SECCIÓN 319 CONSIDERACIÓN DE LA ESTRUCTURA DE CONTROL INTERNO EN UNA AUDITORIA DE ESTADOS FINANCIEROS Introducción Esta Sección provee orientación sobre la consideración de la estructura de control interno que debería dar el auditor independiente en una auditoría de estados financieros, realizada de acuerdo con normas de auditoría generalmente aceptadas. Describe los elementos de una estructura de control interno y explica como el auditor deberá considerar la estructura de control interno al planificar y realizar una auditoría. Resumen 01. La estructura de control interno deberá ser considerada por el auditor independiente en una auditoría de estados financieros. Para los fines de esta Sección, la estructura de control interno de una entidad se compone de tres elementos: el ambiente de control, el sistema contable y los procedimientos de control. 02. En toda auditoría, el auditor deberá adquirir una comprensión suficiente de cada uno de los tres elementos para planificar la auditoría, realizando procedimientos para comprender el diseño de las políticas y los procedimientos relevantes para las tareas de planificación de una auditoría y si ellos están operando. 03. Después de adquirir dicha comprensión, el auditor determina el riesgo de control para las afirmaciones incluidas en el saldo de una cuenta, clase de transacción o revelaciones de información de los estados financieros. El auditor podrá establecer el riesgo de control a su nivel máximo (la mayor probabilidad que un error significativo pudiera no ser evitado o detectado oportunamente por la estructura de control interno de una entidad) porque cree que es poco probable que los procedimientos y políticas sean apropiados para una afirmación, o porque es poco probable que sean efectivos, o resultaría ineficiente evaluar su efectividad. Como alternativa, el auditor podrá obtener evidencias sobre la efectividad del diseño y operación de una política o procedimiento que respalde un nivel mínimo de riesgo de control. Tal evidencia podrá obtenerse de las pruebas de controles planificadas y efectuadas simultáneamente con la obtención de su comprensión, o por los procedimientos efectuados para obtener esa comprensión y que no se planificaron específicamente como pruebas de controles. 04. Después de obtener la comprensión y establecer el riesgo de control, el auditor podrá buscar una reducción adicional en el nivel determinado del riesgo de control para ciertas afirmaciones. En esos casos, el auditor considera si será probable obtener evidencia suficiente para sustentar esa reducción y si resultaría eficiente efectuar pruebas adicionales de controles para obtener dicha evidencia. 05. El auditor utiliza los conocimientos derivados de su entendimiento de la estructura de control interno y del nivel determinado del riesgo de control para determinar la naturaleza, oportunidad y alcance de las pruebas sustantivas para las afirmaciones contenidas en los estados financieros. Además, el auditor debe identificar y comunicar «condiciones a informar» al comité de auditoría según los lineamientos de esta Sección en los párrafos 01 al 18 de la Sección 325. Elementos de una Estructura de Control Interno 06. La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar un nivel razonable de seguridad que los objetivos específicos de la entidad pueden alcanzarse. Pese a que la estructura de control interno puede incluir una amplia variedad de objetivos y políticas y procedimientos relacionados, sólo algunos de ellos pueden ser relevantes para una auditoría de los estados financieros de la entidad. Por lo general, las políticas y procedimientos relevantes para una auditoría, se refieren a la capacidad de la entidad de registrar, procesar, resumir e informar los datos financieros de manera consistente con las afirmaciones incluidas en los estados financieros. Sin embargo, otras políticas y procedimientos pueden ser relevantes si se refieren a datos que emplea el auditor para aplicar los procedimientos de auditoría. Por ejemplo, políticas y procedimientos referentes a datos no financieros que el auditor emplea en procedimientos analíticos, tales como estadísticas de producción, pueden ser relevantes en una auditoría. 07. Por lo general, una entidad tiene políticas y procedimientos en su estructura de control interno que no son relevantes para una auditoría y por lo tanto, no necesitan ser consideradas. Por ejemplo, políticas y procedimientos con relación a la efectividad, economía y eficiencia de ciertos procesos en la toma de decisiones gerenciales, tales como fijar el precio apropiado para sus productos, o la conveniencia de efectuar erogaciones para ciertos proyectos de investigación y desarrollo o publicidad, pueden ser importantes para la entidad, pero no suelen ser relevantes para la auditoría de estados financieros. 08. Para efectos de una auditoría de estados financieros, la estructura de control interno de una entidad está compuesta por los siguientes elementos: - El ambiente de control - El sistema contable - Los procedimientos de control La división de la estructura de control interno en estos tres elementos, facilita la discusión de su naturaleza y la manera en que el auditor la considera en una auditoría. Sin embargo, la consideración primordial del auditor, es si una política o un procedimiento de la estructura de control interno afecta las afirmaciones de los estados financieros, más que su clasificación en alguna categoría en particular. Ambiente de Control 09. El ambiente de control representa el efecto conjunto de varios factores para establecer, incrementar o mitigar la efectividad de procedimientos y políticas específicos. Tales factores incluyen lo siguiente: - La filosofía y estilo de operación de la administración - La estructura organizativa de la entidad - El funcionamiento del directorio y sus comités, en particular el comité de auditoría. - Los métodos de asignación de autoridad y responsabilidad - Los métodos de control gerencial para supervisar y dar seguimiento al desempeño, incluyendo auditoría interna - Políticas y prácticas de personal - Diferentes influencias externas que afectan las operaciones y prácticas de una entidad, como el examen de organismos de control El ambiente de control refleja la actitud, conciencia y acciones del directorio, la administración, los dueños y otros relativos a la importancia del control y su énfasis en la entidad (los factores del ambiente de control se examinan con mayor detalle en el apéndice A, Sección 319). Sistema Contable 10. El sistema contable se compone de los métodos y registros establecidos para identificar, reunir, analizar, clasificar, registrar e informar las transacciones de la entidad, así como rendir cuentas de los activos y pasivos que les son relativos. Un sistema contable efectivo debería establecer métodos y registros que: - Identifiquen y registren todas las transacciones válidas - Describan oportunamente todas las transacciones con suficiente detalle para permitir su adecuada clasificación en la información financiera - Cuantifiquen el valor de las operaciones de modo que se registre su valor monetario adecuado en los estados financieros - Determinen el período en que las transacciones ocurren, permitiendo registrarlas en el período contable apropiado - Presenten debidamente las transacciones y sus correspondientes revelaciones en los estados financieros Procedimientos de Control 11. Los procedimientos de control son aquellos procedimientos y políticas adicionales al ambiente de control y al sistema contable, establecidos por la administración para proporcionar un nivel razonable de seguridad con el fin de alcanzar los objetivos específicos de la entidad. Los procedimientos de control tienen diferentes objetivos y se aplican a diferentes niveles de la organización y de procesamiento de datos. Asimismo, pueden integrarse a componentes específicos del ambiente de control y del sistema contable. Por lo general, pueden catalogarse como procedimientos que permitan: - Autorizar adecuadamente transacciones y actividades. - Segregar funciones de manera que disminuyan las oportunidades a cualquier persona de perpetrar u ocultar errores o irregularidades en el curso normal de sus funciones, asignando a diferentes personas las responsabilidades de autorizar y registrar las transacciones y de custodiar los activos. - Diseñar y usar los documentos y registros apropiados con el fin de asegurar el registro adecuado de transacciones y hechos, tales como vigilar el uso de documentos prenumerados. - Colocar y mantener dispositivos de seguridad adecuados sobre el acceso y uso de activos y registros, tales como instalaciones adecuadas y autorización para accesar a los programas de computación y a los archivos de datos. - Verificar en forma independiente el registro y valuación adecuada de las cifras contabilizadas, tales como controles administrativos, conciliaciones, comparación de activos con la información contabilizada, controles programados de computación, revisión gerencial de informes que resumen el detalle de saldos contables (por ejemplo, un listado por antigüedad de saldos de cuentas por cobrar) y revisión por los usuarios de informes generados por sistemas de computación. Consideraciones Generales 12. El campo de aplicación y la importancia de factores específicos del ambiente de control, métodos y registros del sistema contable y procedimientos de control que establezca una entidad, deberán considerarse dentro del contexto de: - El tamaño de la entidad - Sus características de organización y propiedad - La naturaleza del negocio - La diversidad y complejidad de sus operaciones - Los métodos empleados para procesar datos - Los requerimientos legales y regulatorios Por ejemplo un manual de políticas formal y escrito o una estructura de organización que dispone formalmente la delegación de autoridad, puede ser importante para el ambiente de control de una entidad grande. Sin embargo, una entidad pequeña con una participación efectiva de su dueño/gerente, tal vez no requiera de un manual o una estructura organizacional formalizada. En forma similar, una entidad pequeña con una participación efectiva del dueño/gerente puede no necesitar de procedimientos contables detallados, ni de registros contables complejos o procedimientos de control formales, tales como una política de créditos formal, política sobre la seguridad de la información o procedimientos para cotizaciones competitivas. 13. Establecer y mantener una estructura de control interno es una responsabilidad administrativa importante. Para proporcionar un nivel razonable de seguridad que se alcanzarán los objetivos de una entidad, la administración deberá vigilar de modo constante la estructura de control interno para determinar que opera debidamente y que se modifica adecuadamente según los cambios en las condiciones. 14. El concepto del nivel razonable de seguridad admite que el costo de la estructura de control interno de una entidad no deberá exceder los beneficios que se espera de ella. Pese a que la relación costo-beneficio es un criterio básico a considerar en el diseño de una estructura de control interno, no suele ser posible cuantificar con precisión los costos y los beneficios. Por consiguiente, la administración efectúa estimaciones y juicios cuantitativos y cualitativos para evaluar la relación costo-beneficio. 15. La efectividad potencial de la estructura de control interno de una entidad está sujeta a limitaciones inherentes. Errores en la aplicación de políticas y procedimientos, podrán derivarse de causas tales como instrucciones mal entendidas, errores de juicio y el descuido, distracción o fatiga de las personas. Además, los procedimientos y políticas que requieren segregación de funciones, podrán ser sobrepasadas mediante la colusión entre personas dentro y fuera de la entidad, o si la administración hace caso omiso de ciertas políticas y procedimientos. Consideración de la Estructura de Control Interno al Planificar una Auditoría 16. El auditor deberá adquirir una comprensión suficiente de cada uno de los tres elementos de la estructura de control interno de una entidad para planificar la auditoría de sus estados financieros. Esa comprensión deberá incluir conocimientos sobre el diseño de políticas, procedimientos y registros relevantes y en qué medida la entidad los ha puesto en operación. Al planificar la auditoría, tales conocimientos deberán emplearse para: - Identificar tipos de errores potenciales - Considerar los factores que afectan el riesgo de errores significativos - Diseñar pruebas sustantivas 17. El hecho de que una política o un procedimiento de la estructura de control interno se haya puesto en operación, es diferente a que esté operando en forma efectiva. Al obtener los conocimientos acerca de si se han puesto en operación las políticas, los procedimientos o los registros, el auditor determina si la entidad los usa. Por otra parte, si están operando en forma efectiva trata de la manera en que se ha aplicado la política, el procedimiento o el registro, la uniformidad en su aplicación, y quien lo haya efectuado. Esta Norma no requiere que el auditor obtenga conocimientos sobre la operación en forma efectiva como parte de su comprensión de la estructura de control interno. 18. En ocasiones la comprensión del auditor de la estructura de control interno, podrá derivar en dudas acerca de la posibilidad de auditar los estados financieros de una entidad. Las preocupaciones por la integridad de la administración podrán ser tan graves, que lleven al auditor a la conclusión que el riesgo de afirmaciones incorrectas por parte de la administración en los estados financieros es tan grande, que no se puede seguir practicando la auditoría. Las preocupaciones por la naturaleza y detalle de los registros de una entidad, podrán llevar al auditor a la conclusión que no es probable que consiga evidencia apropiada y suficiente para respaldar una opinión sobre los estados financieros. Comprensión de la Estructura de Control Interno 19. Al emitir un juicio basado en la comprensión de la estructura de control interno necesaria para planificar la auditoría, el auditor considera los conocimientos obtenidos de otras fuentes, acerca de los tipos de errores que podrían ocurrir, el riesgo de que tales errores ocurran y los factores que influyen en el diseño de pruebas sustantivas. Otras fuentes de tales conocimientos pueden ser auditorías anteriores y la comprensión de la industria en donde opera la entidad. El auditor considera asimismo sus evaluaciones de riesgo inherente, sus juicios sobre la significatividad y la complejidad y sofisticación de las operaciones y los sistemas de la entidad, incluyendo si el método de controlar el procesamiento de datos se basa en procedimientos manuales independientes del computador o si depende en gran medida de los controles computarizados. Conforme las operaciones y sistemas de la entidad se vuelven más complejos y sofisticados, podrá ser necesario dedicar más atención a los elementos de la estructura de control interno, para obtener de ellos la comprensión necesaria para diseñar pruebas sustantivas efectivas. Por ejemplo, al auditar préstamos vencidos de una institución financiera que usa informes producidos en computadoras sobre tales préstamos, tal vez el auditor no pueda diseñar las pruebas sustantivas adecuadas sin antes tener el conocimiento de los procedimientos de control específicos relativos a la integridad y clasificación de los préstamos. Comprensión del Ambiente de Control 20. El auditor deberá obtener conocimientos suficientes sobre el ambiente de control, para poder entender la actitud, conciencia y acciones de la administración y del directorio con respecto al ambiente de control. El auditor deberá fijarse en el contenido de las políticas, procedimientos y acciones afines de la administración, más que en su forma, porque la administración podrá establecer políticas y procedimientos apropiados, pero no llevarlos a cabo. Por ejemplo, un sistema de información presupuestario podrá proporcionar los informes adecuados, pero estos informes pueden ser analizados y no actuar sobre ellos. Igualmente, la administración puede establecer un manual de políticas, pero actuar de una manera que acepte violaciones de esas políticas. Comprensión del Sistema Contable 21. El auditor deberá obtener los conocimientos suficientes del sistema contable para entender: - Las clases de transacciones incluidas en las operaciones de la entidad que son significativas para los estados financieros. - Cómo se inician esas transacciones - Los registros contables, documentación de respaldo, información producida y las cuentas específicas en los estados financieros, incluyendo como se usa el computador para procesar los datos - El proceso empleado para preparar los estados financieros de la entidad, incluyendo las estimaciones y revelaciones contables importantes Comprensión de los Procedimientos de Control 22. Puesto que algunos procedimientos de control se integran en componentes específicos del ambiente de control y del sistema contable, conforme el auditor obtiene una comprensión del ambiente de control y del sistema contable, probablemente obtenga conocimiento sobre algunos procedimientos de control. Por ejemplo, al obtener una comprensión de los documentos, registros y etapas de procesamiento en el sistema contable que corresponden a tesorería, el auditor probablemente observe si las cuentas bancarias están conciliadas. El auditor deberá considerar los conocimientos sobre la presencia o ausencia de procedimientos de control, obtenidos de la comprensión del ambiente de control y del sistema contable, para determinar si hace falta dedicar más tiempo a obtener una comprensión de los procedimientos de control al planificar la auditoría. Usualmente, planificar la auditoría no requiere la comprensión de los procedimientos de control relacionados con cada saldo de cuenta, clase de transacción y revelación en los estados financieros, o con cada afirmación relevante a esos componentes. Procedimientos para Obtener la Comprensión 23. Para obtener una comprensión de las políticas y los procedimientos de la estructura de control interno relevantes a la planificación de la auditoría, el auditor deberá efectuar procedimientos que le proporcionen los conocimientos suficientes sobre el diseño de las políticas, los procedimientos y los registros correspondientes a cada uno de los tres elementos de la estructura de control interno y si los mismos están operando. Estos conocimientos se suelen obtener a través de experiencias anteriores con la entidad y de procedimientos tales como: (a) indagaciones al personal gerencial apropiado, supervisores o administrativos, (b) inspección de los documentos y registros de la entidad y (c) observación de las actividades y operaciones de la entidad. La naturaleza y alcance de los procedimientos efectuados, suele variar de una entidad a otra y dependen: (a) el tamaño y la complejidad de ella, (b) las experiencias anteriores del auditor con la entidad, (c) la naturaleza de la política o el procedimiento en particular, y (d) la naturaleza de la documentación por parte de la entidad de las políticas y procedimientos específicos. 24. Por ejemplo, la experiencia anterior del auditor con la entidad podrá proporcionar una comprensión de sus clases de transacciones. Indagaciones al personal de la entidad apropiado y la inspección de documentos y registros, tales como documentos fuente y libros de contabilidad podrán proporcionar una comprensión de los registros contables diseñados para procesar esas transacciones y ver si se han puesto efectivamente en uso. De modo similar, al obtener una comprensión del diseño de los procedimientos de control programados en el computador y al ver si se han puesto en operación, el auditor podrá hacer averiguaciones con el personal de la entidad apropiado e inspeccionar la documentación del sistema relevante, para comprender el procedimiento de control diseñado y poder inspeccionar los informes de excepción generados como resultado de tales procedimientos de control, para determinar que ellos están operando. 25. Las determinaciones del auditor del riesgo inherente y de su juicio sobre la importancia relativa para varios saldos de cuentas y clases de transacciones, afectan asimismo la naturaleza y el alcance de los procedimientos efectuados para obtener la comprensión. Por ejemplo, el auditor podrá concluir que la planificación de la auditoría de la cuenta de seguros pagados por anticipado no requiere de procedimientos específicos para obtener la comprensión de la estructura de control interno. Documentación de la Comprensión 26. El auditor deberá documentar la comprensión obtenida de los elementos de la estructura de control interno de la entidad para planificar la auditoría. La forma y alcance de esta documentación depende del tamaño y la complejidad de la entidad, así como de la naturaleza de la estructura de control interno de la misma. Por ejemplo, la documentación de la comprensión de la estructura de control interno de una entidad grande y compleja, podrá incluir diagramas de flujo, cuestionarios o tablas de decisiones. Sin embargo, para una entidad pequeña, la documentación en forma de un memorándum, podrá ser suficiente. Por lo general, cuando más compleja sea la estructura de control interno y más extensos los procedimientos efectuados, más extensa deberá ser la documentación del auditor. Consideración de la Estructura de Control Interno al Determinar el Riesgo de Control 27. Las normas de auditoría establecen que la mayor parte del trabajo del auditor independiente, para formarse una opinión sobre los estados financieros, consiste en obtener y evaluar evidencia relativa a las afirmaciones contenidas en tales estados financieros. Estas afirmaciones están incorporadas en los saldos de cuentas, tipos de transacciones y revelaciones de los estados financieros, y se clasifican según las siguientes categorías generales: - Existencia u ocurrencia - Integridad - Derechos y obligaciones - Valuación o asignación - Presentación y exposición Al planificar y realizar una auditoría, el auditor considera estas afirmaciones dentro del contexto de su relación con un saldo de cuenta o tipos de transacciones específicas. 28. El riesgo que existan errores significativos en las afirmaciones de los estados financieros, se compone del riesgo inherente, riesgo de control y riesgo de detección. El riesgo inherente representa la susceptibilidad de que una afirmación de los estados financieros contenga un error significativo, asumiendo que no hay políticas y procedimientos del sistema de control interno relacionados. El riesgo de control es el riesgo que un error significativo que podría existir en una afirmación de los estados financieros, no sea prevenido o detectado en forma oportuna por las políticas y procedimientos del sistema de control interno de la entidad. El riesgo de detección es el riesgo que el auditor no detecte un error material en una afirmación de los estados financieros. 29. La determinación del riesgo de control es el proceso de evaluar la efectividad de los procedimientos y políticas de la estructura de control interno de una entidad para evitar o detectar errores significativos en los estados financieros. El riesgo de control se deberá establecer en función de las afirmaciones de los estados financieros. Después de obtener la comprensión de la estructura de control interno, el auditor podrá determinar el riesgo de control a nivel máximo, para algunos o todas las afirmaciones, porque estima que los procedimientos y políticas de control probablemente no sean apropiados para una afirmación, no sean efectivos, o porque resultaría ineficiente evaluar su efectividad. 30. Determinar el riesgo de control por debajo del nivel máximo implica: - Identificar los procedimientos y políticas de la estructura de control interno relacionados con afirmaciones específicas, que probablemente eviten o detecten errores significativos en esas afirmaciones - Realizar pruebas de los controles para evaluar la efectividad de tales procedimientos y políticas 31. Al identificar los procedimientos y políticas de la estructura de control interno relevantes a afirmaciones específicas de los estados financieros, el auditor deberá considerar que los procedimientos y políticas, podrán tener un efecto extensivo sobre muchas afirmaciones o un efecto específico sobre una afirmación individual, dependiendo de la naturaleza del elemento de la estructura de control interno en particular. El ambiente de control y el sistema contable, suelen tener un efecto extensivo sobre varios saldos de cuenta o tipo de transacción y, por lo tanto, pueden afectar muchas afirmaciones. Por ejemplo, la conclusión de que el ambiente de control de una entidad sea muy efectivo, podrá influir en la decisión del auditor sobre el número de localidades de la entidad donde se realizarán los procedimientos de auditoría o si se deben efectuar ciertos procedimientos de auditoría para algunos saldos de cuenta o tipo de transacción a una fecha intermedia. Cualesquiera de esas decisiones, afecta la manera en que se aplican los procedimientos de auditoría a las afirmaciones específicas, aún cuando el auditor tal vez no haya considerado específicamente cada afirmación individual afectada por tales decisiones. 32. De este modo, algunos procedimientos de control a menudo tienen un efecto específico sobre una afirmación individual en un saldo o tipo de transacción particular. Por ejemplo, los procedimientos de control que una entidad establece para asegurar que su personal está registrando apropiadamente el inventario físico anual está relacionado directamente con la afirmación de existencia para la cuenta inventario del balance. 33. Las políticas y los procedimientos de la estructura de control interno pueden estar directa o indirectamente relacionados con una afirmación. Cuanto más indirecta sea la relación, menos efectiva será esa política o procedimiento para reducir los riesgos de control para la afirmación. Por ejemplo, la revisión de un gerente de ventas del resumen de la actividad de venta por tienda específica por región, comúnmente está relacionada indirectamente a la afirmación de integridad de los ingresos por venta. Por lo general, será menos efectivo en reducir los riesgos de control de la afirmación que las políticas y procedimientos relacionados más directamente a esa afirmación, para cotejar los documentos de despacho contra las facturas. 34. Los procedimientos que están dirigidos tanto a la efectividad del diseño o la operación de las políticas y procedimientos de la estructura de control interno se denominan pruebas de controles. Las pruebas de controles dirigidas hacia la efectividad del diseño de las políticas o procedimientos de la estructura de control interno se relacionan con que, ya sea la política o el procedimiento, está diseñado apropiadamente para prevenir o detectar errores significativos en afirmaciones específicas de los estados financieros. Las pruebas para obtener esa evidencia comúnmente incluyen procedimientos como indagaciones al personal apropiado de la entidad, inspección de documentos e informes y observación de la aplicación de políticas y procedimientos de la estructura de control interno específicos. Para las entidades con una estructura de control interno compleja, el auditor debería considerar que el uso de flujogramas, cuestionarios o tablas de decisiones podrían facilitar la aplicación de las pruebas de diseño. 35. Las pruebas de controles dirigidas a comprobar la operación en forma efectiva de las políticas o procedimientos de la estructura de un control interno están relacionadas con cómo la política o el procedimiento fueron aplicados, la uniformidad con que fueron aplicados durante el período auditado, y por quién fueron aplicados. Estas pruebas comúnmente incluyen procedimientos como indagaciones al personal apropiado de la entidad, inspección de documentos e informes, indicando el desempeño de la política o procedimiento, observación de la aplicación de la política o procedimiento, y reprocesamiento de la aplicación de la política o procedimiento por el auditor. En algunas circunstancias un procedimiento específico puede estar dirigido a la efectividad de ambos, diseño y operación. Sin embargo, una combinación de procedimientos puede ser necesaria para evaluar la efectividad del diseño u operación de las políticas o procedimientos de una estructura de control interno. 36. La conclusión a que se llega como resultado de la determinación del riesgo de control, se denomina «nivel determinado del riesgo de control». Al determinar la evidencia necesaria, para amparar un nivel específico del riesgo de control establecido por debajo del nivel máximo, el auditor deberá considerar las características de la evidencia sobre el riesgo de control, mencionada en los párrafos 46 a 60. Sin embargo, por lo general entre más bajo es el nivel determinado del riesgo de control, mayor será la seguridad que debe proporcionar la evidencia comprobatoria con respecto a que los procedimientos y políticas de la estructura de control interno, relevantes a una afirmación, estén diseñados y operando efectivamente. 37. El auditor emplea el nivel determinado de riesgo de control (junto con el nivel determinado de riesgo inherente) para determinar el nivel aceptable de riesgo de detección, para las afirmaciones de los estados financieros. El auditor emplea el nivel de riesgo de detección aceptable, para determinar la naturaleza, oportunidad y alcance de los procedimientos de auditoría que se emplearán, para detectar los errores significativos en las afirmaciones de los estados financieros. El procedimiento diseñado para detectar tales errores se denomina prueba sustantiva. 38. Conforme disminuye el nivel aceptable de riesgo de detección, deberá aumentar la seguridad derivada de las pruebas sustantivas. En consecuencia, el auditor podrá tomar una o más de las siguientes medidas: - Cambiar la naturaleza de las pruebas sustantivas de un procedimiento menos efectivo a uno más efectivo, tal como emplear pruebas dirigidas a partes independientes ajenas a la entidad, en lugar de pruebas dirigidas a partes o documentación dentro de la entidad - Cambiar la oportunidad de las pruebas sustantivas. Como ejemplo, efectuarlas al cierre, en lugar de una fecha intermedia - Cambiar el alcance de las pruebas sustantivas. Por ejemplo, usar un tamaño de muestra más grande Documentación del Nivel Determinado del Riesgo de Control 39. Además de la documentación de la comprensión de la estructura de control interno examinada en el párrafo 26, el auditor deberá documentar la base para sus conclusiones acerca del nivel determinado de riesgo de control. Esas conclusiones podrán diferir en cuanto a su relación con diversos saldos de cuentas o clases de transacción. Sin embargo, para aquellas afirmaciones de los estados financieros donde el riesgo de control se determina al nivel máximo, el auditor deberá documentar su conclusión de que el riesgo de control se encuentra al nivel máximo, pero no tiene que documentar la base para esa conclusión. Para aquellas afirmaciones donde el nivel determinado de riesgo de control se encuentra por debajo del nivel máximo, el auditor deberá documentar la base para su conclusión de que la efectividad del diseño y de la operación de los procedimientos y políticas de la estructura de control interno soporta ese nivel determinado. La naturaleza y alcance de la documentación del auditor, se ven influidos por el nivel determinado de riesgo de control empleado, la naturaleza de la estructura de control interno de la entidad, y la naturaleza de la documentación de la entidad sobre su estructura de control interno. Relación entre la Comprensión y la Determinación del Riesgo de Control 40. No obstante, que se examinan por separado en esta Norma, la comprensión de la estructura de control interno y la determinación del riesgo de control, en una auditoría se podrán efectuar simultáneamente. El objetivo de los procedimientos efectuados para obtener una comprensión de la estructura de control interno, (examinada en los párrafos 23 al 25) es proporcionar al auditor los conocimientos necesarios para planificar la auditoría. El objetivo de las pruebas de los controles (examinado en los párrafos 34 al 35) es proporcionar al auditor la evidencia comprobatoria para ser usado en la determinación del riesgo de control. Sin embargo, los procedimientos efectuados para lograr un objetivo, podrán asimismo alcanzar el otro objetivo. 41. A base del nivel determinado de riesgo de control, que el auditor espera respaldar y las consideraciones de eficiencia en la auditoría, el auditor suele planificar la realización de algunas pruebas de controles simultáneamente con la obtención de la comprensión de la estructura de control interno. Además, no obstante que algunos de los procedimientos efectuados para obtener la comprensión, tal vez no se hayan planificado específicamente como pruebas de controles, podrán asimismo, proporcionar evidencia sobre la efectividad tanto del diseño, como de la operación de los procedimientos y políticas relevantes a ciertas afirmaciones y, en consecuencia, servir como pruebas de controles. Por ejemplo, al obtener una comprensión del ambiente de control, el auditor puede haber hecho averiguaciones acerca del uso por parte de la administración de los presupuestos, observado la comparación efectuada por la administración de los gastos mensuales presupuestados con los reales, e inspeccionando informes relacionados con la investigación de variaciones entre las cifras presupuestadas y reales. No obstante, que estos procedimientos proporcionan más conocimientos acerca del diseño de las políticas presupuestarias de la entidad, que se han puesto en marcha, podrán asimismo proporcionar evidencia comprobatoria acerca de la efectividad del diseño y la operación de las políticas presupuestarias para evitar o detectar errores significativos en la clasificación de gastos. En algunas circunstancias, esa evidencia comprobatoria podrá ser suficiente para alcanzar un nivel evaluado de riesgo de control, que esté por debajo del nivel máximo para las afirmaciones de presentación y exposición relativas a gastos en el estado de resultados. 42. Cuando el auditor llega a la conclusión que los procedimientos efectuados para obtener la comprensión de la estructura de control interno, proporcionan asimismo evidencia comprobatoria para establecer el riesgo de control, el auditor deberá considerar lo indicado en los párrafos 46 al 60, para juzgar el grado de seguridad proporcionado por esa evidencia comprobatoria. Pese a que tal evidencia comprobatoria no proporcione la seguridad suficiente para alcanzar un nivel determinado de riesgo de control que está por debajo del nivel máximo para ciertas afirmaciones, tal vez sirva para otras afirmaciones proporcionando una base para modificar la naturaleza, oportunidad o alcance de las pruebas sustantivas que el auditor llegue a planificar para esas afirmaciones. Sin embargo, tales procedimientos no son suficientes para alcanzar un nivel determinado de riesgo de control por debajo del nivel máximo, si no proporcionan la suficiente evidencia comprobatoria para evaluar la efectividad tanto del diseño como de la operación de un procedimiento o política relevante a una afirmación. Disminución en el Nivel Determinado del Riesgo de Control 43. Tras obtener la comprensión de la estructura de control interno y determinar el riesgo de control, el auditor tal vez quiera obtener una disminución en el nivel determinado del riesgo de control, para ciertas afirmaciones. En esos casos, el auditor considera si será probable obtener evidencia comprobatoria suficiente para alcanzar esta disminución y si resultará eficiente efectuar pruebas de controles para obtener esa evidencia comprobatoria. Los resultados de los procedimientos efectuados para obtener la comprensión de la estructura de control interno, así como la información relevante proveniente de otras fuentes, ayudarán al auditor a evaluar esos dos factores. 44. Al considerar la eficiencia, el auditor reconoce que una mayor evidencia comprobatoria que alcance una disminución en el nivel determinado del riesgo de control para una afirmación, daría como resultado menos esfuerzo de auditoría para las pruebas sustantivas de esa afirmación. El auditor pondera el aumento en el esfuerzo de auditoría relacionado con las otras pruebas de controles necesarias para obtener tal evidencia comprobatoria, contra la disminución resultante en el esfuerzo de auditoría relacionado con la reducción en las pruebas sustantivas. Cuando el auditor llega a la conclusión de que resultaría ineficiente obtener más evidencia comprobatoria para afirmaciones específicas, el auditor emplea el nivel determinado de riesgo de control en base a la comprensión de la estructura de control interno, para planificar las pruebas sustantivas para esas afirmaciones. 45. Para aquellas afirmaciones donde el auditor efectúa pruebas adicionales de controles, el auditor establece el nivel determinado de riesgo de control que los resultados de esas pruebas alcanzarían. Ese nivel determinado del riesgo de control, se emplea para establecer el riesgo de detección apropiado, aceptable para esas afirmaciones y, por consiguiente, para determinar la naturaleza, oportunidad y alcance de las pruebas sustantivas para tales afirmaciones. Evidencia Comprobatoria para Sustentar el Nivel Determinado de Riesgo de Control 46. Cuando el auditor determina el riesgo de control por debajo del nivel máximo, deberá obtener la evidencia comprobatoria suficiente para sustentar un nivel evaluado de riesgo de control específico, es un asunto de criterio de auditoría. La evidencia comprobatoria varía sustancialmente en cuanto a la seguridad que proporciona al auditor, conforme éste desarrolla la determinación del nivel de riesgo de control. El tipo de evidencia comprobatoria, su fuente, su oportunidad, así la existencia de otra evidencia comprobatoria relacionada con las conclusiones a que conduce, tienen su efecto sobre el grado de seguridad que proporciona la evidencia comprobatoria. 47. Estas características influyen en la naturaleza, oportunidad, y alcance de las pruebas de controles que el auditor aplica para obtener evidencia comprobatoria sobre el riesgo de control. El auditor selecciona tales pruebas de entre una variedad de técnicas, tales como indagación, observación, inspección y reprocesamiento de un procedimiento o política relativa a una afirmación. No existe una prueba de controles específica ni necesaria, aplicable o igualmente efectiva en toda circunstancia. Tipo de Evidencia Comprobatoria 48. La naturaleza de los procedimientos o políticas relativos a una afirmación, influye en el tipo de evidencia comprobatoria disponible para evaluar la efectividad del diseño u operación de esos procedimientos y políticas. Para algunas políticas y procedimientos, podrá existir la documentación del diseño u operación. En tales circunstancias, el auditor podrá decidir inspeccionar la documentación para obtener evidencia comprobatoria sobre la efectividad del diseño u operación. 49. Sin embargo, para otros procedimientos y políticas, tal vez esa documentación no esté disponible o no sea relevante. Por ejemplo, la documentación del diseño u operación tal vez no exista para algunos factores del ambiente de control, como la asignación de autoridad y responsabilidad, o para algunos tipos de procedimientos de control, como segregación de funciones, o algunos tipos de procedimientos de control, como segregación de funciones, o algunos procedimientos efectuados por una computadora. En esas circunstancias, la evidencia comprobatoria sobre la efectividad del diseño u operación, podrá obtenerse mediante la observación o el empleo de técnicas de auditoría asistidas por computador para reprocesar la aplicación de los procedimientos y políticas relevantes. Fuente de Evidencia Comprobatoria 50. Por lo general, la evidencia comprobatoria sobre la efectividad del diseño y operación de los procedimientos y políticas, obtenida directamente por el auditor, por ejemplo a través de la observación, proporciona más seguridad que la obtenida indirectamente o por suposición, como a través de averiguaciones. Por ejemplo, la evidencia comprobatoria sobre la debida segregación de funciones, obtenida mediante la observación personal por parte del auditor, de la persona que aplica el procedimiento de control, suele proporcionar más seguridad que hacer averiguaciones con respecto a esa persona. Sin embargo, el auditor deberá considerar que la aplicación observada de un procedimiento o política, tal vez no se realice de la misma manera cuando no está presente el auditor. 51. Por lo general, la sola averiguación no proporciona la suficiente evidencia comprobatoria para apoyar una conclusión sobre la efectividad del diseño u operación de un procedimiento de control específico. Cuando el auditor determina que un procedimiento de control específico podrá tener un efecto significativo en la reducción del riesgo de control a un nivel bajo para una afirmación específica, normalmente tendrá que efectuar pruebas adicionales para obtener la evidencia comprobatoria suficiente para sustentar la conclusión sobre la efectividad del diseño u operación del procedimiento de control. Oportunidad de la Evidencia Comprobatoria 52. La oportunidad de la evidencia comprobatoria se refiere a cuándo ésta se obtuvo y la parte cubierta del período de la auditoría a que se aplica. Al evaluar el grado de seguridad proporcionado por la evidencia comprobatoria, el auditor deberá considerar que la evidencia comprobatoria obtenida mediante algunas pruebas de controles, tales como la observación, se refiere sólo al momento en que se aplicó el procedimiento de auditoría. En consecuencia, tal evidencia comprobatoria podrá resultar insuficiente para evaluar la efectividad del diseño u operación de los procedimientos y políticas de la estructura de control interno, para períodos no sometidos a esas pruebas. En esas circunstancias, el auditor podrá decidir complementar esas pruebas, con otras pruebas de controles que pueden proporcionar la evidencia comprobatoria sobre todo el período de la auditoría. Por ejemplo, para un procedimiento de control efectuado por un programa de computación, el auditor podrá comprobar la operación del control en un momento dado para obtener la evidencia comprobatoria de si el programa ejecuta con efectividad el control. El auditor podrá luego efectuar pruebas de controles dirigidas al diseño y operación de otros procedimientos de control, referentes a la modificación y uso de ese programa de computación para obtener evidencias comprobatorias sobre si el procedimiento de control programado operó uniformemente durante el período de la auditoría. 53. La evidencia comprobatoria sobre el diseño u operación efectivo de los procedimientos y políticas de la estructura de control interno, obtenido en auditorías anteriores, podrá considerarse en la determinación del riesgo de control para la auditoría actual. Para evaluar el uso de tal evidencia comprobatoria para la auditoría actual, el auditor deberá considerar la importancia de la afirmación en cuestión, los procedimientos y políticas específicos de la estructura de control interno evaluados durante auditorías anteriores, el grado en que fueron evaluados el diseño y la operación efectiva de esos procedimientos y políticas, los resultados de las pruebas de los controles empleados para hacer esas evaluaciones, y la evidencia comprobatoria acerca del diseño u operación que pudiera resultar de las pruebas sustantivas efectuadas en la auditoría actual. El auditor deberá considerar asimismo, que entre más tiempo haya pasado desde que se efectuaron las pruebas de controles para obtener la evidencia comprobatoria sobre el riesgo de control, menor será la seguridad que pueden proporcionar. 54. Al considerar la evidencia comprobatoria obtenida de auditorías anteriores, el auditor deberá obtener evidencia comprobatoria en el período actual con respecto a si han ocurrido cambios en la estructura de control interno, incluyendo los procedimientos, políticas, y personal, posteriores, así como la naturaleza y alcance de cualquiera de esos cambios. La consideración de la evidencia comprobatoria sobre estos cambios, junto con las consideraciones descritas en el párrafo anterior, podrán sustentar el aumento o la disminución de la evidencia comprobatoria adicional sobre la efectividad del diseño y operación a obtener en el período actual. 55. Cuando el auditor obtiene evidencia comprobatoria sobre el diseño u operación de los procedimientos y políticas de la estructura de control interno durante un período intermedio, deberá determinar específicamente la evidencia comprobatoria adicional que se debe obtener para el período restante. Al hacer esa determinación, el auditor deberá considerar la importancia del componente en cuestión, los procedimientos y políticas específicos de la estructura de control interno que se evaluaron durante el período intermedio, el grado en que se evaluaron y el diseño y la operación efectiva de esos procedimientos y políticas, los resultados de las pruebas de los controles empleados para hacer esa evaluación, la duración del período restante, y la evidencia comprobatoria sobre el diseño y operación que podrá resultar de las pruebas sustantivas a efectuar en el período restante. El auditor deberá obtener la evidencia comprobatoria sobre la naturaleza y alcance de cualquier cambio importante en la estructura de control interno, incluyendo procedimientos, políticas y personal de la misma, que ocurran con posterioridad al período intermedio. Interrelación de la Evidencia Comprobatoria 56. El auditor deberá considerar el efecto combinado de diferentes tipos de evidencia comprobatoria relativa a la misma afirmación, al evaluar el grado de seguridad que la misma proporciona. En algunas circunstancias, un sólo tipo de evidencia comprobatoria tal vez no baste para evaluar el diseño u operación efectivo del procedimiento o política de la estructura de control interno. Para obtener la suficiente evidencia comprobatoria en tales circunstancias, el auditor podrá efectuar otras pruebas de controles relacionadas con ese procedimiento o política. Por ejemplo, un auditor podrá observar que los programadores no tiene autorización para operar la computadora. Puesto que una observación es pertinente sólo en el momento de hacerla, el auditor podrá complementar la observación mediante averiguaciones sobre la frecuencia y las circunstancias en que los programadores intentaron operar la computadora, para determinar de qué manera tales intentos se pudieron evitar o detectar. 57. Asimismo, al evaluar el grado de seguridad proporcionado por la evidencia comprobatoria, el auditor deberá considerar la interrelación del ambiente de control de una entidad, el sistema contable y los procedimientos de control. No obstante, que un elemento individual de la estructura de control interno puede afectar la naturaleza, la oportunidad o el alcance de las pruebas sustantivas para una afirmación específica de los estados financieros, el auditor deberá considerar la evidencia comprobatoria sobre un elemento individual, en relación a la evidencia comprobatoria sobre los otros elementos, al determinar el riesgo de control para una afirmación específica. 58. Por lo general, cuando varios tipos de evidencia comprobatoria sustentan la misma conclusión acerca del diseño u operación de un procedimiento o política de la estructura de control interno, se aumenta el grado de seguridad proporcionado. Por el contrario, si varios tipos de evidencia comprobatoria conducen a diferentes conclusiones acerca del diseño u operación de un procedimiento o política de la estructura de control interno, se disminuye el grado de seguridad proporcionado. Por ejemplo, a base de la evidencia comprobatoria de que el ambiente de control es efectivo, el auditor podrá haber reducido el número de localidades en donde se efectuarán los procedimientos de control. No obstante, si al evaluar los procedimientos de control específicos el auditor obtiene evidencia comprobatoria de que tales procedimientos son inefectivos, podrá revaluar su conclusión acerca del ambiente de control y, entre otras cosas, decidir si debe efectuar procedimientos de auditoría en localidades adicionales. 59. De modo similar, la evidencia comprobatoria que indica que el ambiente de control es inefectivo, podrá tener efectos adversos sobre un sistema contable o un procedimiento de control efectivo para una afirmación en particular. Por ejemplo, un ambiente de control que probablemente permita cambios no autorizados en un programa de computación, podrá reducir la seguridad proporcionada por la evidencia comprobatoria obtenida al evaluar la efectividad del programa en un momento dado. En esas circunstancias, el auditor podrá decidir si obtendrá o no evidencia comprobatoria adicional. Por ejemplo, el auditor pudiera obtener y controlar una copia del programa y usar técnicas de auditoría con ayuda de la computadora, para comparar esa copia con el programa que usa la entidad para procesar los datos. 60. Una auditoría de estados financieros es un proceso acumulativo; conforme el auditor determina el riesgo de control, la información obtenida podrá llevarlo a modificar la naturaleza, oportunidad o alcance de las otras pruebas de controles planificadas, para determinar el riesgo de control. Además, podrá llegar a sus manos información como resultado de efectuar pruebas sustantivas o de otras fuentes durante la auditoría, que difiera sustancialmente de la información en que basó la planificación de sus pruebas de controles para determinar el riesgo de control. Por ejemplo, el grado de errores que el auditor detecta al efectuar las pruebas sustantivas, podrá alterar su juicio sobre el nivel evaluado del riesgo de control. En esas circunstancias, el auditor tendrá que revaluar los procedimientos sustantivos planificados, a base de una consideración revisada del nivel determinado del riesgo de control, para todas o algunas de las afirmaciones de los estados financieros. Correlación entre el Riesgo de Control y el de Detección 61. El propósito final de evaluar el riesgo de control, es el de contribuir a la determinación del auditor sobre el riesgo de que existan errores significativos en los estados financieros. El proceso de determinar el riesgo de control (junto con evaluar el riesgo inherente) proporciona la evidencia comprobatoria acerca del riesgo de que tales errores puedan existir en los estados financieros. El auditor usa esa evidencia comprobatoria como base para emitir una opinión según la tercera norma relativa a la ejecución del trabajo, contenida en la Sección 326.01 «Evidencia Comprobatoria» dice: «Se obtendrá material de prueba suficiente y competente, por medio de la inspección, observación, indagación y confirmación, para lograr una base razonable y así poder expresar una opinión sobre los estados financieros que se examinan». 62. Después de considerar el nivel al que se quiere limitar el riesgo de errores significativos en los estados financieros y los niveles determinados de riesgo inherente y de control, el auditor efectúa las pruebas sustantivas para reducir el riesgo de detección a un nivel aceptable. Conforme disminuye el nivel determinado del riesgo de control, se aumenta el nivel aceptable de riesgo de detección. Por consiguiente, el auditor podrá modificar la naturaleza, oportunidad y alcance de las pruebas sustantivas a ser ejecutadas. 63. No obstante, que la relación inversa entre el riesgo de control y el de detección puede permitir al auditor cambiar la naturaleza o la oportunidad de las pruebas sustantivas o limitar su alcance, por lo general el nivel determinado del riesgo de control, no podrá disminuirse suficientemente para eliminar la necesidad de efectuar pruebas sustantivas, para reducir el riesgo de detección para todas las afirmaciones relevantes de los saldos de cuenta o tipo de transacciones importantes. En consecuencia, independientemente del nivel determinado del riesgo de control, el auditor deberá efectuar pruebas sustantivas para los saldos de cuenta y tipo de transacción significativos. 64. Las pruebas sustantivas que efectúa el auditor consisten en pruebas de detalle de transacciones y saldos y procedimientos analíticos. Al establecer el riesgo de control, el auditor podrá usar asimismo las pruebas de detalle de transacciones, como pruebas de controles. El objetivo de las pruebas de detalle de transacciones efectuadas como pruebas sustantivas es detectar errores significativos en los estados financieros. El objetivo de las pruebas de detalle de transacciones realizadas como pruebas de controles, es el evaluar si un procedimiento o política de la estructura de control interno ha operado efectivamente. Pese a que los objetivos son diferentes, ambos podrán realizarse concurrentemente al efectuar una prueba de detalle en la misma transacción. El auditor deberá reconocer, sin embargo, que se requiere considerar a fondo tanto el diseño como la evaluación de tales pruebas, para asegurar que se logren ambos objetivos. APÉNDICE A FACTORES DEL AMBIENTE DE CONTROL 1. Este apéndice examina los factores del ambiente de control, identificados en el párrafo 09 de la Sección 319. FILOSOFÍA Y ESTILO DE OPERACIÓN DE LA ADMINISTRACIÓN 2. La filosofía y estilo de operación gerenciales abarca una amplia gama de características, entre otras, las siguientes: el enfoque gerencial para asumir y vigilar los riesgos empresariales; las actitudes y acciones gerenciales con respecto a la información financiera; y el énfasis gerencial sobre el cumplimiento con las metas presupuestarias, de utilidades y de otros objetivos financieros y operativos. Estas características influyen sustancialmente en el ambiente de control, sobre todo cuando una sola o unas cuantas personas dominan la administración, independientemente de la consideración asignada a los otros factores del ambiente de control. ESTRUCTURA ORGANIZATIVA 3. La estructura organizativa de una entidad proporciona el marco general para planificar, dirigir y controlar las operaciones. Una estructura organizativa incluye la consideración de la forma y naturaleza de las unidades organizativas de una entidad, incluyendo la organización del procesamiento de datos, y las respectivas funciones gerenciales y relaciones de información. Además, la estructura organizativa deberá asignar de modo adecuado autoridades y responsabilidades dentro de la entidad. COMITÉ DE AUDITORÍA 4. Un comité de auditoría efectivo, participa activamente en el control de las políticas y prácticas de información contable y financiera de una entidad. El comité deberá ayudar al Directorio a cumplir con sus responsabilidades fiduciarias y contables y a mantener una línea directa de comunicación entre el Directorio y los auditores externos e internos de la entidad. MÉTODOS DE ASIGNACIÓN DE AUTORIDAD Y RESPONSABILIDADES 5. Estos métodos afectan la comprensión de las relaciones y responsabilidades de información establecidas dentro de la entidad. Los métodos de asignar autoridades y responsabilidades incluyen la consideración de: - Las políticas de la entidad con respecto a asuntos tales como prácticas empresariales aceptables, conflictos de intereses y código de conducta. - Asignación de responsabilidad y delegación de autoridad para tratar asuntos tales como metas y objetivos organizacionales, funciones operativas y requerimientos de órganos de control. - Descripciones de cargos de los empleados, delineando las funciones específicas, niveles de dependencias y obligaciones. - Documentación de los sistemas de computación, indicando los procedimientos para autorizar transacciones y aprobar cambios a los sistemas. MÉTODOS DE CONTROL GERENCIAL 6. Estos métodos afectan el control directo por parte de la administración sobre el ejercicio de la autoridad delegada a otros, así como la capacidad de la administración para supervisar efectivamente las actividades de la entidad. Los métodos de control administrativo, incluyen la consideración de: - Establecimiento de sistemas de planificación e información que detallan los planes de la administración y los resultados del desempeño real. Tales sistemas podrán incluir planificación empresarial, presupuestos, pronósticos y planificación de utilidades y contabilidad por centros de responsabilidad. - Establecimiento de los métodos que identifiquen el estado de desempeño real y las excepciones al desempeño planificado, así como comunicarlas a los niveles gerenciales apropiados. - Utilizar tales métodos a los niveles gerenciales apropiados para investigar desviaciones de las expectativas y tomar acciones oportunas y apropiadas. - Establecimiento y vigilancia de políticas para desarrollar y modificar los sistemas contables y los procedimientos de control, incluyendo el desarrollo, modificación y uso de cualquier programa de computación y archivos de datos relacionados. FUNCIÓN DE AUDITORÍA INTERNA 7. La función de auditoría interna se establece en una entidad para examinar y evaluar la suficiencia y efectividad de los procedimientos y políticas de la estructura de control interno. El establecimiento de una efectiva función de auditoría interna, incluye la consideración de sus niveles de autoridad y dependencia, las capacidades de su personal y sus recursos. POLÍTICAS Y PRACTICAS DE PERSONAL 8. Estas políticas y prácticas afectan la capacidad de una entidad para emplear al suficiente personal competente para lograr sus metas y objetivos. Las prácticas y políticas de personal incluyen la consideración de los procedimientos y políticas de una entidad para contratar, capacitar, evaluar, promover y compensar a los empleados, así como proporcionarles los recursos necesarios para cumplir con sus responsabilidades asignadas. INFLUENCIAS EXTERNAS 9. Son las influencias establecidas y ejercidas por partes ajenas a la entidad y que afectan las operaciones y prácticas de la entidad. Incluyen los requisitos de vigilancia y cumplimiento impuestos por organismos legislativos y reguladores, tales como exámenes efectuados por los organismos reguladores bancarios. Incluyen asimismo, revisión y seguimiento con respecto a las acciones de la entidad, efectuados por partes ajenas a la misma. Las influencias externas suelen estar fuera de la auditoría de la entidad. Sin embargo, tales influencias podrán aumentar la conciencia y actitud de la administración hacia la conducción e información sobre las operaciones de una entidad y hacer que establezca procedimientos o políticas específicos para la estructura de control interno. APÉNDICE B GLOSARIO DE TÉRMINOS Y CONCEPTOS SELECCIONADOS Afirmaciones: Las manifestaciones gerenciales incluidas en los saldos de cuenta, clases de transacciones y revelaciones en los estados financieros. Abarcan (1) existencia u ocurrencia, (2) integridad, (3) derechos y obligaciones, (4) valuación o asignación, y (5) presentación y exposición. Ambiente de control: El efecto conjunto de varios factores para establecer, mejorar o mitigar la efectividad de los procedimientos y políticas específicas. Tales factores incluyen (1) filosofía y estilo de operación de la administración, (2) estructura organizativa, (3) función del directorio y sus comités, (4) métodos para asignar autoridad y responsabilidad, (5) métodos de control gerencial, (6) la función de auditoría interna, (7) políticas y prácticas del personal, y (8) influencias externas sobre la entidad. Comprensión de la estructura de control interno: El conocimiento del ambiente de control, sistema contable y procedimientos de control que el auditor cree necesario para planificar la auditoría. Condiciones a informar: Los asuntos que llaman la atención del auditor y que en su opinión se deben comunicar al comité de auditoría, el consejo de administración, el dueño de la empresa o a quienes hayan contratado al auditor, ya que representan importantes deficiencias en el diseño u operación de la estructura del control interno, que podrían afectar negativamente, la capacidad de la organización para registrar, procesar, resumir y reportar información financiera uniforme con las afirmaciones de la administración en los estados financieros. Determinar el riesgo de control: El proceso de establecer la efectividad de los procedimientos y políticas de la estructura de control interno de una entidad, para evitar o detectar errores en las afirmaciones de los estados financieros. Efectividad en la operación: La manera en que se aplicó un procedimiento o política de la estructura de control interno, la uniformidad de su aplicación y la persona que lo haya aplicado. Estructura de control interno: Los procedimientos y políticas establecidos para proporcionar una seguridad razonable de alcanzar los objetivos específicos de la entidad. Nivel determinado de riesgo de control: El nivel de riesgo de control que usa el auditor para determinar el riesgo de detección aceptable para una afirmación de los estados financieros y, por consiguiente, para determinar la naturaleza, oportunidad y alcance de las pruebas sustantivas. Este nivel podrá variar en una escala de máximo y mínimo a medida que el auditor haya obtenido la evidencia comprobatoria para sustentar ese nivel. Nivel máximo de riesgo de control: La mayor probabilidad que un error significativo pueda ocurrir en una afirmación de los estados financieros y no sea evitada ni detectada oportunamente por medio de la estructura de control interno de una entidad. Procedimientos de control: Los procedimientos y políticas adicionales al ambiente de control y al sistema contable establecidos por la administración, para proporcionar una seguridad razonable de lograr los objetivos específicos de la entidad. Procedimientos y políticas de la estructura de control interno relevantes para la auditoría: Los procedimientos y políticas en la estructura de control interno de una entidad, que se refieren a la capacidad de la entidad para registrar, procesar, resumir e informar los datos financieros, de modo uniforme con las afirmaciones de la administración incluidas en los estados financieros, o que se refieren a los datos que usa el auditor para aplicar los procedimientos de auditoría a los componentes de los estados financieros. Pruebas de controles: Pruebas dirigidas al diseño u operación de un procedimiento o política de la estructura de control interno, para evaluar su efectividad en evitar o detectar errores significativos en una afirmación de los estados financieros. Pruebas sustantivas: Las pruebas de detalle y procedimientos analíticos efectuados para detectar errores significativos incluidos en los componentes del saldo de una cuenta, clase de transacción y exposición de los estados financieros. Puesto en operación: El uso de la entidad de un procedimiento o política de la estructura de control interno. Riesgo de control: El riesgo que un error significativo que podría existir en una afirmación de los estados financieros, no sea prevenido o detectado en forma oportuna por las políticas y procedimientos del sistema de control interno. Riesgo de detección: El riesgo de que el auditor no detecte un error material en una afirmación de los estados financieros. Riesgo inherente: La susceptibilidad de que una afirmación de los estados financieros contenga un error significativo, asumiendo que no hay políticas y procedimientos del sistema de control interno relacionados. Sistema contable: Los métodos y registros establecidos para identificar, reunir, analizar, clasificar, registrar e informar las transacciones de una entidad, así como para establecer una rendición de cuentas del activo y pasivo correspondientes. APÉNDICE C ALGUNOS OBJETIVOS DE CONTROL ADMINISTRATIVO SELECCIONADOS 1. Los conceptos y terminología empleados en esta Norma, aclaran y actualizan la Sección 642 «Estudio y Evaluación del Sistema de Control Interno» al incorporar los conceptos con respecto a evidencia y riesgo de auditoría, que han evolucionado en la práctica y que se han establecido por medio de las normas de auditoría, emitidas posteriores a esa norma. Este apéndice, examina algunos de los conceptos básicos de la Sección 642, que están implícitos en una estructura de control interno, pero que no se examinan explícitamente, en esta Sección. No obstante, que estos conceptos tengan una aplicación general, los métodos organizativos y de procedimientos para aplicarlos podrán diferir substancialmente entre un caso y otro, debido a la variedad de circunstancias involucradas. OBJETIVOS ADMINISTRATIVOS 2. El establecimiento y mantenimiento de una estructura de control interno, representa una responsabilidad administrativa importante. Al establecer los procedimientos y políticas específicos de la estructura de control interno, (con relación a la capacidad de la entidad para registrar, procesar, resumir, e informar datos financieros, que son consistentes con las afirmaciones de la administración incluidas en los estados financieros) entre los objetivos específicos que la administración puede considerar, se contemplan los siguientes: - Las transacciones se ejecutan de acuerdo con la autorización específica o general de la administración. - Las transacciones se registran conforme sea necesario (a) para permitir la preparación de los estados financieros de acuerdo con los principios de contabilidad generalmente aceptados o cualesquier otros criterios aplicables a tales estados y (b) para mantener el adecuado control contable de los activos. - Se permite el acceso al activo sólo de acuerdo con la autorización de la administración. - A intervalos razonables, los registros contables se comparan con el activo existente, y se toma la acción apropiada con respecto a cualquier diferencia. ACCESO AL ACTIVO 3. Los objetivos de custodiar el activo requieren que se limite el acceso a personal autorizado. En este contexto, el acceso al activo incluye tanto el acceso físico directo, como el acceso indirecto mediante la preparación o procesamiento de documentos que autorizan el uso o disposición del activo. Se requiere el acceso al activo en las operaciones normales de un negocio y, por lo tanto, limitando el acceso a personal autorizado, representa la máxima restricción factible. El número y capacidad del personal autorizado, deberá determinarse en base a la naturaleza del activo y la relativa susceptibilidad a pérdidas por errores e irregularidades. La limitación del acceso directo al activo requiere de segregación física adecuada y equipo o dispositivos de seguridad. COMPARACIÓN ENTRE LOS REGISTROS CONTABLES Y EL ACTIVO 4. El propósito de comparar los registros contables con el activo, es el de determinar si los registros contables corresponden al activo real. Ejemplos comunes de esta comparación incluyen arqueos de valores y efectivo, conciliaciones bancarias e inventarios físicos. 5. Si la comparación demuestra que el activo no concuerda con los registros contables, entonces sirve de evidencia de transacciones no registradas o registradas indebidamente. Sin embargo, no necesariamente se aplica a la inversa. Por ejemplo, la concordancia del arqueo de efectivo con el saldo registrado no proporciona evidencia de que todo el efectivo recibido haya sido debidamente registrado. 6. Esto ejemplifica una distinción inevitable entre la contabilidad fiduciaria y la contabilidad financiera; la primera se deriva inmediatamente al tomar la custodia de un activo; la segunda sólo cuando se registra inicialmente la transacción. 7. En cuanto al activo susceptible a pérdida por errores o irregularidades, se debe hacer de modo independiente la comparación con los registros contables. La frecuencia con que se debe hacer esa comparación con el propósito de salvaguardar el activo, depende de la naturaleza y cantidad del activo en cuestión y el costo de efectuar la misma. Por ejemplo, tal vez resulte razonable hacer un arqueo diario de efectivo, pero no un inventario físico. Sin embargo, un inventario diario de los productos en posesión de agentes de ventas, por ejemplo, tal vez resulte práctico como un medio de determinar su contabilización de ventas. De modo similar, el valor y vulnerabilidad de algunos productos, podrán hacer que valga la pena practicar inventarios completos frecuentes. 8. La frecuencia recomendada para comparar los registros contables y el activo, para el propósito de poder confiar en los registros para preparar los estados financieros, depende de la importancia relativa del activo, así como de su susceptibilidad a pérdidas por errores e irregularidades. 9. La acción que podrá ser apropiada con respecto a cualquier discrepancia revelada en la comparación de los registros contables y el activo, dependerá primordialmente de la naturaleza de activo, el sistema en uso, y el importe y causa de la discrepancia. La acción apropiada podrá incluir el ajuste de los registros contables, presentar reclamaciones de seguros, revisión de procedimientos, o acción administrativa para mejorar el desempeño del personal.