SECCIÓN 319
CONSIDERACIÓN DE LA ESTRUCTURA DE CONTROL INTERNO EN UNA AUDITORIA DE
ESTADOS FINANCIEROS
Introducción
Esta Sección provee orientación sobre la consideración de la estructura de control interno que debería
dar el auditor independiente en una auditoría de estados financieros, realizada de acuerdo con
normas de auditoría generalmente aceptadas. Describe los elementos de una estructura de control
interno y explica como el auditor deberá considerar la estructura de control interno al planificar y
realizar una auditoría.
Resumen
01. La estructura de control interno deberá ser considerada por el auditor independiente en una
auditoría de estados financieros. Para los fines de esta Sección, la estructura de control interno de una
entidad se compone de tres elementos: el ambiente de control, el sistema contable y los
procedimientos de control.
02. En toda auditoría, el auditor deberá adquirir una comprensión suficiente de cada uno de los tres
elementos para planificar la auditoría, realizando procedimientos para comprender el diseño de las
políticas y los procedimientos relevantes para las tareas de planificación de una auditoría y si ellos
están operando.
03. Después de adquirir dicha comprensión, el auditor determina el riesgo de control para las
afirmaciones incluidas en el saldo de una cuenta, clase de transacción o revelaciones de información
de los estados financieros. El auditor podrá establecer el riesgo de control a su nivel máximo (la mayor
probabilidad que un error significativo pudiera no ser evitado o detectado oportunamente por la
estructura de control interno de una entidad) porque cree que es poco probable que los
procedimientos y políticas sean apropiados para una afirmación, o porque es poco probable que sean
efectivos, o resultaría ineficiente evaluar su efectividad. Como alternativa, el auditor podrá obtener
evidencias sobre la efectividad del diseño y operación de una política o procedimiento que respalde
un nivel mínimo de riesgo de control. Tal evidencia podrá obtenerse de las pruebas de controles
planificadas y efectuadas simultáneamente con la obtención de su comprensión, o por los
procedimientos efectuados para obtener esa comprensión y que no se planificaron específicamente
como pruebas de controles.
04. Después de obtener la comprensión y establecer el riesgo de control, el auditor podrá buscar una
reducción adicional en el nivel determinado del riesgo de control para ciertas afirmaciones. En esos
casos, el auditor considera si será probable obtener evidencia suficiente para sustentar esa reducción y
si resultaría eficiente efectuar pruebas adicionales de controles para obtener dicha evidencia.
05. El auditor utiliza los conocimientos derivados de su entendimiento de la estructura de control
interno y del nivel determinado del riesgo de control para determinar la naturaleza, oportunidad y
alcance de las pruebas sustantivas para las afirmaciones contenidas en los estados financieros.
Además, el auditor debe identificar y comunicar «condiciones a informar» al comité de auditoría
según los lineamientos de esta Sección en los párrafos 01 al 18 de la Sección 325.
Elementos de una Estructura de Control Interno
06. La estructura de control interno de una entidad consiste en las políticas y procedimientos
establecidos para proporcionar un nivel razonable de seguridad que los objetivos específicos de la
entidad pueden alcanzarse. Pese a que la estructura de control interno puede incluir una amplia
variedad de objetivos y políticas y procedimientos relacionados, sólo algunos de ellos pueden ser
relevantes para una auditoría de los estados financieros de la entidad. Por lo general, las políticas y
procedimientos relevantes para una auditoría, se refieren a la capacidad de la entidad de registrar,
procesar, resumir e informar los datos financieros de manera consistente con las afirmaciones
incluidas en los estados financieros. Sin embargo, otras políticas y procedimientos pueden ser
relevantes si se refieren a datos que emplea el auditor para aplicar los procedimientos de auditoría.
Por ejemplo, políticas y procedimientos referentes a datos no financieros que el auditor emplea en
procedimientos analíticos, tales como estadísticas de producción, pueden ser relevantes en una
auditoría.
07. Por lo general, una entidad tiene políticas y procedimientos en su estructura de control interno que
no son relevantes para una auditoría y por lo tanto, no necesitan ser consideradas. Por ejemplo,
políticas y procedimientos con relación a la efectividad, economía y eficiencia de ciertos procesos en la
toma de decisiones gerenciales, tales como fijar el precio apropiado para sus productos, o la
conveniencia de efectuar erogaciones para ciertos proyectos de investigación y desarrollo o
publicidad, pueden ser importantes para la entidad, pero no suelen ser relevantes para la auditoría de
estados financieros.
08. Para efectos de una auditoría de estados financieros, la estructura de control interno de una
entidad está compuesta por los siguientes elementos:
- El ambiente de control
- El sistema contable
- Los procedimientos de control
La división de la estructura de control interno en estos tres elementos, facilita la discusión de su
naturaleza y la manera en que el auditor la considera en una auditoría. Sin embargo, la consideración
primordial del auditor, es si una política o un procedimiento de la estructura de control interno afecta
las afirmaciones de los estados financieros, más que su clasificación en alguna categoría en particular.
Ambiente de Control
09. El ambiente de control representa el efecto conjunto de varios factores para establecer, incrementar
o mitigar la efectividad de procedimientos y políticas específicos. Tales factores incluyen lo siguiente:
- La filosofía y estilo de operación de la administración
- La estructura organizativa de la entidad
- El funcionamiento del directorio y sus comités, en particular el comité de auditoría.
- Los métodos de asignación de autoridad y responsabilidad
- Los métodos de control gerencial para supervisar y dar seguimiento al desempeño,
incluyendo auditoría interna
- Políticas y prácticas de personal
- Diferentes influencias externas que afectan las operaciones y prácticas de una entidad, como
el examen de organismos de control
El ambiente de control refleja la actitud, conciencia y acciones del directorio, la administración, los
dueños y otros relativos a la importancia del control y su énfasis en la entidad (los factores del
ambiente de control se examinan con mayor detalle en el apéndice A, Sección 319).
Sistema Contable
10. El sistema contable se compone de los métodos y registros establecidos para identificar, reunir,
analizar, clasificar, registrar e informar las transacciones de la entidad, así como rendir cuentas de los
activos y pasivos que les son relativos. Un sistema contable efectivo debería establecer métodos y
registros que:
- Identifiquen y registren todas las transacciones válidas
- Describan oportunamente todas las transacciones con suficiente detalle para permitir su
adecuada clasificación en la información financiera
- Cuantifiquen el valor de las operaciones de modo que se registre su valor monetario
adecuado en los estados financieros
- Determinen el período en que las transacciones ocurren, permitiendo registrarlas en el
período contable apropiado
- Presenten debidamente las transacciones y sus correspondientes revelaciones en los estados
financieros
Procedimientos de Control
11. Los procedimientos de control son aquellos procedimientos y políticas adicionales al ambiente de
control y al sistema contable, establecidos por la administración para proporcionar un nivel razonable
de seguridad con el fin de alcanzar los objetivos específicos de la entidad. Los procedimientos de
control tienen diferentes objetivos y se aplican a diferentes niveles de la organización y de
procesamiento de datos. Asimismo, pueden integrarse a componentes específicos del ambiente de
control y del sistema contable. Por lo general, pueden catalogarse como procedimientos que permitan:
- Autorizar adecuadamente transacciones y actividades.
- Segregar funciones de manera que disminuyan las oportunidades a cualquier persona de
perpetrar u ocultar errores o irregularidades en el curso normal de sus funciones, asignando a
diferentes personas las responsabilidades de autorizar y registrar las transacciones y de
custodiar los activos.
- Diseñar y usar los documentos y registros apropiados con el fin de asegurar el registro
adecuado de transacciones y hechos, tales como vigilar el uso de documentos prenumerados.
- Colocar y mantener dispositivos de seguridad adecuados sobre el acceso y uso de activos y
registros, tales como instalaciones adecuadas y autorización para accesar a los programas de
computación y a los archivos de datos.
- Verificar en forma independiente el registro y valuación adecuada de las cifras
contabilizadas, tales como controles administrativos, conciliaciones, comparación de activos
con la información contabilizada, controles programados de computación, revisión gerencial
de informes que resumen el detalle de saldos contables (por ejemplo, un listado por
antigüedad de saldos de cuentas por cobrar) y revisión por los usuarios de informes generados
por sistemas de computación.
Consideraciones Generales
12. El campo de aplicación y la importancia de factores específicos del ambiente de control, métodos y
registros del sistema contable y procedimientos de control que establezca una entidad, deberán
considerarse dentro del contexto de:
- El tamaño de la entidad
- Sus características de organización y propiedad
- La naturaleza del negocio
- La diversidad y complejidad de sus operaciones
- Los métodos empleados para procesar datos
- Los requerimientos legales y regulatorios
Por ejemplo un manual de políticas formal y escrito o una estructura de organización que dispone
formalmente la delegación de autoridad, puede ser importante para el ambiente de control de una
entidad grande. Sin embargo, una entidad pequeña con una participación efectiva de su
dueño/gerente, tal vez no requiera de un manual o una estructura organizacional formalizada. En
forma similar, una entidad pequeña con una participación efectiva del dueño/gerente puede no
necesitar de procedimientos contables detallados, ni de registros contables complejos o
procedimientos de control formales, tales como una política de créditos formal, política sobre la
seguridad de la información o procedimientos para cotizaciones competitivas.
13. Establecer y mantener una estructura de control interno es una responsabilidad administrativa
importante. Para proporcionar un nivel razonable de seguridad que se alcanzarán los objetivos de una
entidad, la administración deberá vigilar de modo constante la estructura de control interno para
determinar que opera debidamente y que se modifica adecuadamente según los cambios en las
condiciones.
14. El concepto del nivel razonable de seguridad admite que el costo de la estructura de control
interno de una entidad no deberá exceder los beneficios que se espera de ella. Pese a que la relación
costo-beneficio es un criterio básico a considerar en el diseño de una estructura de control interno, no
suele ser posible cuantificar con precisión los costos y los beneficios. Por consiguiente, la
administración efectúa estimaciones y juicios cuantitativos y cualitativos para evaluar la relación
costo-beneficio.
15. La efectividad potencial de la estructura de control interno de una entidad está sujeta a
limitaciones inherentes. Errores en la aplicación de políticas y procedimientos, podrán derivarse de
causas tales como instrucciones mal entendidas, errores de juicio y el descuido, distracción o fatiga de
las personas. Además, los procedimientos y políticas que requieren segregación de funciones, podrán
ser sobrepasadas mediante la colusión entre personas dentro y fuera de la entidad, o si la
administración hace caso omiso de ciertas políticas y procedimientos.
Consideración de la Estructura de Control Interno al Planificar una Auditoría
16. El auditor deberá adquirir una comprensión suficiente de cada uno de los tres elementos de la
estructura de control interno de una entidad para planificar la auditoría de sus estados financieros.
Esa comprensión deberá incluir conocimientos sobre el diseño de políticas, procedimientos y registros
relevantes y en qué medida la entidad los ha puesto en operación. Al planificar la auditoría, tales
conocimientos deberán emplearse para:
- Identificar tipos de errores potenciales
- Considerar los factores que afectan el riesgo de errores significativos
- Diseñar pruebas sustantivas
17. El hecho de que una política o un procedimiento de la estructura de control interno se haya puesto
en operación, es diferente a que esté operando en forma efectiva. Al obtener los conocimientos acerca
de si se han puesto en operación las políticas, los procedimientos o los registros, el auditor determina
si la entidad los usa. Por otra parte, si están operando en forma efectiva trata de la manera en que se
ha aplicado la política, el procedimiento o el registro, la uniformidad en su aplicación, y quien lo haya
efectuado. Esta Norma no requiere que el auditor obtenga conocimientos sobre la operación en forma
efectiva como parte de su comprensión de la estructura de control interno.
18. En ocasiones la comprensión del auditor de la estructura de control interno, podrá derivar en
dudas acerca de la posibilidad de auditar los estados financieros de una entidad. Las preocupaciones
por la integridad de la administración podrán ser tan graves, que lleven al auditor a la conclusión que
el riesgo de afirmaciones incorrectas por parte de la administración en los estados financieros es tan
grande, que no se puede seguir practicando la auditoría. Las preocupaciones por la naturaleza y
detalle de los registros de una entidad, podrán llevar al auditor a la conclusión que no es probable que
consiga evidencia apropiada y suficiente para respaldar una opinión sobre los estados financieros.
Comprensión de la Estructura de Control Interno
19. Al emitir un juicio basado en la comprensión de la estructura de control interno necesaria para
planificar la auditoría, el auditor considera los conocimientos obtenidos de otras fuentes, acerca de los
tipos de errores que podrían ocurrir, el riesgo de que tales errores ocurran y los factores que influyen
en el diseño de pruebas sustantivas. Otras fuentes de tales conocimientos pueden ser auditorías
anteriores y la comprensión de la industria en donde opera la entidad. El auditor considera asimismo
sus evaluaciones de riesgo inherente, sus juicios sobre la significatividad y la complejidad y
sofisticación de las operaciones y los sistemas de la entidad, incluyendo si el método de controlar el
procesamiento de datos se basa en procedimientos manuales independientes del computador o si
depende en gran medida de los controles computarizados. Conforme las operaciones y sistemas de la
entidad se vuelven más complejos y sofisticados, podrá ser necesario dedicar más atención a los
elementos de la estructura de control interno, para obtener de ellos la comprensión necesaria para
diseñar pruebas sustantivas efectivas. Por ejemplo, al auditar préstamos vencidos de una institución
financiera que usa informes producidos en computadoras sobre tales préstamos, tal vez el auditor no
pueda diseñar las pruebas sustantivas adecuadas sin antes tener el conocimiento de los
procedimientos de control específicos relativos a la integridad y clasificación de los préstamos.
Comprensión del Ambiente de Control
20. El auditor deberá obtener conocimientos suficientes sobre el ambiente de control, para poder
entender la actitud, conciencia y acciones de la administración y del directorio con respecto al
ambiente de control. El auditor deberá fijarse en el contenido de las políticas, procedimientos y
acciones afines de la administración, más que en su forma, porque la administración podrá establecer
políticas y procedimientos apropiados, pero no llevarlos a cabo. Por ejemplo, un sistema de
información presupuestario podrá proporcionar los informes adecuados, pero estos informes pueden
ser analizados y no actuar sobre ellos. Igualmente, la administración puede establecer un manual de
políticas, pero actuar de una manera que acepte violaciones de esas políticas.
Comprensión del Sistema Contable
21. El auditor deberá obtener los conocimientos suficientes del sistema contable para entender:
- Las clases de transacciones incluidas en las operaciones de la entidad que son significativas
para los estados financieros.
- Cómo se inician esas transacciones
- Los registros contables, documentación de respaldo, información producida y las cuentas
específicas en los estados financieros, incluyendo como se usa el computador para procesar los
datos
- El proceso empleado para preparar los estados financieros de la entidad, incluyendo las
estimaciones y revelaciones contables importantes
Comprensión de los Procedimientos de Control
22. Puesto que algunos procedimientos de control se integran en componentes específicos del
ambiente de control y del sistema contable, conforme el auditor obtiene una comprensión del
ambiente de control y del sistema contable, probablemente obtenga conocimiento sobre algunos
procedimientos de control. Por ejemplo, al obtener una comprensión de los documentos, registros y
etapas de procesamiento en el sistema contable que corresponden a tesorería, el auditor
probablemente observe si las cuentas bancarias están conciliadas. El auditor deberá considerar los
conocimientos sobre la presencia o ausencia de procedimientos de control, obtenidos de la
comprensión del ambiente de control y del sistema contable, para determinar si hace falta dedicar más
tiempo a obtener una comprensión de los procedimientos de control al planificar la auditoría.
Usualmente, planificar la auditoría no requiere la comprensión de los procedimientos de control
relacionados con cada saldo de cuenta, clase de transacción y revelación en los estados financieros, o
con cada afirmación relevante a esos componentes.
Procedimientos para Obtener la Comprensión
23. Para obtener una comprensión de las políticas y los procedimientos de la estructura de control
interno relevantes a la planificación de la auditoría, el auditor deberá efectuar procedimientos que le
proporcionen los conocimientos suficientes sobre el diseño de las políticas, los procedimientos y los
registros correspondientes a cada uno de los tres elementos de la estructura de control interno y si los
mismos están operando. Estos conocimientos se suelen obtener a través de experiencias anteriores con
la entidad y de procedimientos tales como:
(a) indagaciones al personal gerencial apropiado, supervisores o administrativos,
(b) inspección de los documentos y registros de la entidad y
(c) observación de las actividades y operaciones de la entidad.
La naturaleza y alcance de los procedimientos efectuados, suele variar de una entidad a otra y
dependen:
(a) el tamaño y la complejidad de ella,
(b) las experiencias anteriores del auditor con la entidad,
(c) la naturaleza de la política o el procedimiento en particular, y
(d) la naturaleza de la documentación por parte de la entidad de las políticas y procedimientos
específicos.
24. Por ejemplo, la experiencia anterior del auditor con la entidad podrá proporcionar una
comprensión de sus clases de transacciones. Indagaciones al personal de la entidad apropiado y la
inspección de documentos y registros, tales como documentos fuente y libros de contabilidad podrán
proporcionar una comprensión de los registros contables diseñados para procesar esas transacciones y
ver si se han puesto efectivamente en uso. De modo similar, al obtener una comprensión del diseño de
los procedimientos de control programados en el computador y al ver si se han puesto en operación,
el auditor podrá hacer averiguaciones con el personal de la entidad apropiado e inspeccionar la
documentación del sistema relevante, para comprender el procedimiento de control diseñado y poder
inspeccionar los informes de excepción generados como resultado de tales procedimientos de control,
para determinar que ellos están operando.
25. Las determinaciones del auditor del riesgo inherente y de su juicio sobre la importancia relativa
para varios saldos de cuentas y clases de transacciones, afectan asimismo la naturaleza y el alcance de
los procedimientos efectuados para obtener la comprensión. Por ejemplo, el auditor podrá concluir
que la planificación de la auditoría de la cuenta de seguros pagados por anticipado no requiere de
procedimientos específicos para obtener la comprensión de la estructura de control interno.
Documentación de la Comprensión
26. El auditor deberá documentar la comprensión obtenida de los elementos de la estructura de
control interno de la entidad para planificar la auditoría. La forma y alcance de esta documentación
depende del tamaño y la complejidad de la entidad, así como de la naturaleza de la estructura de
control interno de la misma. Por ejemplo, la documentación de la comprensión de la estructura de
control interno de una entidad grande y compleja, podrá incluir diagramas de flujo, cuestionarios o
tablas de decisiones. Sin embargo, para una entidad pequeña, la documentación en forma de un
memorándum, podrá ser suficiente. Por lo general, cuando más compleja sea la estructura de control
interno y más extensos los procedimientos efectuados, más extensa deberá ser la documentación del
auditor.
Consideración de la Estructura de Control Interno al Determinar el Riesgo de Control
27. Las normas de auditoría establecen que la mayor parte del trabajo del auditor independiente, para
formarse una opinión sobre los estados financieros, consiste en obtener y evaluar evidencia relativa a
las afirmaciones contenidas en tales estados financieros. Estas afirmaciones están incorporadas en los
saldos de cuentas, tipos de transacciones y revelaciones de los estados financieros, y se clasifican
según las siguientes categorías generales:
- Existencia u ocurrencia
- Integridad
- Derechos y obligaciones
- Valuación o asignación
- Presentación y exposición
Al planificar y realizar una auditoría, el auditor considera estas afirmaciones dentro del contexto de su
relación con un saldo de cuenta o tipos de transacciones específicas.
28. El riesgo que existan errores significativos en las afirmaciones de los estados financieros, se
compone del riesgo inherente, riesgo de control y riesgo de detección. El riesgo inherente representa la
susceptibilidad de que una afirmación de los estados financieros contenga un error significativo,
asumiendo que no hay políticas y procedimientos del sistema de control interno relacionados. El
riesgo de control es el riesgo que un error significativo que podría existir en una afirmación de los
estados financieros, no sea prevenido o detectado en forma oportuna por las políticas y
procedimientos del sistema de control interno de la entidad. El riesgo de detección es el riesgo que el
auditor no detecte un error material en una afirmación de los estados financieros.
29. La determinación del riesgo de control es el proceso de evaluar la efectividad de los
procedimientos y políticas de la estructura de control interno de una entidad para evitar o detectar
errores significativos en los estados financieros. El riesgo de control se deberá establecer en función de
las afirmaciones de los estados financieros. Después de obtener la comprensión de la estructura de
control interno, el auditor podrá determinar el riesgo de control a nivel máximo, para algunos o todas
las afirmaciones, porque estima que los procedimientos y políticas de control probablemente no sean
apropiados para una afirmación, no sean efectivos, o porque resultaría ineficiente evaluar su
efectividad.
30. Determinar el riesgo de control por debajo del nivel máximo implica:
- Identificar los procedimientos y políticas de la estructura de control interno relacionados con
afirmaciones específicas, que probablemente eviten o detecten errores significativos en esas
afirmaciones
- Realizar pruebas de los controles para evaluar la efectividad de tales procedimientos y
políticas
31. Al identificar los procedimientos y políticas de la estructura de control interno relevantes a
afirmaciones específicas de los estados financieros, el auditor deberá considerar que los
procedimientos y políticas, podrán tener un efecto extensivo sobre muchas afirmaciones o un efecto
específico sobre una afirmación individual, dependiendo de la naturaleza del elemento de la
estructura de control interno en particular. El ambiente de control y el sistema contable, suelen tener
un efecto extensivo sobre varios saldos de cuenta o tipo de transacción y, por lo tanto, pueden afectar
muchas afirmaciones. Por ejemplo, la conclusión de que el ambiente de control de una entidad sea
muy efectivo, podrá influir en la decisión del auditor sobre el número de localidades de la entidad
donde se realizarán los procedimientos de auditoría o si se deben efectuar ciertos procedimientos de
auditoría para algunos saldos de cuenta o tipo de transacción a una fecha intermedia. Cualesquiera de
esas decisiones, afecta la manera en que se aplican los procedimientos de auditoría a las afirmaciones
específicas, aún cuando el auditor tal vez no haya considerado específicamente cada afirmación
individual afectada por tales decisiones.
32. De este modo, algunos procedimientos de control a menudo tienen un efecto específico sobre una
afirmación individual en un saldo o tipo de transacción particular. Por ejemplo, los procedimientos de
control que una entidad establece para asegurar que su personal está registrando apropiadamente el
inventario físico anual está relacionado directamente con la afirmación de existencia para la cuenta
inventario del balance.
33. Las políticas y los procedimientos de la estructura de control interno pueden estar directa o
indirectamente relacionados con una afirmación. Cuanto más indirecta sea la relación, menos efectiva
será esa política o procedimiento para reducir los riesgos de control para la afirmación. Por ejemplo, la
revisión de un gerente de ventas del resumen de la actividad de venta por tienda específica por
región, comúnmente está relacionada indirectamente a la afirmación de integridad de los ingresos por
venta. Por lo general, será menos efectivo en reducir los riesgos de control de la afirmación que las
políticas y procedimientos relacionados más directamente a esa afirmación, para cotejar los
documentos de despacho contra las facturas.
34. Los procedimientos que están dirigidos tanto a la efectividad del diseño o la operación de las
políticas y procedimientos de la estructura de control interno se denominan pruebas de controles. Las
pruebas de controles dirigidas hacia la efectividad del diseño de las políticas o procedimientos de la
estructura de control interno se relacionan con que, ya sea la política o el procedimiento, está diseñado
apropiadamente para prevenir o detectar errores significativos en afirmaciones específicas de los
estados financieros. Las pruebas para obtener esa evidencia comúnmente incluyen procedimientos
como indagaciones al personal apropiado de la entidad, inspección de documentos e informes y
observación de la aplicación de políticas y procedimientos de la estructura de control interno
específicos. Para las entidades con una estructura de control interno compleja, el auditor debería
considerar que el uso de flujogramas, cuestionarios o tablas de decisiones podrían facilitar la
aplicación de las pruebas de diseño.
35. Las pruebas de controles dirigidas a comprobar la operación en forma efectiva de las políticas o
procedimientos de la estructura de un control interno están relacionadas con cómo la política o el
procedimiento fueron aplicados, la uniformidad con que fueron aplicados durante el período
auditado, y por quién fueron aplicados. Estas pruebas comúnmente incluyen procedimientos como
indagaciones al personal apropiado de la entidad, inspección de documentos e informes, indicando el
desempeño de la política o procedimiento, observación de la aplicación de la política o procedimiento,
y reprocesamiento de la aplicación de la política o procedimiento por el auditor. En algunas
circunstancias un procedimiento específico puede estar dirigido a la efectividad de ambos, diseño y
operación. Sin embargo, una combinación de procedimientos puede ser necesaria para evaluar la
efectividad del diseño u operación de las políticas o procedimientos de una estructura de control
interno.
36. La conclusión a que se llega como resultado de la determinación del riesgo de control, se denomina
«nivel determinado del riesgo de control». Al determinar la evidencia necesaria, para amparar un
nivel específico del riesgo de control establecido por debajo del nivel máximo, el auditor deberá
considerar las características de la evidencia sobre el riesgo de control, mencionada en los párrafos 46
a 60. Sin embargo, por lo general entre más bajo es el nivel determinado del riesgo de control, mayor
será la seguridad que debe proporcionar la evidencia comprobatoria con respecto a que los
procedimientos y políticas de la estructura de control interno, relevantes a una afirmación, estén
diseñados y operando efectivamente.
37. El auditor emplea el nivel determinado de riesgo de control (junto con el nivel determinado de
riesgo inherente) para determinar el nivel aceptable de riesgo de detección, para las afirmaciones de
los estados financieros. El auditor emplea el nivel de riesgo de detección aceptable, para determinar la
naturaleza, oportunidad y alcance de los procedimientos de auditoría que se emplearán, para detectar
los errores significativos en las afirmaciones de los estados financieros. El procedimiento diseñado
para detectar tales errores se denomina prueba sustantiva.
38. Conforme disminuye el nivel aceptable de riesgo de detección, deberá aumentar la seguridad
derivada de las pruebas sustantivas. En consecuencia, el auditor podrá tomar una o más de las
siguientes medidas:
- Cambiar la naturaleza de las pruebas sustantivas de un procedimiento menos efectivo a uno
más efectivo, tal como emplear pruebas dirigidas a partes independientes ajenas a la entidad,
en lugar de pruebas dirigidas a partes o documentación dentro de la entidad
- Cambiar la oportunidad de las pruebas sustantivas. Como ejemplo, efectuarlas al cierre, en
lugar de una fecha intermedia
- Cambiar el alcance de las pruebas sustantivas. Por ejemplo, usar un tamaño de muestra más
grande
Documentación del Nivel Determinado del Riesgo de Control
39. Además de la documentación de la comprensión de la estructura de control interno examinada en
el párrafo 26, el auditor deberá documentar la base para sus conclusiones acerca del nivel
determinado de riesgo de control. Esas conclusiones podrán diferir en cuanto a su relación con
diversos saldos de cuentas o clases de transacción. Sin embargo, para aquellas afirmaciones de los
estados financieros donde el riesgo de control se determina al nivel máximo, el auditor deberá
documentar su conclusión de que el riesgo de control se encuentra al nivel máximo, pero no tiene que
documentar la base para esa conclusión. Para aquellas afirmaciones donde el nivel determinado de
riesgo de control se encuentra por debajo del nivel máximo, el auditor deberá documentar la base para
su conclusión de que la efectividad del diseño y de la operación de los procedimientos y políticas de la
estructura de control interno soporta ese nivel determinado. La naturaleza y alcance de la
documentación del auditor, se ven influidos por el nivel determinado de riesgo de control empleado,
la naturaleza de la estructura de control interno de la entidad, y la naturaleza de la documentación de
la entidad sobre su estructura de control interno.
Relación entre la Comprensión y la Determinación del Riesgo de Control
40. No obstante, que se examinan por separado en esta Norma, la comprensión de la estructura de
control interno y la determinación del riesgo de control, en una auditoría se podrán efectuar
simultáneamente. El objetivo de los procedimientos efectuados para obtener una comprensión de la
estructura de control interno, (examinada en los párrafos 23 al 25) es proporcionar al auditor los
conocimientos necesarios para planificar la auditoría. El objetivo de las pruebas de los controles
(examinado en los párrafos 34 al 35) es proporcionar al auditor la evidencia comprobatoria para ser
usado en la determinación del riesgo de control. Sin embargo, los procedimientos efectuados para
lograr un objetivo, podrán asimismo alcanzar el otro objetivo.
41. A base del nivel determinado de riesgo de control, que el auditor espera respaldar y las
consideraciones de eficiencia en la auditoría, el auditor suele planificar la realización de algunas
pruebas de controles simultáneamente con la obtención de la comprensión de la estructura de control
interno. Además, no obstante que algunos de los procedimientos efectuados para obtener la
comprensión, tal vez no se hayan planificado específicamente como pruebas de controles, podrán
asimismo, proporcionar evidencia sobre la efectividad tanto del diseño, como de la operación de los
procedimientos y políticas relevantes a ciertas afirmaciones y, en consecuencia, servir como pruebas
de controles. Por ejemplo, al obtener una comprensión del ambiente de control, el auditor puede haber
hecho averiguaciones acerca del uso por parte de la administración de los presupuestos, observado la
comparación efectuada por la administración de los gastos mensuales presupuestados con los reales, e
inspeccionando informes relacionados con la investigación de variaciones entre las cifras
presupuestadas y reales. No obstante, que estos procedimientos proporcionan más conocimientos
acerca del diseño de las políticas presupuestarias de la entidad, que se han puesto en marcha, podrán
asimismo proporcionar evidencia comprobatoria acerca de la efectividad del diseño y la operación de
las políticas presupuestarias para evitar o detectar errores significativos en la clasificación de gastos.
En algunas circunstancias, esa evidencia comprobatoria podrá ser suficiente para alcanzar un nivel
evaluado de riesgo de control, que esté por debajo del nivel máximo para las afirmaciones de
presentación y exposición relativas a gastos en el estado de resultados.
42. Cuando el auditor llega a la conclusión que los procedimientos efectuados para obtener la
comprensión de la estructura de control interno, proporcionan asimismo evidencia comprobatoria
para establecer el riesgo de control, el auditor deberá considerar lo indicado en los párrafos 46 al 60,
para juzgar el grado de seguridad proporcionado por esa evidencia comprobatoria. Pese a que tal
evidencia comprobatoria no proporcione la seguridad suficiente para alcanzar un nivel determinado
de riesgo de control que está por debajo del nivel máximo para ciertas afirmaciones, tal vez sirva para
otras afirmaciones proporcionando una base para modificar la naturaleza, oportunidad o alcance de
las pruebas sustantivas que el auditor llegue a planificar para esas afirmaciones. Sin embargo, tales
procedimientos no son suficientes para alcanzar un nivel determinado de riesgo de control por debajo
del nivel máximo, si no proporcionan la suficiente evidencia comprobatoria para evaluar la
efectividad tanto del diseño como de la operación de un procedimiento o política relevante a una
afirmación.
Disminución en el Nivel Determinado del Riesgo de Control
43. Tras obtener la comprensión de la estructura de control interno y determinar el riesgo de control,
el auditor tal vez quiera obtener una disminución en el nivel determinado del riesgo de control, para
ciertas afirmaciones. En esos casos, el auditor considera si será probable obtener evidencia
comprobatoria suficiente para alcanzar esta disminución y si resultará eficiente efectuar pruebas de
controles para obtener esa evidencia comprobatoria. Los resultados de los procedimientos efectuados
para obtener la comprensión de la estructura de control interno, así como la información relevante
proveniente de otras fuentes, ayudarán al auditor a evaluar esos dos factores.
44. Al considerar la eficiencia, el auditor reconoce que una mayor evidencia comprobatoria que
alcance una disminución en el nivel determinado del riesgo de control para una afirmación, daría
como resultado menos esfuerzo de auditoría para las pruebas sustantivas de esa afirmación. El auditor
pondera el aumento en el esfuerzo de auditoría relacionado con las otras pruebas de controles
necesarias para obtener tal evidencia comprobatoria, contra la disminución resultante en el esfuerzo
de auditoría relacionado con la reducción en las pruebas sustantivas. Cuando el auditor llega a la
conclusión de que resultaría ineficiente obtener más evidencia comprobatoria para afirmaciones
específicas, el auditor emplea el nivel determinado de riesgo de control en base a la comprensión de la
estructura de control interno, para planificar las pruebas sustantivas para esas afirmaciones.
45. Para aquellas afirmaciones donde el auditor efectúa pruebas adicionales de controles, el auditor
establece el nivel determinado de riesgo de control que los resultados de esas pruebas alcanzarían. Ese
nivel determinado del riesgo de control, se emplea para establecer el riesgo de detección apropiado,
aceptable para esas afirmaciones y, por consiguiente, para determinar la naturaleza, oportunidad y
alcance de las pruebas sustantivas para tales afirmaciones.
Evidencia Comprobatoria para Sustentar el Nivel Determinado de Riesgo de Control
46. Cuando el auditor determina el riesgo de control por debajo del nivel máximo, deberá obtener la
evidencia comprobatoria suficiente para sustentar un nivel evaluado de riesgo de control específico, es
un asunto de criterio de auditoría. La evidencia comprobatoria varía sustancialmente en cuanto a la
seguridad que proporciona al auditor, conforme éste desarrolla la determinación del nivel de riesgo
de control. El tipo de evidencia comprobatoria, su fuente, su oportunidad, así la existencia de otra
evidencia comprobatoria relacionada con las conclusiones a que conduce, tienen su efecto sobre el
grado de seguridad que proporciona la evidencia comprobatoria.
47. Estas características influyen en la naturaleza, oportunidad, y alcance de las pruebas de controles
que el auditor aplica para obtener evidencia comprobatoria sobre el riesgo de control. El auditor
selecciona tales pruebas de entre una variedad de técnicas, tales como indagación, observación,
inspección y reprocesamiento de un procedimiento o política relativa a una afirmación. No existe una
prueba de controles específica ni necesaria, aplicable o igualmente efectiva en toda circunstancia.
Tipo de Evidencia Comprobatoria
48. La naturaleza de los procedimientos o políticas relativos a una afirmación, influye en el tipo de
evidencia comprobatoria disponible para evaluar la efectividad del diseño u operación de esos
procedimientos y políticas. Para algunas políticas y procedimientos, podrá existir la documentación
del diseño u operación. En tales circunstancias, el auditor podrá decidir inspeccionar la
documentación para obtener evidencia comprobatoria sobre la efectividad del diseño u operación.
49. Sin embargo, para otros procedimientos y políticas, tal vez esa documentación no esté disponible o
no sea relevante. Por ejemplo, la documentación del diseño u operación tal vez no exista para algunos
factores del ambiente de control, como la asignación de autoridad y responsabilidad, o para algunos
tipos de procedimientos de control, como segregación de funciones, o algunos tipos de
procedimientos de control, como segregación de funciones, o algunos procedimientos efectuados por
una computadora. En esas circunstancias, la evidencia comprobatoria sobre la efectividad del diseño u
operación, podrá obtenerse mediante la observación o el empleo de técnicas de auditoría asistidas por
computador para reprocesar la aplicación de los procedimientos y políticas relevantes.
Fuente de Evidencia Comprobatoria
50. Por lo general, la evidencia comprobatoria sobre la efectividad del diseño y operación de los
procedimientos y políticas, obtenida directamente por el auditor, por ejemplo a través de la
observación, proporciona más seguridad que la obtenida indirectamente o por suposición, como a
través de averiguaciones. Por ejemplo, la evidencia comprobatoria sobre la debida segregación de
funciones, obtenida mediante la observación personal por parte del auditor, de la persona que aplica
el procedimiento de control, suele proporcionar más seguridad que hacer averiguaciones con respecto
a esa persona. Sin embargo, el auditor deberá considerar que la aplicación observada de un
procedimiento o política, tal vez no se realice de la misma manera cuando no está presente el auditor.
51. Por lo general, la sola averiguación no proporciona la suficiente evidencia comprobatoria para
apoyar una conclusión sobre la efectividad del diseño u operación de un procedimiento de control
específico. Cuando el auditor determina que un procedimiento de control específico podrá tener un
efecto significativo en la reducción del riesgo de control a un nivel bajo para una afirmación específica,
normalmente tendrá que efectuar pruebas adicionales para obtener la evidencia comprobatoria
suficiente para sustentar la conclusión sobre la efectividad del diseño u operación del procedimiento
de control.
Oportunidad de la Evidencia Comprobatoria
52. La oportunidad de la evidencia comprobatoria se refiere a cuándo ésta se obtuvo y la parte
cubierta del período de la auditoría a que se aplica. Al evaluar el grado de seguridad proporcionado
por la evidencia comprobatoria, el auditor deberá considerar que la evidencia comprobatoria obtenida
mediante algunas pruebas de controles, tales como la observación, se refiere sólo al momento en que
se aplicó el procedimiento de auditoría. En consecuencia, tal evidencia comprobatoria podrá resultar
insuficiente para evaluar la efectividad del diseño u operación de los procedimientos y políticas de la
estructura de control interno, para períodos no sometidos a esas pruebas. En esas circunstancias, el
auditor podrá decidir complementar esas pruebas, con otras pruebas de controles que pueden
proporcionar la evidencia comprobatoria sobre todo el período de la auditoría. Por ejemplo, para un
procedimiento de control efectuado por un programa de computación, el auditor podrá comprobar la
operación del control en un momento dado para obtener la evidencia comprobatoria de si el programa
ejecuta con efectividad el control. El auditor podrá luego efectuar pruebas de controles dirigidas al
diseño y operación de otros procedimientos de control, referentes a la modificación y uso de ese
programa de computación para obtener evidencias comprobatorias sobre si el procedimiento de
control programado operó uniformemente durante el período de la auditoría.
53. La evidencia comprobatoria sobre el diseño u operación efectivo de los procedimientos y políticas
de la estructura de control interno, obtenido en auditorías anteriores, podrá considerarse en la
determinación del riesgo de control para la auditoría actual. Para evaluar el uso de tal evidencia
comprobatoria para la auditoría actual, el auditor deberá considerar la importancia de la afirmación
en cuestión, los procedimientos y políticas específicos de la estructura de control interno evaluados
durante auditorías anteriores, el grado en que fueron evaluados el diseño y la operación efectiva de
esos procedimientos y políticas, los resultados de las pruebas de los controles empleados para hacer
esas evaluaciones, y la evidencia comprobatoria acerca del diseño u operación que pudiera resultar de
las pruebas sustantivas efectuadas en la auditoría actual. El auditor deberá considerar asimismo, que
entre más tiempo haya pasado desde que se efectuaron las pruebas de controles para obtener la
evidencia comprobatoria sobre el riesgo de control, menor será la seguridad que pueden
proporcionar.
54. Al considerar la evidencia comprobatoria obtenida de auditorías anteriores, el auditor deberá
obtener evidencia comprobatoria en el período actual con respecto a si han ocurrido cambios en la
estructura de control interno, incluyendo los procedimientos, políticas, y personal, posteriores, así
como la naturaleza y alcance de cualquiera de esos cambios. La consideración de la evidencia
comprobatoria sobre estos cambios, junto con las consideraciones descritas en el párrafo anterior,
podrán sustentar el aumento o la disminución de la evidencia comprobatoria adicional sobre la
efectividad del diseño y operación a obtener en el período actual.
55. Cuando el auditor obtiene evidencia comprobatoria sobre el diseño u operación de los
procedimientos y políticas de la estructura de control interno durante un período intermedio, deberá
determinar específicamente la evidencia comprobatoria adicional que se debe obtener para el período
restante. Al hacer esa determinación, el auditor deberá considerar la importancia del componente en
cuestión, los procedimientos y políticas específicos de la estructura de control interno que se
evaluaron durante el período intermedio, el grado en que se evaluaron y el diseño y la operación
efectiva de esos procedimientos y políticas, los resultados de las pruebas de los controles empleados
para hacer esa evaluación, la duración del período restante, y la evidencia comprobatoria sobre el
diseño y operación que podrá resultar de las pruebas sustantivas a efectuar en el período restante. El
auditor deberá obtener la evidencia comprobatoria sobre la naturaleza y alcance de cualquier cambio
importante en la estructura de control interno, incluyendo procedimientos, políticas y personal de la
misma, que ocurran con posterioridad al período intermedio.
Interrelación de la Evidencia Comprobatoria
56. El auditor deberá considerar el efecto combinado de diferentes tipos de evidencia comprobatoria
relativa a la misma afirmación, al evaluar el grado de seguridad que la misma proporciona. En
algunas circunstancias, un sólo tipo de evidencia comprobatoria tal vez no baste para evaluar el
diseño u operación efectivo del procedimiento o política de la estructura de control interno. Para
obtener la suficiente evidencia comprobatoria en tales circunstancias, el auditor podrá efectuar otras
pruebas de controles relacionadas con ese procedimiento o política. Por ejemplo, un auditor podrá
observar que los programadores no tiene autorización para operar la computadora. Puesto que una
observación es pertinente sólo en el momento de hacerla, el auditor podrá complementar la
observación mediante averiguaciones sobre la frecuencia y las circunstancias en que los
programadores intentaron operar la computadora, para determinar de qué manera tales intentos se
pudieron evitar o detectar.
57. Asimismo, al evaluar el grado de seguridad proporcionado por la evidencia comprobatoria, el
auditor deberá considerar la interrelación del ambiente de control de una entidad, el sistema contable
y los procedimientos de control. No obstante, que un elemento individual de la estructura de control
interno puede afectar la naturaleza, la oportunidad o el alcance de las pruebas sustantivas para una
afirmación específica de los estados financieros, el auditor deberá considerar la evidencia
comprobatoria sobre un elemento individual, en relación a la evidencia comprobatoria sobre los otros
elementos, al determinar el riesgo de control para una afirmación específica.
58. Por lo general, cuando varios tipos de evidencia comprobatoria sustentan la misma conclusión
acerca del diseño u operación de un procedimiento o política de la estructura de control interno, se
aumenta el grado de seguridad proporcionado. Por el contrario, si varios tipos de evidencia
comprobatoria conducen a diferentes conclusiones acerca del diseño u operación de un procedimiento
o política de la estructura de control interno, se disminuye el grado de seguridad proporcionado. Por
ejemplo, a base de la evidencia comprobatoria de que el ambiente de control es efectivo, el auditor
podrá haber reducido el número de localidades en donde se efectuarán los procedimientos de control.
No obstante, si al evaluar los procedimientos de control específicos el auditor obtiene evidencia
comprobatoria de que tales procedimientos son inefectivos, podrá revaluar su conclusión acerca del
ambiente de control y, entre otras cosas, decidir si debe efectuar procedimientos de auditoría en
localidades adicionales.
59. De modo similar, la evidencia comprobatoria que indica que el ambiente de control es inefectivo,
podrá tener efectos adversos sobre un sistema contable o un procedimiento de control efectivo para
una afirmación en particular. Por ejemplo, un ambiente de control que probablemente permita
cambios no autorizados en un programa de computación, podrá reducir la seguridad proporcionada
por la evidencia comprobatoria obtenida al evaluar la efectividad del programa en un momento dado.
En esas circunstancias, el auditor podrá decidir si obtendrá o no evidencia comprobatoria adicional.
Por ejemplo, el auditor pudiera obtener y controlar una copia del programa y usar técnicas de
auditoría con ayuda de la computadora, para comparar esa copia con el programa que usa la entidad
para procesar los datos.
60. Una auditoría de estados financieros es un proceso acumulativo; conforme el auditor determina el
riesgo de control, la información obtenida podrá llevarlo a modificar la naturaleza, oportunidad o
alcance de las otras pruebas de controles planificadas, para determinar el riesgo de control. Además,
podrá llegar a sus manos información como resultado de efectuar pruebas sustantivas o de otras
fuentes durante la auditoría, que difiera sustancialmente de la información en que basó la
planificación de sus pruebas de controles para determinar el riesgo de control. Por ejemplo, el grado
de errores que el auditor detecta al efectuar las pruebas sustantivas, podrá alterar su juicio sobre el
nivel evaluado del riesgo de control. En esas circunstancias, el auditor tendrá que revaluar los
procedimientos sustantivos planificados, a base de una consideración revisada del nivel determinado
del riesgo de control, para todas o algunas de las afirmaciones de los estados financieros.
Correlación entre el Riesgo de Control y el de Detección
61. El propósito final de evaluar el riesgo de control, es el de contribuir a la determinación del auditor
sobre el riesgo de que existan errores significativos en los estados financieros. El proceso de
determinar el riesgo de control (junto con evaluar el riesgo inherente) proporciona la evidencia
comprobatoria acerca del riesgo de que tales errores puedan existir en los estados financieros. El
auditor usa esa evidencia comprobatoria como base para emitir una opinión según la tercera norma
relativa a la ejecución del trabajo, contenida en la Sección 326.01 «Evidencia Comprobatoria» dice:
«Se obtendrá material de prueba suficiente y competente, por medio de la inspección, observación,
indagación y confirmación, para lograr una base razonable y así poder expresar una opinión sobre los
estados financieros que se examinan».
62. Después de considerar el nivel al que se quiere limitar el riesgo de errores significativos en los
estados financieros y los niveles determinados de riesgo inherente y de control, el auditor efectúa las
pruebas sustantivas para reducir el riesgo de detección a un nivel aceptable. Conforme disminuye el
nivel determinado del riesgo de control, se aumenta el nivel aceptable de riesgo de detección. Por
consiguiente, el auditor podrá modificar la naturaleza, oportunidad y alcance de las pruebas
sustantivas a ser ejecutadas.
63. No obstante, que la relación inversa entre el riesgo de control y el de detección puede permitir al
auditor cambiar la naturaleza o la oportunidad de las pruebas sustantivas o limitar su alcance, por lo
general el nivel determinado del riesgo de control, no podrá disminuirse suficientemente para
eliminar la necesidad de efectuar pruebas sustantivas, para reducir el riesgo de detección para todas
las afirmaciones relevantes de los saldos de cuenta o tipo de transacciones importantes. En
consecuencia, independientemente del nivel determinado del riesgo de control, el auditor deberá
efectuar pruebas sustantivas para los saldos de cuenta y tipo de transacción significativos.
64. Las pruebas sustantivas que efectúa el auditor consisten en pruebas de detalle de transacciones y
saldos y procedimientos analíticos. Al establecer el riesgo de control, el auditor podrá usar asimismo
las pruebas de detalle de transacciones, como pruebas de controles. El objetivo de las pruebas de
detalle de transacciones efectuadas como pruebas sustantivas es detectar errores significativos en los
estados financieros. El objetivo de las pruebas de detalle de transacciones realizadas como pruebas de
controles, es el evaluar si un procedimiento o política de la estructura de control interno ha operado
efectivamente. Pese a que los objetivos son diferentes, ambos podrán realizarse concurrentemente al
efectuar una prueba de detalle en la misma transacción. El auditor deberá reconocer, sin embargo, que
se requiere considerar a fondo tanto el diseño como la evaluación de tales pruebas, para asegurar que
se logren ambos objetivos.
APÉNDICE A
FACTORES DEL AMBIENTE DE CONTROL
1. Este apéndice examina los factores del ambiente de control, identificados en el párrafo 09 de la
Sección 319.
FILOSOFÍA Y ESTILO DE OPERACIÓN DE LA ADMINISTRACIÓN
2. La filosofía y estilo de operación gerenciales abarca una amplia gama de características, entre otras,
las siguientes: el enfoque gerencial para asumir y vigilar los riesgos empresariales; las actitudes y
acciones gerenciales con respecto a la información financiera; y el énfasis gerencial sobre el
cumplimiento con las metas presupuestarias, de utilidades y de otros objetivos financieros y
operativos. Estas características influyen sustancialmente en el ambiente de control, sobre todo
cuando una sola o unas cuantas personas dominan la administración, independientemente de la
consideración asignada a los otros factores del ambiente de control.
ESTRUCTURA ORGANIZATIVA
3. La estructura organizativa de una entidad proporciona el marco general para planificar, dirigir y
controlar las operaciones. Una estructura organizativa incluye la consideración de la forma y
naturaleza de las unidades organizativas de una entidad, incluyendo la organización del
procesamiento de datos, y las respectivas funciones gerenciales y relaciones de información. Además,
la estructura organizativa deberá asignar de modo adecuado autoridades y responsabilidades dentro
de la entidad.
COMITÉ DE AUDITORÍA
4. Un comité de auditoría efectivo, participa activamente en el control de las políticas y prácticas de
información contable y financiera de una entidad. El comité deberá ayudar al Directorio a cumplir con
sus responsabilidades fiduciarias y contables y a mantener una línea directa de comunicación entre el
Directorio y los auditores externos e internos de la entidad.
MÉTODOS DE ASIGNACIÓN DE AUTORIDAD Y RESPONSABILIDADES
5. Estos métodos afectan la comprensión de las relaciones y responsabilidades de información
establecidas dentro de la entidad. Los métodos de asignar autoridades y responsabilidades incluyen la
consideración de:
- Las políticas de la entidad con respecto a asuntos tales como prácticas empresariales
aceptables, conflictos de intereses y código de conducta.
- Asignación de responsabilidad y delegación de autoridad para tratar asuntos tales como
metas y objetivos organizacionales, funciones operativas y requerimientos de órganos de
control.
- Descripciones de cargos de los empleados, delineando las funciones específicas, niveles de
dependencias y obligaciones.
- Documentación de los sistemas de computación, indicando los procedimientos para autorizar
transacciones y aprobar cambios a los sistemas.
MÉTODOS DE CONTROL GERENCIAL
6. Estos métodos afectan el control directo por parte de la administración sobre el ejercicio de la
autoridad delegada a otros, así como la capacidad de la administración para supervisar efectivamente
las actividades de la entidad. Los métodos de control administrativo, incluyen la consideración de:
- Establecimiento de sistemas de planificación e información que detallan los planes de la
administración y los resultados del desempeño real. Tales sistemas podrán incluir planificación
empresarial, presupuestos, pronósticos y planificación de utilidades y contabilidad por centros
de responsabilidad.
- Establecimiento de los métodos que identifiquen el estado de desempeño real y las
excepciones al desempeño planificado, así como comunicarlas a los niveles gerenciales
apropiados.
- Utilizar tales métodos a los niveles gerenciales apropiados para investigar desviaciones de las
expectativas y tomar acciones oportunas y apropiadas.
- Establecimiento y vigilancia de políticas para desarrollar y modificar los sistemas contables y
los procedimientos de control, incluyendo el desarrollo, modificación y uso de cualquier
programa de computación y archivos de datos relacionados.
FUNCIÓN DE AUDITORÍA INTERNA
7. La función de auditoría interna se establece en una entidad para examinar y evaluar la suficiencia y
efectividad de los procedimientos y políticas de la estructura de control interno. El establecimiento de
una efectiva función de auditoría interna, incluye la consideración de sus niveles de autoridad y
dependencia, las capacidades de su personal y sus recursos.
POLÍTICAS Y PRACTICAS DE PERSONAL
8. Estas políticas y prácticas afectan la capacidad de una entidad para emplear al suficiente personal
competente para lograr sus metas y objetivos. Las prácticas y políticas de personal incluyen la
consideración de los procedimientos y políticas de una entidad para contratar, capacitar, evaluar,
promover y compensar a los empleados, así como proporcionarles los recursos necesarios para
cumplir con sus responsabilidades asignadas.
INFLUENCIAS EXTERNAS
9. Son las influencias establecidas y ejercidas por partes ajenas a la entidad y que afectan las
operaciones y prácticas de la entidad. Incluyen los requisitos de vigilancia y cumplimiento impuestos
por organismos legislativos y reguladores, tales como exámenes efectuados por los organismos
reguladores bancarios. Incluyen asimismo, revisión y seguimiento con respecto a las acciones de la
entidad, efectuados por partes ajenas a la misma. Las influencias externas suelen estar fuera de la
auditoría de la entidad. Sin embargo, tales influencias podrán aumentar la conciencia y actitud de la
administración hacia la conducción e información sobre las operaciones de una entidad y hacer que
establezca procedimientos o políticas específicos para la estructura de control interno.
APÉNDICE B
GLOSARIO DE TÉRMINOS Y CONCEPTOS SELECCIONADOS
Afirmaciones: Las manifestaciones gerenciales incluidas en los saldos de cuenta, clases de
transacciones y revelaciones en los estados financieros. Abarcan (1) existencia u ocurrencia, (2)
integridad, (3) derechos y obligaciones, (4) valuación o asignación, y (5) presentación y exposición.
Ambiente de control: El efecto conjunto de varios factores para establecer, mejorar o mitigar la
efectividad de los procedimientos y políticas específicas. Tales factores incluyen (1) filosofía y estilo de
operación de la administración, (2) estructura organizativa, (3) función del directorio y sus comités, (4)
métodos para asignar autoridad y responsabilidad, (5) métodos de control gerencial, (6) la función de
auditoría interna, (7) políticas y prácticas del personal, y (8) influencias externas sobre la entidad.
Comprensión de la estructura de control interno: El conocimiento del ambiente de control, sistema
contable y procedimientos de control que el auditor cree necesario para planificar la auditoría.
Condiciones a informar: Los asuntos que llaman la atención del auditor y que en su opinión se deben
comunicar al comité de auditoría, el consejo de administración, el dueño de la empresa o a quienes
hayan contratado al auditor, ya que representan importantes deficiencias en el diseño u operación de
la estructura del control interno, que podrían afectar negativamente, la capacidad de la organización
para registrar, procesar, resumir y reportar información financiera uniforme con las afirmaciones de la
administración en los estados financieros.
Determinar el riesgo de control: El proceso de establecer la efectividad de los procedimientos y
políticas de la estructura de control interno de una entidad, para evitar o detectar errores en las
afirmaciones de los estados financieros.
Efectividad en la operación: La manera en que se aplicó un procedimiento o política de la estructura
de control interno, la uniformidad de su aplicación y la persona que lo haya aplicado.
Estructura de control interno: Los procedimientos y políticas establecidos para proporcionar una
seguridad razonable de alcanzar los objetivos específicos de la entidad.
Nivel determinado de riesgo de control: El nivel de riesgo de control que usa el auditor para
determinar el riesgo de detección aceptable para una afirmación de los estados financieros y, por
consiguiente, para determinar la naturaleza, oportunidad y alcance de las pruebas sustantivas. Este
nivel podrá variar en una escala de máximo y mínimo a medida que el auditor haya obtenido la
evidencia comprobatoria para sustentar ese nivel.
Nivel máximo de riesgo de control: La mayor probabilidad que un error significativo pueda ocurrir
en una afirmación de los estados financieros y no sea evitada ni detectada oportunamente por medio
de la estructura de control interno de una entidad.
Procedimientos de control: Los procedimientos y políticas adicionales al ambiente de control y al
sistema contable establecidos por la administración, para proporcionar una seguridad razonable de
lograr los objetivos específicos de la entidad.
Procedimientos y políticas de la estructura de control interno relevantes para la auditoría: Los
procedimientos y políticas en la estructura de control interno de una entidad, que se refieren a la
capacidad de la entidad para registrar, procesar, resumir e informar los datos financieros, de modo
uniforme con las afirmaciones de la administración incluidas en los estados financieros, o que se
refieren a los datos que usa el auditor para aplicar los procedimientos de auditoría a los componentes
de los estados financieros.
Pruebas de controles: Pruebas dirigidas al diseño u operación de un procedimiento o política de la
estructura de control interno, para evaluar su efectividad en evitar o detectar errores significativos en
una afirmación de los estados financieros.
Pruebas sustantivas: Las pruebas de detalle y procedimientos analíticos efectuados para detectar
errores significativos incluidos en los componentes del saldo de una cuenta, clase de transacción y
exposición de los estados financieros.
Puesto en operación: El uso de la entidad de un procedimiento o política de la estructura de control
interno.
Riesgo de control: El riesgo que un error significativo que podría existir en una afirmación de los
estados financieros, no sea prevenido o detectado en forma oportuna por las políticas y
procedimientos del sistema de control interno.
Riesgo de detección: El riesgo de que el auditor no detecte un error material en una afirmación de los
estados financieros.
Riesgo inherente: La susceptibilidad de que una afirmación de los estados financieros contenga un
error significativo, asumiendo que no hay políticas y procedimientos del sistema de control interno
relacionados.
Sistema contable: Los métodos y registros establecidos para identificar, reunir, analizar, clasificar,
registrar e informar las transacciones de una entidad, así como para establecer una rendición de
cuentas del activo y pasivo correspondientes.
APÉNDICE C
ALGUNOS OBJETIVOS DE CONTROL ADMINISTRATIVO SELECCIONADOS
1. Los conceptos y terminología empleados en esta Norma, aclaran y actualizan la Sección 642
«Estudio y Evaluación del Sistema de Control Interno» al incorporar los conceptos con respecto a
evidencia y riesgo de auditoría, que han evolucionado en la práctica y que se han establecido por
medio de las normas de auditoría, emitidas posteriores a esa norma. Este apéndice, examina algunos
de los conceptos básicos de la Sección 642, que están implícitos en una estructura de control interno,
pero que no se examinan explícitamente, en esta Sección. No obstante, que estos conceptos tengan una
aplicación general, los métodos organizativos y de procedimientos para aplicarlos podrán diferir
substancialmente entre un caso y otro, debido a la variedad de circunstancias involucradas.
OBJETIVOS ADMINISTRATIVOS
2. El establecimiento y mantenimiento de una estructura de control interno, representa una
responsabilidad administrativa importante. Al establecer los procedimientos y políticas específicos de
la estructura de control interno, (con relación a la capacidad de la entidad para registrar, procesar,
resumir, e informar datos financieros, que son consistentes con las afirmaciones de la administración
incluidas en los estados financieros) entre los objetivos específicos que la administración puede
considerar, se contemplan los siguientes:
- Las transacciones se ejecutan de acuerdo con la autorización específica o general de la
administración.
- Las transacciones se registran conforme sea necesario (a) para permitir la preparación de los
estados financieros de acuerdo con los principios de contabilidad generalmente aceptados o
cualesquier otros criterios aplicables a tales estados y (b) para mantener el adecuado control
contable de los activos.
- Se permite el acceso al activo sólo de acuerdo con la autorización de la administración.
- A intervalos razonables, los registros contables se comparan con el activo existente, y se toma
la acción apropiada con respecto a cualquier diferencia.
ACCESO AL ACTIVO
3. Los objetivos de custodiar el activo requieren que se limite el acceso a personal autorizado. En este
contexto, el acceso al activo incluye tanto el acceso físico directo, como el acceso indirecto mediante la
preparación o procesamiento de documentos que autorizan el uso o disposición del activo. Se requiere
el acceso al activo en las operaciones normales de un negocio y, por lo tanto, limitando el acceso a
personal autorizado, representa la máxima restricción factible. El número y capacidad del personal
autorizado, deberá determinarse en base a la naturaleza del activo y la relativa susceptibilidad a
pérdidas por errores e irregularidades. La limitación del acceso directo al activo requiere de
segregación física adecuada y equipo o dispositivos de seguridad.
COMPARACIÓN ENTRE LOS REGISTROS CONTABLES Y EL ACTIVO
4. El propósito de comparar los registros contables con el activo, es el de determinar si los registros
contables corresponden al activo real. Ejemplos comunes de esta comparación incluyen arqueos de
valores y efectivo, conciliaciones bancarias e inventarios físicos.
5. Si la comparación demuestra que el activo no concuerda con los registros contables, entonces sirve
de evidencia de transacciones no registradas o registradas indebidamente. Sin embargo, no
necesariamente se aplica a la inversa. Por ejemplo, la concordancia del arqueo de efectivo con el saldo
registrado no proporciona evidencia de que todo el efectivo recibido haya sido debidamente
registrado.
6. Esto ejemplifica una distinción inevitable entre la contabilidad fiduciaria y la contabilidad
financiera; la primera se deriva inmediatamente al tomar la custodia de un activo; la segunda sólo
cuando se registra inicialmente la transacción.
7. En cuanto al activo susceptible a pérdida por errores o irregularidades, se debe hacer de modo
independiente la comparación con los registros contables. La frecuencia con que se debe hacer esa
comparación con el propósito de salvaguardar el activo, depende de la naturaleza y cantidad del
activo en cuestión y el costo de efectuar la misma. Por ejemplo, tal vez resulte razonable hacer un
arqueo diario de efectivo, pero no un inventario físico. Sin embargo, un inventario diario de los
productos en posesión de agentes de ventas, por ejemplo, tal vez resulte práctico como un medio de
determinar su contabilización de ventas. De modo similar, el valor y vulnerabilidad de algunos
productos, podrán hacer que valga la pena practicar inventarios completos frecuentes.
8. La frecuencia recomendada para comparar los registros contables y el activo, para el propósito de
poder confiar en los registros para preparar los estados financieros, depende de la importancia
relativa del activo, así como de su susceptibilidad a pérdidas por errores e irregularidades.
9. La acción que podrá ser apropiada con respecto a cualquier discrepancia revelada en la
comparación de los registros contables y el activo, dependerá primordialmente de la naturaleza de
activo, el sistema en uso, y el importe y causa de la discrepancia. La acción apropiada podrá incluir el
ajuste de los registros contables, presentar reclamaciones de seguros, revisión de procedimientos, o
acción administrativa para mejorar el desempeño del personal.
Descargar

SECCIÓN 319

Control de la Empresa

Control de la Empresa

ContabilidadActividades de control y gestiónAuditoriasRegistros financierosOrganización empresarial

Efectivo: Debe darse cuenta de todos los ingresos y egresos de... ratificándolos y por medio de otros procedimientos de auditoría, debe... •

Efectivo: Debe darse cuenta de todos los ingresos y egresos de... ratificándolos y por medio de otros procedimientos de auditoría, debe... •

InventariosNormativa auditora costarricenseCuentas por cobrarActivo fijoInversiones pasivos

TEMA 1: La auditorÃ-a: concepto, clases y evolución

TEMA 1: La auditorÃ-a: concepto, clases y evolución

Principio contableAuditoría externaInternaOperativaPúblicaDe sistemasConcepto

Procedimientos de auditoría

Procedimientos de auditoría

ConfirmaciónAnálisis saldos y movimientosInvestigaciónDeclaraciónInspección