 3 meses y el control se comporta de forma correcta, podremos extrapolar el resultado obtenido para los 12 meses, esto significa que podremos decir que a lo largo de los 12 meses el control se ha comportado de forma apropiada.
De esta forma y bajo estos criterios podremos determinar las muestra óptimas que utilizaremos para testear nuestros controles y validar la eficacia operativa de los mismos.
Auditoría+ 