Asumir la responsabilidad por la tecnología en auditoría y aseguramiento

¡Hoy no se puede olvidar que los códigos están abiertos!

Para el profesional que presta servicios de auditoría y aseguramiento es importante conocer las tecnologías que el cliente usa en sus procesos de negocio, contabilidad y control interno, entre otros.

Pero más importante le es conocer los riesgos y oportunidades derivados de las tecnologías que usa para sus propios procesos de auditoría y aseguramiento porque, ahora que se usan códigos abiertos, sus responsabilidades no disminuyen, sino que se incrementan.

Si bien en nuestros entornos muchos profesionales considerarán que los anuncios publicitarios son suficientes y se comprometerán a repetirlos sin más, otros profesionales, conscientes de las responsabilidades inherentes, analizarán a fondo los riesgos y oportunidades derivados del uso de las herramientas y software basados en códigos abiertos.

El pasado 3 de octubre fueron publicados dos documentos muy diferentes sobre el mismo tema.

Uno de ellos, cargado de publicidad y promoción institucional, fue emitido por Ia International Auditing and Assurance Standards Board (IAASB) y tiene el impulso institucional de la International Federation of Accountants (IFAC). El otro acompañado solamente por el peso del conocimiento que transmite, fue publicado por el Dr. Andrei Belonogov en su blog TechAccountignPro, se refiere al uso de rutinas de análisis de datos de auditoría de Python por parte de AICPA.

Si bien el tema es, en el fondo, el mismo, sus orientaciones son bastante diferentes, sobre todo como ayudas para la práctica profesional.

The IAASB Technology Position

Con una buena dosis de publicidad alrededor del eslogan “Making a significant shift in how we approach technology in audit and assurance” [Estamos realizando un cambio significativo en la forma en que abordamos la tecnología en auditoría y aseguramiento], The IAASB Technology Position [La posición tecnológica de IAASB] es un documento de septiembre de 2024. Bastante sucinto (tiene solo 9 páginas), empezó a ser promocionado el 3 de octubre a través de un corto video, ocho acciones guía y un escaneo del mercado de la tecnología.

Si bien la publicidad se refiere a que ‘estamos haciendo un cambio significativo’, en realidad el documento se refiere a que la IAASB adoptó una estructura de tres componentes “para establecer y avanzar su posición tecnológica”.

El documento gira alrededor de intenciones: en el ‘futuro’ IAASB hará, identificará y asumirá:

“La declaración de la posición tecnológica de IAASB detalla cómo IAASB considera el impacto de la tecnología en sus actividades de emisión del estándar y otras relacionadas. La Declaración reconoce el potencial transformador de la tecnología en el mejoramiento de la calidad de la auditoría y del aseguramiento y afirma el compromiso de IAASB para facilitar y, cuando sea apropiado, fomentar el uso de la tecnología por parte de las firmas y de los profesionales en ejercicio. El compromiso influye tanto en el actual Plan de Trabajo como en las iniciativas futuras, y por consiguiente contribuye a las continuas efectividad y relevancia de los estándares de IAASB. La Declaración también detalla lo que IAASB hará para cumplir este compromiso.”

Los tres componentes que menciona son:

(1) Declaración de la posición tecnológica [IAASB hará…]

(2) Operacionalización de la declaración sobre la posición tecnológica [IAASB identificará…]

(3) Monitoreo de las tecnologías emergentes y adaptación de la posición tecnológica de IASSB [IAASB adoptará un enfoque proactivo…]

En realidad, poco o prácticamente nada. Habrá que esperar el futuro

Las ocho acciones guía que acompañan esta declaración son:

1. Acoger la innovación orientada-por-la-tecnología

2. Lograr el equilibrio adecuado entre las oportunidades y los riesgos asociados con la tecnología

3. Introducir requerimientos y material de aplicación relacionado con el uso de la tecnología en los compromisos

4. Asegurar escalabilidad y proporcionalidad

5. Eliminar las barreras en los estándares, reales o percibidas, para que los profesionales usen la tecnología

6. Alinearse con los principios de la ética y los requerimientos éticos

7. Abordar el impacto de la tecnología usada por las entidades que reportan

8. Convocar a los stakeholders y fomentar el compromiso continuo

El escaneo del mercado de la tecnología cubre los siguientes elementos: (1) Internet de las cosas; (2) Activos digitales; (3) Automatización robótica de procesos; (4) Cifrado homomórfico; (5) Procesamiento natural del lenguaje; (6) Acceso a API [Application Programming Interface = Interfaz de programación de aplicaciones]; (7) Estandarización de datos; y (8) Introducción a la inteligencia artificial.

Si bien la posición tecnológica de IAASB es interesante, no es oportuna. ¡Las buenas intenciones ayudan, pero las realidades afanan!

Use of Python Audit Data Analytics Routines by AICPA

En su blog TechAccountingPro el Dr. Andrei Belonogov publicó un artículo que tituló Use of Python Audit Data Analytics Routines by AICPA [Uso de rutinas de análisis de datos de auditoría de Python por parte de AICPA].

Es un documento extremadamente técnico que hace referencia a una publicación técnica elaborada en marzo de 2019 por el Audit Data Standard and Audit Data Analytics Working Group, del AICPA. Tiene 23 páginas y lleva por título Upgrade the Financial Statement Audit using Audit Data Analytics [Actualice la auditoría de estados financieros mediante el análisis de datos de auditoría]. Entre otras cosas, enfatizó que:

“Este documento hace parte de una serie de material instructivo destinado a ilustrar cómo los Audit Data Standards (ADS) [Estándares de datos de auditoría], del AICPA, facilitan el uso de analíticas de datos en la auditoría del estado financiero. Este documento se centra en un lenguaje popular de programación de código abierto, Python, y cómo puede ser usado para realizar ciertos procedimientos de auditoría del estado financiero. Más específicamente, este documento ayudará a que los usuarios obtengan un entendimiento de cómo usar Python para hacer lo siguiente:

• Convertir un conjunto de datos del balance de prueba y del libro mayor al formato estandarizado ADS

• Desarrollar rutinas automatizadas, repetibles, para analizar el conjunto de datos estandarizados ADS

• Ver, analizar, y documentar códigos y resultados.”

En su artículo el Dr. Andrei Belonogov anota que tales estándares del AICPA no abordan: (1) los riesgos inherentes derivados del uso de paquetes populares de código abierto como NumPy y Pandas, y (2) la responsabilidad de los auditores por las herramientas y el software que usan durante las auditorías.

Los dos párrafos centrales de su análisis dicen:

“Sin embargo, a pesar de la creciente dependencia de esas herramientas, hay una brecha en cómo los auditores valoran y documentan lo apropiado de las bibliotecas de código abierto usadas como base para esas herramientas. Las guías publicadas por el AICPA sobre las rutinas para las Audit Data Analytics (ADA) se basan en paquetes populares de código abierto como NumPy y Pandas – pero esas publicaciones no abordan los riesgos inherentes derivados de su uso”.

“Los estándares de auditoría enfatizan la necesidad de una valoración exhaustiva de los riesgos asociados con el uso de las aplicaciones de TI y los recursos de tecnología de las entidades que reportan. Los auditores tienen no solo que entender los sistemas que auditan, sino también asumir la responsabilidad por las herramientas y el software que ellos mismos usan durante las auditorías - especialmente las aplicaciones de terceros y el software de código abierto”.

Palabras finales

Si bien en nuestros entornos muchos profesionales considerarán que los anuncios publicitarios son suficientes y se comprometerán a repetirlos sin más, otros profesionales, conscientes de las responsabilidades inherentes, analizarán a fondo los riesgos y oportunidades derivados del uso de las herramientas y software basados en códigos abiertos.

Con la auditoría y el aseguramiento de la sostenibilidad y del cambio climático las cosas se complicarán aun más. Las responsabilidades serán más complicadas y exigentes. Más allá de 5.000 y de menos complejas.

¡Hoy no se puede olvidar que los códigos están abiertos!