AUDITORÍA DEL CONTROL INTERNO 1. CONTROL INTERNO En materia de control interno se emitió en 1992 el Informe COSO (Committee of Sponsoring Organizations of the Treadway Commmission), es denominado así, porque se trata de un trabajo que encomendaron: el Instituto Américano de Contadores Públicos, la Asociación Américana de Contabilidad, el Instituto de Auditores Internos, el Instituto de Administración y Contabilidad y el Instituto de ejecutivos Financieros. El documento “Internal Control Integrated” emitido por “Committee of Sponsoring Organizations of de Treadway Commission (COSO)” define el control interno, describe sus componentes y suministra un criterio con el cual los sistemas de información pueden ser evaluados. El documento ofrece una guía para informe al público del control interno y provee materiales que los gerentes, auditores y otros pueden utilizar para evaluar sus sistemas de control interno. Las dos mayores metas del documento son: 1. Establecer una definición común del control interno que sirva para muchos grupos diferentes; y 2. Proveer un estándar con el cual las organizaciones pueden evaluar su sistema de control y determinar cómo mejorarlos. 1.1 DEFINICIÓN Control interno es un proceso, efectuado por la junta de directores de una entidad, gerencia y otra personal, diseñado para proveer razonable seguridad respecto del logro de objetivos en las siguientes categorías: Efectividad y eficiencia de operaciones Confiabilidad de la información financiera Cumplimiento de las leyes y regulaciones aplicables. Esta definición refleja ciertos conceptos fundamentales: El control interno es un proceso. Esto es, un medio hacia un fin, o un fin en sí mismo. El control interno es efectuado por personas. No es meramente políticas, manuales y formatos, sino personas a todos los niveles de una organización. Del control interno puede esperarse que provea solamente una razonable seguridad, no absoluta seguridad, a la gerencia y junta de una entidad. El control interno es el mecanismo para el logro de objetivos de una o más categorías separadas o interrelacionadas. Esta definición de control interno es amplia por dos razones: primero, es el camino para obtener un acercamiento a la visión de control interno de los negocios de los dirigentes con los ejecutivos principales, de hechos, ellos a menudo hablan en términos de control y existir o vivir en control; segundo, acomodarse a los subgrupos del control interno. Aquellos que necesitan poder concentrarse en algo separadamente, por ejemplo, controles sobre información financiera o controles relativos a cumplimiento de regulaciones legales. Similarmente, direccionar la atención sobre unidades de control en particular o actividades que pueden adaptarse a una entidad. Esta definición también provee una base para evaluar la efectividad del control interno, a discutir más tarde en este capítulo. Los conceptos fundamentales bosquejados antes son discutidos en los siguientes parágrafos. 1.2 UN PROCESO El control interno no es un evento o circunstancia, sino una serie de acciones que tienen la función de pasar o calar a través de las actividades de la entidad. Estas acciones son penetrantes o inherentes en el modo de manejo gerencial de los negocios. Los procesos en los negocios, que son conducidos dentro de, o a través de organizaciones individuales, o funciones, son manejados por medio de procesos de planeación, ejecución y supervisión gerencial básicos. El control interno es una parte de estos procesos y está integrado con ellos. Ellos les permiten funcionar y supervisar su comportamiento y continuada pertinencia. Esta es una herramienta usada por la gerencia, no un sustituto de ella. Esta conceptualización del control interno es muy diferente desde la perspectiva de algunos observadores, que ven el control interno como algo agregado a las actividades de la entidad, o como una necesaria carga, impuesta por reguladores o por los dictados de acuciosos burócratas. El sistema de control interno está entretejido con las actividades operativas de una entidad, y existe por fundamentales razones de negocios. Los controles internos tienen el mayor grado de efectividad cuando ellos son construidos dentro de la infraestructura de la entidad y son parte de la esencia de la empresa. Ellos deben ser construidos dentro más bien que construidos sobre. La construcción dentro de controles puede afectar directamente la capacidad de una entidad para conseguir sus metas, calidad de sus negocios e iniciativas y apoyos. La búsqueda por calidad está directamente unida a como son manejados los negocios y como son controlados no desde la óptica del control sino del contralor. La calidad de la iniciativa viene a ser parte de la operación de manufactura de una empresa, como se evidencia por: La dirección ejecutiva asegura que el valor de la calidad se construye dentro de la forma de hacer negocios de la entidad. Establecer los objetivos de calidad unidos al conjunto de análisis de otros procesos e información de la entidad. Usar el conocimiento de prácticas competitivas y expectativas de clientes para inducir continuas mejoras en la calidad. Estos factores semejantes de calidad son en efecto sistemas de control interno. De hecho, el control interno no solamente está integrado con programas de calidad, usualmente es crítico de sus resultados. La construcción dentro o al interior de controles, tiene además importantes implicaciones hacia componentes del costo y respuestas de tiempo: Casi todas las empresas se enfrentan a mercados altamente competitivos y a la necesidad de reprimir costos. Enfocando las operaciones existentes y su contribución hacia el efectivo control interno y construyendo controles dentro de las actividades de operación básica, una empresa puede evitar a menudo innecesarios procedimientos y costos. La práctica de construir controles dentro de la operación de fabricación ayuda a acelerar el desarrollo de nuevos controles necesarios para nuevas actividades de negocios. Tales reacciones automáticas hacen empresas más ágiles y competitivas. 1.3 PERSONAS El control interno es efectuado en una entidad, o por la junta de directores, gerencia y otra personal. Es cumplido por las personas o una organización, por lo que ellos hacen o dicen. Personas que establecen los objetivos de la entidad o ponen los mecanismos de control en su lugar. En forma similar, el control interno afecta las acciones de las personas. El control interno reconoce que las personas no siempre se comprenden, comunican o llevan a cabo algo consistentemente. Cada individuo trae al lugar de trabajo un singular antecedente y capacidad o aptitud técnica, y tiene diferentes necesidades y prioridades. Estas realidades afectan y son afectadas por el control interno. Las personas tienen que saber sus responsabilidades y límites de autoridad. Por consiguiente es necesario que exista una clara y cerrada articulación entre los deberes y la manera en que los están cumpliendo, con los objetivos de una entidad. El personal de una organización incluye la junta de directores, la gerencia y otro personal. Aunque los directores pueden ser vistos en primer lugar como provisores de custodia, ellos también proveen dirección y aprueban ciertas transacciones y políticas. Como tales, la junta de directores es un importante elemento del control interno. 1.4 RAZONABLE SEGURIDAD No importa cuan bien diseñado y en operaciones esté el control interno, solo puede proveer una razonable seguridad a la gerencia y a la junta de directores, respecto de la realización de los objetivos de la entidad. La probabilidad de realización es efectuada por limitaciones inherentes en todos los sistemas de control interno. Esto incluye la realidad de que el juicio humano en la toma de decisiones puede ser imperfecto, que los responsables por establecer controles necesitan considerar sus relativos costos y beneficios, y el derrumbamiento puede ocurrir porque tales faltas humanas son como simple error o equivocación. Adicionalmente, los controles pueden ser evadidos por colusión de dos o más personas. Finalmente, la gerencia tiene el poder o capacidad de pasar por encima o anular el sistema de control interno. 1.5 OBJETIVOS Cualquier entidad promulga una misión, estableciendo objetivos, y desea logros y estrategias para realizarlos. Los objetivos pueden ser una aspiración de la entidad como un todo, o ser un blanco en actividad específica dentro de la entidad. Aun cuando muchos objetivos son específicos a una entidad particular, algunos son ampliamente compartidos. Por ejemplo, objetivos virtualmente comunes de todas las entidades es el logro y mantenimiento de una positiva reputación dentro de los negocios y comunidad de consumidores, suministrando estados financieros confiables a los accionistas o propietarios, y trabajando con cumplimiento de leyes y regulaciones. Para este estudio los objetivos caen dentro de tres categorías. Operaciones: Relativo al efectivo y eficiente uso de los recursos de la entidad. Información financiera: Relativo a la preparación y divulgación de estados financieros confiables. Cumplimiento: Relativo al cumplimiento de la entidad con las leyes y regulaciones aplicables. Esta categorización deriva enfoques sobre aspectos separados del control interno. Estas distintas pero traslapadas categorías (un objetivo particular puede caer bajo más de una categoría) dirigen diferentes necesidades, y pueden ser directa responsabilidad de diferentes ejecutivos. Esta categorización también deduce distintivos, entre lo que puede ser esperado desde cada una de las categorías del control interno. De un sistema de control interno se puede esperar que provea razonable seguridad de realización de objetivos a la confiabilidad de la información y cumplimiento de las leyes y regulaciones. La realización de estos objetivos, que están basados en gran manera sobre pautas impuestas por personas externas, depende de cómo las actividades de control dentro de la entidad son llevadas a cabo. Sin embargo, la ejecución de objetivos de operación, tal como un particular retorno sobre inversión, mercado compartido o entrada a una nueva línea de productos – no está siempre dentro del control de la entidad. El control interno no puede prevenir malos juicios o decisiones, o eventos externos que puedan, en ejecución de sus propósitos, causar el fracaso de un negocio. Por estas razones, el sistema de control interno puede proveer razonables seguridad, tan sólo cuando la gerencia en su papel vigilante, y la junta, se hagan conocedoras, de una manera oportuna, de la extensión o alcance que hacia esos objetivos es llevada la entidad. 1.6 COMPONENTES El control interno consta de cinco componentes interrelacionados que se derivan de la forma cómo la administración maneje el negocio y están integrados a los procesos administrativos. Los componentes son: El ambiente de control; Los procesos de valoración de riesgo de la entidad; Los sistemas de información y comunicación; Los procedimientos de control; y La supervisión y el seguimiento de los controles. Ambiente de control El ambiente de control establece el tono de una organización, influyendo en la conciencia que la gente tiene sobre el control. Es el funcionamiento para el control interno efectivo, y provee disciplina y estructura. El ambiente de control comprende los siguientes elementos: Comunicación y cumplimiento forzoso de la integridad y de los valores éticos. La efectividad de los controles no puede estar por encima de la integridad y los valores éticos de la gente que los crea, administra y supervisa. La integridad y los valores éticos son elementos esenciales del ambiente de control e influyen en el diseño, administración, y supervisión de los otros componentes. La integridad y comportamiento ético son producto de los estándares éticos y de comportamiento de la entidad, de la manera como se comunican, y de la manera como se hace obligatorio su cumplimiento en la práctica. Incluyen las acciones que realiza la administración para eliminar o reducir incentivos y tentaciones que pueden hacer que el personal se vincule a actos deshonestos, ilegales, o no éticos. También incluye la comunicación, al personal, de los valores de la entidad y de los estándares de comportamiento mediante declaraciones de política y código de conducta y mediante el ejemplo. Compromiso por la competencia. La competencia es el conocimiento y habilidades necesarios para realizar las tareas que definen el trabajo del individuo. El compromiso por la competencia incluye la consideración que hace la administración sobre los niveles de competencia requeridos por los trabajos particulares y la manera como esos niveles se convierten en las habilidades y el conocimiento requerido. Participación de quienes están a cargo del gobierno. La conciencia de control que tiene una entidad está influenciada de manera importante por quienes están a cargo del gobierno incluyen independencia de la administración, su experiencia y posición, la extensión de su participación y escrutinio de las actividades, lo apropiado de sus acciones, la información que reciben, el grado en el cual se originan preguntas difíciles y son resueltas junto con la administración, y su interacción con los auditores internos y externos. Filosofía y estilo de operación de la administración. La filosofía y el estilo de operación de la administración comprenden un rasgo amplio de características. Tales características pueden incluir lo siguiente: actitudes y acciones de la administración hacia la presentación de informes financieros (selección conservadora o agresiva entre los principios de contabilidad alternativos disponibles, y conciencia y conservadurismo con los cuales se desarrollan los estimados contables); y actividades de la administración frente al procedimiento de información y frente a las funciones y el personal de contabilidad. Estructura organizacional. La estructura organizacional de una entidad provee la estructura conceptual dentro de la cual se planean, ejecutan, controlan, y revisan sus actividades por el logro de los objetivos amplios de la entidad. El establecimiento de una estructura organizacional relevante incluye considerar las áreas claves de autoridad y responsabilidad y las líneas apropiadas de presentación de informes. Una entidad desarrolla una estructura organizacional de acuerdo con sus necesidades. Lo apropiado de la estructura organizacional de una entidad depende, en parte, del tamaño y naturaleza de sus actividades. Asignación de autoridad y responsabilidad. Este factor incluye la manera como se asignan la autoridad y la responsabilidad por las actividades de operación y la manera como se establecen las jerarquías de relación y autorización. También incluye las políticas relacionadas con las prácticas de negocio apropiadas, el conocimiento y la experiencia del personal clave, y los recursos provistos para llevar a cabo las obligaciones. Además, incluye las políticas y las comunicaciones dirigidas para asegurar que todo el personal entiende los objetivos de la entidad, conoce cómo sus acciones individuales se interrelaciona y contribuye a esos objetivos, y reconoce cómo y por qué será responsable. Políticas y prácticas de recursos humanos. Las políticas y prácticas de recursos humanos se relacionan con contratación, orientación, entrenamiento, evaluación, consejería, promoción, compensación, y acciones remediales. Por ejemplo, los estándares para contratar los individuos más calificados – con énfasis en trasfondo educativo, experiencia de trabajo anterior, logros pasados, y evidencia de integridad y comportamiento ético – demuestra el compromiso de una entidad para con gente competente y meritoria. Las políticas de entrenamiento que comunican los roles y las responsabilidades prospectivos e incluyen prácticas tales como escuelas de entrenamiento y seminarios ilustran los niveles esperados de desempeño y comportamiento. Las promociones direccionadas para evaluaciones periódicas del desempeño demuestran el compromiso de la entidad por el avance del personal calificado hacia los niveles más altos de responsabilidad. Aplicaciones a entidades pequeñas. Las entidades pequeñas. Las entidades pequeñas pueden implementar los elementos del ambiente de control de manera diferente a como lo hacen las entidades más grandes. Por ejemplo, las entidades pequeñas pueden no tener un código de conducta escrito pero, en lugar de ello, desarrollar una cultura que enfatice la importancia de la integridad y del comportamiento ético, haciendo mediante comunicación oral y por ejemplo de la administración. De manera similar, quienes están a cargo del gobierno en las entidades pequeñas pueden no incluir un miembro independiente o externo. Proceso de valoración de riesgo de la entidad El proceso de valoración de riesgo de la entidad es su proceso para identificar y responder a los riesgos de negocio y los resultados que de ellos se derivan. Para propósitos de la presentación de informes financieros, el proceso de valoración de valoración de riesgos de la entidad incluye la manera como la administración identifica los riesgos relevantes para la preparación de estados financieros que da origen a una presentación razonable, en todos los aspectos importantes de acuerdo con las políticas y procedimientos utilizados para la contabilidad y presentación de informes financieros, estima su importancia, valora la probabilidad de su ocurrencia, y decide las acciones consiguientes para administrarlos. Por ejemplo, el proceso de valoración de riesgos de la entidad puede direccionar la manera como la entidad considera la posibilidad de existencia de transacciones no registradas o identifica y analiza las estimaciones importantes registradas en los estados financieros. Los riesgos relevantes para la presentación confiable de informes financieros también se relacionan con eventos o transacciones específicos. Los riesgos relevantes para la presentación de informes financieros incluyen eventos y circunstancias externos e internos que pueden ocurrir y afectar de manera adversa la habilidad de una entidad para iniciar, registrar, procesar, e informar datos financieros consistentes con las aseveraciones de la administración contenidas en los estados financieros. Una vez identificados los riesgos, la administración considera su importancia, la probabilidad de su ocurrencia, y la manera como se deben ser administrados. La administración puede iniciar planes, programas, o acciones para direccionar riesgos específicos o puede decidir aceptar un riesgo a causa del costo y por otra consideración. Los riesgos pueden surgir o cambiar a causa de circunstancias tales como las siguientes: Cambios en el entorno de operación. Los cambios en el entorno regulador o de operación pueden derivar en cambios en presiones importantes y en riesgos significativamente diferentes. Personal nuevo. El personal nuevo puede tener un centro de atención o un entendimiento diferente con relación al control interno. Sistemas de información nuevos o modernizados. Los cambios significativos y rápidos en los sistemas de información pueden cambiar el riesgo relacionado con el control interno. Crecimiento rápido. La expansión importante y rápida de las operaciones puede forzar los controles e incrementar el riesgo de una ruptura de los controles. Nueva tecnología. La incorporación de nuevas tecnologías en los procesos de producción o en los sistemas de información puede cambiar el riesgo asociado con el control interno. Modelo de negocio, productos, o actividades nuevos. El ingresar en áreas de negocio o en transacciones en las cuales una entidad tiene poca experiencia puede introducir nuevos riesgos asociados con el control interno. Reestructuración corporativa. Las restructuraciones pueden estar acompañadas por reducciones en el personal y por cambios en la supervisión y en la segregación de obligaciones lo cual puede cambiar el riesgo asociado con el control interno. Operaciones extranjeras expandidas. La expansión o adquisición de operaciones extranjeras conlleva riesgos nuevos y únicos que pueden afectar el control interno, por ejemplo, riesgos adicionales o modificados que surgen de las transacciones en moneda extranjera. Nuevos pronunciamientos de contabilidad. La adopción de nuevos principios de contabilidad o el cambio en los principios de contabilidad puede efectuar los riesgos que existen en la preparación de estados financieros. Aplicación a entidades pequeñas. Los conceptos básicos del proceso de valoración de riesgos de la entidad deben estar presentes en cada entidad, independiente del tamaño, pero el proceso de valoración de riesgo es probable que sea menos formal y esté menos estructurado que en las grandes. Todas las entidades deben establecer objetivos de presentación de informes financieros, pero ellos pueden haber sido reconocidos implícita más que explícitamente en las entidades pequeñas. Mediante la participación personal directa con los empleados y con terceros, la administración puede ser capaz de aprender sobre los riesgos relacionados con esos objetivos. Sistemas de información y comunicación Un sistema de información consta de infraestructura, software, gente, procedimientos, y datos. La infraestructura y el software estarán ausentes, o tendrán menor significado, en los sistemas que son exclusiva o principalmente manuales. Muchos sistemas de información hacen uso extensivo de la tecnología de la información (IT). El sistema de información relevante para los objetivos de presentación de informes financieros, que incluye el sistema de presentación de informes financieros, consta de los procedimientos, y de los registros establecidos para iniciar, registrar, procesar, e informar las transacciones de la entidad y para mantener la obligación de responder por los activos, pasivos, y patrimonio neto relacionados. Las instrucciones pueden ser iniciadas manual o automáticamente mediante procedimientos programados. Los registros incluyen la identificación y captura de información relevante para las transacciones o eventos. El procedimiento incluye funciones tales como edición y validación, calculo, medición, valuación, resumen, y conciliación, ya sean desarrolladas por procedimientos automatizados o manuales. La presentación de informes se relaciona con la preparación de informes financieros así como otra información, en forma electrónica o impreso, que la entidad usa para medir y revisar el desempeño financiero de la entidad y que también emplea en otras funciones. La calidad de la información generada por el sistema afecta la habilidad de la administración para tomar decisiones apropiadas en la administración y control de las actividades de la entidad y para preparar informes financieros confiables. De acuerdo con ello, un sistema de información comprende métodos y registros que: Identifican y registran todas las transacciones válidas, suficiente detalle para permitir la clasificación apropiada de las transacciones para efecto de la presentación de informes financieros. Mide el valor de las transacciones de una manera que permite registrar su propio valor monetario en los estados financieros. Determina el período en la cual ocurrieron las transacciones, para permitir el registro de las mismas en el período contable apropiado. Presentar adecuadamente, en los estados financieros, las transacciones y revelaciones relacionadas. La comunicación implica proveer un entendimiento de los papeles y responsabilidades individuales que se relacionan con el control interno sobre la presentación de informes financieros. Incluye la extensión en la cual el personal entiende cómo sus actividades en el sistema de información para la presentación de informes financieros se relaciona con el trabajo de otros y los medios que se utilizan para informar excepciones a un nivel más alto apropiado al interior de la entidad. Los canales de comunicación abiertos ayudan a asegurar que las excepciones se reportan y se actúa sobre ellas. La comunicación toma formas tales como manuales de políticas, manuales de contabilidad y de presentación de informes financieros, y memorandos. La comunicación también se puede hacer electrónicamente, oralmente, y mediante acciones de la administración. Aplicación en entidades pequeñas. Los sistemas de información y los procesos de negocio relacionados relevantes para la presentación de informes financieros en las entidades pequeñas es probable que sean menos formales que en las entidades grandes, pero su papel es igualmente importante. Las entidades pequeñas son participación activa de la administración pueden no requerir descripciones extensas de los procedimientos de contabilidad, ni registros contables sofisticados, ni políticas escritas. La comunicación puede ser menos formal y más fácil de lograr en una entidad pequeña que en una entidad grande debido al tamaño de la entidad y a los niveles, lo mismo que a la mayor visibilidad y disponibilidad de la administración. Procedimientos de control Los procedimientos de control son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las directivas de la administración, por ejemplo, que se toman las acciones necesarias para direccionar los riesgos hacia el logro de los objetivos de la entidad. Los procedimientos de control teniendo diversos objetivos y se aplican en distintos niveles organizacionales y funcionales. Generalmente, los procedimientos de control que pueden ser relevantes para una auditoría se pueden categorizar como políticas y procedimientos que se relacionan con lo siguiente: Revisiones del desempeño. Estos procedimientos de control incluyen revisiones del desempeño actual versus presupuestos, pronósticos, y desempeño del período anterior; relacionando diferentes conjuntos de datos – de operación o financieros – unos con otros, junto con análisis de las relaciones y acciones de investigación y correctivas; y revisión del desempeño funcional o de actividad, tal como los préstamos de consumo de un banco, la revisión que hace la administración de informes por sucursal, región, y tipo de préstamo, para aprobaciones y obtenciones de préstamos. Procedimiento de información. Se desarrolla una variedad de controles para verificar la exactitud, integridad y autorización de las transacciones. Los dos agrupamientos más amplios de los procedimientos de control de los sistemas de información son controles de aplicación y controles generales. Los controles de aplicación se refieren al procesamiento de las aplicaciones individuales. Estos controles ayudan a asegurar que las transacciones ocurrieron, están autorizadas, y están completa y exactamente registradas y procesadas. Los controles generales comúnmente incluyen controles sobre los centros de datos y las operaciones de las de acceso; y adquisición, desarrollo, y mantenimiento del sistema de aplicación. Esos controles aplican ambientes de mainframe, miniframe, y usuario final. Ejemplos de tales controles son los controles a los cambios de los programas o a los datos, controles sobre la implementación de nuevas ediciones de aplicaciones de software empaquetado, y controles sobre software de sistemas que restringen el acceso o monitorean el uso de las utilidades del sistema que podrían cambiar los datos o los registros financieros sin dejar un rastro de auditoría. Controles físicos. Estas actividades comprenden la seguridad física de los activos, incluyendo salvaguardas adecuadas tales como instalaciones aseguradas, acceso seguro y activos y registros; autorización para el acceso a programas de computación y archivos de datos; y conteo y comparaciones periódicos con las cantidades que se muestran en los registros de control. La extensión en la cual se intenta que los controles físicos prevengan el hurto de activos que son relevantes para la confiabilidad de la preparación de los estados financieros, y por consiguiente de la auditoría, depende de circunstancias tales como cuando un activo es altamente susceptible a uso equivocado. Por ejemplo, esos controles ordinariamente no serían relevantes cuando cualquier pérdida de inventario sería detectada mediante la inspección física periódica y registrada en los estados financieros. Sin embargo, si para propósitos de la presentación de informes financieros la administración confía solamente en los registros de inventario perpetuo, los controles de seguridad física serían relevantes para la auditoría. Segregación de funciones. La asignación de gente diferente para las responsabilidades de autorizar transacciones, registrar transacciones y mantener la custodia de los activos, tiene la intención de reducir las oportunidades o permitirle a cualquier persona que se encuentre en posición de perpetrar y ocultar errores o fraude en el curso normal de las obligaciones del auditor. Aplicación a entidades pequeñas. Los conceptos subyacentes a los procedimientos de control en las entidades pequeñas es probable que sean similares a los de las entidades grandes, pero varía la formalidad con la cual operan. Además, las entidades pequeñas pueden encontrar que ciertos tipos de procedimientos de control no son relevantes a causa de los controles aplicados por la administración. Por ejemplo, la retención que hace la administración de la autoridad para aprobar ventas a crédito, compras importantes, y aumentar – disminuir líneas de crédito, puede proveer fuerte control sobre esas actividades, reduciendo o removiendo la necesidad de procedimientos de control más detallado. Una segregación apropiada de las funciones a menudo parece que presenta dificultades en las entidades pequeñas. Sin embargo, aún las compañías que tienen solamente unos pocos empleados, pueden ser capaces de asignar sus responsabilidades para lograr la segregación apropiada o, si esto no es posible, usar supervisión por parte de la administración sobre las actividades incompatibles a fin de lograr objetivos de control. Supervisión y seguimiento de los controles La supervisión y el seguimiento de los controles es un proceso para valorar la calidad del desempeño del control interno en el tiempo. Implica valorar el diseño y la operación de los controles sobre una base oportuna y tomar las acciones correctivas necesarias. La supervisión y el seguimiento se realizan para asegurar que los controles continúan operando efectivamente. La supervisión y el seguimiento de los controles se logran mediante actividades de supervisión y seguimiento en tiempo real, evaluaciones separadas, o una combinación de los dos. Las actividades de supervisión y seguimiento en tiempo real se construyen en las actividades recurrentes normales de una entidad e incluyen la administración regular y las actividades de supervisión. Los administradores de ventas, compras, y producción a niveles de división y corporativo se encuentra frente a las operaciones y pueden cuestionar los informes que difieren significativamente de su conocimiento sobre las operaciones. En muchas entidades, los auditores internos o el personal que desempeña funciones similares contribuyen a la supervisión y seguimiento de los controles de una entidad mediante evaluaciones separadas. Regularmente proveen información sobre el funcionamiento del control interno, prestando considerable atención a la evaluación del diseño y a la operación del control interno. Comunican información sobre fortalezas y debilidades y ofrecen recomendaciones para mejorar el control interno. Las actividades de supervisión y seguimiento pueden incluir el uso de información proveniente de comunicaciones recibidas de partes externas. Los clientes implícitamente corroboran los datos de facturación mediante el pagar sus facturas o asumiendo sus cargos. Además, los reguladores pueden comunicar a la entidad las preocupaciones sobre asuntos que afectan el funcionamiento del control interno, por ejemplo, comunicaciones relacionadas con exámenes realizados por agencias reguladoras de bancos. En el desarrollo de sus actividades de supervisión y seguimiento, la administración también puede considerar comunicaciones relacionadas con el control interno provenientes de los auditores externos. Aplicación a entidades pequeñas. Las actividades de supervisión y seguimiento en tiempo real de las entidades pequeñas es más probable que sean informales y típicamente sean desarrolladas como parte de la administración general de las operaciones de la entidad. La participación estrecha de la administración en las operaciones a menudo identificará variaciones importantes frente a las expectativas e identificará inexactitudes en los datos financieros. 2. AUDITORÍA DEL CONTROL INTERNO La auditoría del control interno es la evaluación del control interno integrado, con el propósito de determinar la calidad de los mismos, el nivel de confianza que se les puede otorgar y si son eficaces y eficientes en el cumplimiento de sus objetivos. Esta evaluación tendrá el alcance necesario para dictaminar sobre el control interno y por lo tanto, no se limita determinar el grado de confianza que pueda conferírsele para otros propósitos. En una auditoría de control interno practicada con el objetivo de emitir una opinión sobre el mismo, se debe utilizar una metodología que cubra lo siguiente: Planeación Prueba de los controles Comunicación de los resultados 2.1 PLANEACIÓN La etapa de planeación de la Auditoría del Control Interno es la comprensión del negocio de la entidad, su entorno y los componentes del control interno. El auditor debe obtener un entendimiento de la entidad, su entorno y los componentes del control interno, que sea suficiente para valorar los riesgos de declaración equivocada importante en los estados financieros, incumplimiento de leyes y otras fallas debido a fraude o error; y suficiente para diseñar y desarrollar procedimientos de auditoría adicionales para reducir a niveles bajos los riesgos de control. A los procedimientos de auditoría dirigidos a obtener tal entendimiento se les conoce como procedimientos de valoración de riesgos dado que alguna de la información obtenida mediante el desarrollo de tales procedimientos puede ser usada por el auditor como evidencia de auditoría para soportar las valoraciones de los riesgos de declaraciones equivocadas importantes de los estados financieros y de los otros asuntos cubiertos por la auditoría integral. Para obtener un entendimiento de la entidad, su entorno y los componentes de control interno, el auditor debe desarrollar los siguientes procedimientos de valoración de riesgos: Indagaciones a la administración y a otros al interior de la entidad; Procedimientos analíticos; Observación e inspección; y Otros procedimientos de auditoría que sean apropiados. El entendimiento en la entidad y su entorno incluye el conocimiento de: Industria, regulación y otros factores externos, incluyendo las políticas y procedimientos utilizados para la contabilidad y representación de estados financieros; Naturaleza de la entidad; Objetivos, estrategias y riesgos de negocio relacionados; Medición y revisión del desempeño financiero de la entidad; y Control interno Industria, regulación y otros factores externos, incluyendo las políticas y procedimientos utilizados para la contabilidad y presentación de estados financieros Ejemplos de asuntos que un auditor puede considerar incluyendo lo siguiente: Condiciones de industria El mercado y la competencia, incluyendo demanda, capacidad y competencia en precios. Actividad cíclica o estacional. Tecnología de producto relacionada con los productos de la entidad. Suministro y costos de energía. Entorno regulador Principios de contabilidad y prácticas específicas de la industria. Estructura conceptual reguladora para una industria reguladora. Legislación y regulación que afecten significativamente las operaciones de la entidad. Requerimientos reguladores. Actividades directas de supervisión. Tributación (corporativa y de otro tipo) Políticas gubernamentales que afectan actualmente la dirección de los negocios de la entidad. Monetarias, incluyendo controles de cambio extranjero. Fiscal. Incentivos financieros (por ejemplo, programas gubernamentales de ayuda). Tarifas, restricciones comerciales. Otros factores externos que afectan actualmente los negocios de la entidad. Nivel general de la economía (por ejemplo, recesión, crecimiento). Tasas de interés y disponibilidad de financiación. Inflación, devaluación de la moneda. Naturaleza de la entidad Ejemplos de asuntos que un auditor puede considerar incluyen lo siguiente: Operaciones de negocio: Naturaleza de las fuentes de ingreso. Productos o servicios y mercados por ejemplo, clientes y contratos principales, términos de pago, márgenes de utilidad, participación en el mercado, competidores, exportaciones, políticas de fijación de precios, reputación de los productos, garantías, libros de órdenes, tendencias, estrategias y objetivos de mercadeo, procesos de manufactura. Dirección de las operaciones. Alianzas, acuerdos de riesgo compartido, y outsourcing de actividades. Involucramiento en el comercio electrónico, incluyendo actividades de venta y mercadeo por internet. Dispersión geográfica y segmentación de la industria. Ubicación de las instalaciones de producción, almacenes, y oficinas. Clientes clave. Proveedores importantes de bienes y servicios. Empleado por ejemplo, por ubicación, suministro, niveles salariales, sindicatos, pensiones y otros beneficios posteriores al empleo, acuerdos de opiniones de acciones o incentivos mediante bonos, y regulación gubernamental relacionada con el empleo. Actividades y desembolsos de investigación y desarrollo Transacciones con partes relacionadas. Inversiones. Adquisiciones, funciones o disposiciones de actividades de negocio planeadas o ejecutadas recientemente. Inversiones y disposiciones de títulos valor y empréstitos. Actividades de inversión de capital, incluyendo inversiones en planta y equipo y tecnología, y cualquier cambio reciente o planeado. Inversiones en actividades, incluyendo sociedades, acuerdos de riesgo compartido y entidades de propósito especial. Financiación Estructura del grupo – subsidiarias principales y entidades asociadas, incluyendo estructuras consolidadas y no consolidadas. Estructura de deuda, incluyendo convenios, restricciones, garantías y cuerdos de financiación por fuera de balance. Arrendamiento de propiedad, planta o equipo para uso en el negocio. Propietarios benefactores (locales, extranjeros, reputación y experiencia de negocios). Partes relacionadas. Uso de instrumentos financieros derivados. Prestación de informes financieros Principios de contabilidad y prácticas específicas de la industria. Prácticas de reconocimiento de ingresos. Contabilidad de valores razonables Inventarios. Activos, pasivos y transacciones en moneda extranjera. Categorías importantes específicas de la industria. Contabilidad de transacciones inusuales o complejas incluyendo aquellas en áreas que generan controversia o emergentes por ejemplos, contabilidad de la compensación basada en acciones. Presentación y revelación de los estados financieros. Objetivos, estrategias y riesgos de negocios relacionados Ejemplos de asuntos que un auditor puede considerar incluyen: Existencia de objetivos relacionados con, por ejemplo, lo siguiente: Desarrollos de la industria (riesgo de negocio potencial – la entidad no tiene el personal o la experiencia para manejar los cambios en la industria). Productos y servicios nuevos (riesgo de negocio potencial – incremento en las obligaciones derivadas de producto). Expansión del negocio (riesgo de negocio potencial – la demanda no ha sido estimada de manera exacta). Nuevos requerimientos de contabilidad (riesgo de negocio potencial – implementación incompleta o no apropiada, incremento en costo). Requerimientos reguladores (riesgo de negocio potencial – incremento en la exposición legal). Requerimientos actuales y prospectivos de financiación (riesgo de negocio potencial – pérdida de financiación a causa de incapacidad para satisfacer los requerimientos). Uso de la tecnología de la información (riesgo de negocio potencial – sistemas y procesos no compatibles). Efectos de la implementación de una estrategia, particularmente cualesquiera efectos que conducirán a nuevos requerimientos de contabilidad (riesgo de negocio potencial – implementación incompleta o no apropiada). Medición y revisión del desempeño financiero de la entidad Ejemplos de asuntos que un auditor puede considerar incluyen: Razones claves y estadísticas de operación. Indicadores clave del desempeño. Medidas del desempeño de los empleados y políticas de compensación por incentivos. Tendencias. Uso de pronósticos, presupuestos y análisis de variaciones. Análisis de informes y reportes de clasificación de créditos. Análisis de los competidores Desempeño financiero por varios períodos (crecimiento de ingresos, rentabilidad, apalancamiento). Control interno El auditor debe desarrollar procedimientos de valoración de riesgos para obtener un entendimiento de los componentes del control interno. El entendimiento del control interno se usa para identificar los tipos de declaraciones equivocadas potenciales, considerar los factores que afectan los riesgos de declaración equivocada importante, y diseñar la naturaleza, oportunidad, y extensión de los procedimientos de auditoría adicionales. El control interno es diseñado y afectado por quienes están a cargo del gobierno, la administración y otro personal para proveer seguridad razonable sobre el logro de los objetivos de la entidad en relación con la confiabilidad de la presentación de informes financieros, la efectividad y la eficiencia de las operaciones y el cumplimiento con las leyes y regulaciones aplicables. El control interno, tal y como se expuso anteriormente, consta de los siguientes componentes: El ambiente de control; Los procesos de valoración de riesgo de la entidad; El sistema de información y comunicación de informes financieros; Los procedimientos de control; y La supervisión y seguimiento de los controles. Los anteriores componentes del control interno son aplicables a la auditoría de cualquier entidad. La extensión del entendimiento de los componentes se considera en el contexto de: El juicio del auditor sobre la importancia relativa. El tamaño de la entidad. La organización de la entidad y las características de su capital. La naturaleza de los negocios de la entidad. La diversidad y complejidad de las operaciones de la entidad. Los requerimientos legales y reguladores aplicables. La naturaleza y complejidad de los sistemas que hacen parte del control interno de la entidad, incluyendo el uso de organizaciones de servicio. La obtención de un entendimiento del control interno incluye la evaluación del diseño de un control y la determinación de si ha sido implementada. La evaluación del diseño de un control incluye considerar si el control es capaz de prevenir efectivamente, o de detectar y corregir, declaraciones equivocadas importantes. La implementación de un control significa que el control existe y que la entidad lo está usando. La obtención de evidencia de auditoría sobre el diseño e implementación de los controles relevantes puede implicar indagar al personal de la entidad, observar la aplicación de controles específicos, inspeccionar documentos e informes, y rastrear transacciones a través del sistema de información relevante para la presentación de informes financieros. La sola indagación al personal de la entidad no será suficiente para evaluar el diseño de un control o para determinar si se ha implementado un control, sino que se hace necesario desarrollar pruebas de control seleccionando muestras apropiadas. La división del control interno en los cinco componentes provee una estructura conceptual útil para que los auditores consideren como los diferentes aspectos del control interno de una entidad pueden afectar la auditoría. Sin embargo, no refleja necesariamente la manera como una entidad considera e implementa el control interno. También, la consideración principal del auditor es si, y cómo, un control específico previene, o detecta y corrige, declaraciones equivocadas importantes en clases de transacciones, saldos de cuenta o revelaciones y las aseveraciones relacionadas, más que en su clasificación en cualquier componente particular. Para los propósitos de una auditoría de control interno, el término control interno comprende todos los cinco componentes del control interno arriba señalados. Además, el término “controles” se refiere a uno o más de los componentes, o a cualquier aspecto relacionado. Controles relevantes para la auditoría Existe una relación directa entre los objetivos de una entidad y los controles que implementa para proveer seguridad razonable sobre su logro. Si bien los objetivos de la entidad y los controles vinculados, se relacionan con la presentación de informes financieros, las operaciones y el cumplimiento, no todos esos objetivos y controles son relevantes para la auditoría de los estados financieros de la entidad. Además, si bien el control interno aplica a toda la entidad o a cualquiera de sus unidades de operación o proceso de negocio, un entendimiento del control interno relacionado con cada una de las unidades de operación y de los procesos de negocio de la entidad puede no ser relevante para la auditoría. Ordinariamente, los controles que son relevantes para una auditoría se relacionan con el objetivo de la entidad de preparar estados financieros para propósitos externos que de un punto de vista junto y razonable de acuerdo con la estructura conceptual aplicable de presentación de informes financieros y la administración del riesgo que pueden dar origen a un riesgo de declaración equivocada importante en esos estados financieros. Los controles relevantes para la auditoría son aquellos que individualmente o en combinación con otros es probable que prevengan, o detecten y corrijan, declaraciones equivocadas importantes de los estados financieros. Tales controles pueden existir en cualquiera de los componentes del control interno. Los controles relacionados con los objetivos, operaciones y cumplimiento pueden ser relevantes para una auditoría si se relacionan con los datos que el auditor evalúa o usa en la aplicación de los procedimientos. Los controles relacionados con los objetivos, operaciones y cumplimiento pueden ser relevantes para la auditoría si se relacionan con los datos que el auditor evalúa o usa en la aplicación de los procedimientos de auditoría. Por ejemplo, pueden ser relevantes para la auditoría los controles relacionados con datos no financieros que el auditor usa en los procedimientos analíticos, tales como estadísticas de producción, o los controles relacionados con la detección del no cumplimiento con leyes y regulaciones y que pueden tener un efecto directo e importante en los estados financieros, tales como los controles sobre el cumplimiento con las leyes tributarias y las regulaciones usadas para determinar las provisiones para impuestos. Una entidad generalmente tiene controles que se relacionan con objetivos que no son relevantes para una auditoría y que por lo tanto no requieren ser considerados. Por ejemplo, una entidad puede confiar en un sistema sofisticado de controles de la tecnología de la información para proveer operaciones eficientes y efectivas (tal como el sistema de controles de la tecnología de la información de una aerolínea comercial, destinado a mantener las programaciones de vuelos), pero esos controles ordinariamente no serían relevantes para la auditoría de estados financieros. El control interno sobre la salvaguarda de activos contra adquisición, uso, o disposición no autorizados puede incluir controles relacionados con objetivos de presentación de informes financieros y de operaciones. Al obtener un entendimiento de cada uno de los componentes del control interno, la consideración que hace el auditor de los controles de salvaguarda generalmente se limita a aquellos que son relevantes para la confiabilidad de la representación de informes financieros. Por ejemplo, el uso de controles de acceso, tales como claves, que limitan el acceso a los datos y a los programas que procesan los desembolsos de caja puede ser relevante para la auditoría de estados financieros. De manera inversa, los controles para prevenir el uso exclusivo de importantes en la producción generalmente no son relevantes para una auditoría de estados financieros. Efecto de la tecnología de la información en el control interno El uso que una entidad hace de la tecnología de la información puede efectuar cualquiera de los cinco componentes del control interno relevantes para el logro de los objetivos de presentación de informes financieros, operaciones, o cumplimiento de la entidad y sus unidades de operación o procesos de negocio. Por ejemplo, una entidad puede usar la tecnología de la información como parte del sistema discretos que soportan solamente unidades de negocio, procesos, o actividades particulares, tales como un sistema único de cuentas por cobro para una unidad de negocios particular o un sistema que controla la operación del equipo de fabricación. De manera alternativa, una entidad puede tener sistemas complejos, altamente integrados, que comparten datos y que se usan para soportar todos los aspectos de los objetivos de presentación de informes financieros, operaciones y cumplimientos de la entidad. El uso de la tecnología de la información también afecta la manera como se inician, registran, procesan y reportan las transacciones. En un sistema manual, una entidad usa procedimientos manuales y registros en formato de papel (por ejemplo, los individuos pueden registrar manualmente las órdenes de venta en forma o diarios de papel, autorizar créditos, preparar informes de embarque y facturas y mantener los registros de las cuentas por cobrar). Los controles en tal sistema también son manuales y pueden incluir procedimientos tales como aprobación y revisión de actividades, y conciliaciones y seguimientos de conciliación de los elementos. De manera alternativa, una entidad puede tener sistemas de información que usan procedimientos autorizados para iniciar, registrar, procesar, e informar las transacciones, caso en el cual los registros en formato electrónico reemplazan tales documentos en papel como son las órdenes de compra, facturas, documentos de embarque, y los registros contables relacionados. Los controles en los sistemas que usan la tecnología de la información consisten en una combinación de controles autorizados (por ejemplo, controles inmersos en los programas de computador) y controles manuales. Además, los controles manuales pueden ser independientes de la tecnología de la información, pueden usar información producida por la tecnología de la información, o pueden limitarse a supervisar el funcionamiento efectivo de la tecnología de la información y de los controles automatizados, y para manejar las excepciones. La mezcla que hace una entidad de los controles manuales y automatizados varía con la naturaleza y complejidad con que la entidad usa la tecnología de la información. La tecnología de la información provee beneficios potenciales de efectividad y eficiencia para el control interno de una entidad dado que le permite: Aplicar de manera consistente reglas de negocio predefinidas y desarrollar cálculos complejos en el procesamiento de grandes volúmenes de transacciones o datos. Enriquecer la oportunidad, disponibilidad y exactitud de la información. Facilitar el análisis adicional de la información. Enriquecer la habilidad para supervisar el desarrollo de las actividades de la entidad y sus políticas y procedimientos. Reducir el riesgo de que los controles serán eludidos. Enriquecer la habilidad para lograr efectiva segregación de funciones mediante la implementación de controles de seguridad en aplicaciones, bases de datos y sistemas de operación. La tecnología de la información también genera riesgos específicos para el control interno de una entidad, incluyendo: Confianza en sistemas o programas que están procesando datos de manera inexacta, están procesando datos inexactos, o ambos. Acceso no autorizado a datos que pueden derivar en destrucción de datos, en cambios no apropiados a los datos, incluyendo el registro inexacto de las transacciones. Cambios no autorizados en los datos contenidos en los archivos maestros. Cambios no autorizados a los sistemas o a los programas. Falla en hacer los cambios necesarios a los sistemas o a los programas. Intervención manual no apropiada. Perdida potencial de datos o inhabilidad para acceder a los datos cuando se requiere. Limitaciones de control interno El control interno, no importa que también esté diseñado y operado, puede proveer a una entidad solamente seguridad razonable sobre el logro de los objetivos de la entidad. La probabilidad de logro se afecta por limitaciones inherentes de control interno. Esas limitaciones incluyen las realidades de que el juicio humano en la toma de decisiones puede ser imperfecto y que pueden ocurrir rupturas en el control interno a causa de fallas humanas, tales como errores o equivocaciones simples. Por ejemplo, pueden ocurrir errores en el diseño, mantenimiento, o supervisión y seguimiento de los controles de la tecnología de la información. Si una persona de una tecnología de la información de la entidad no entiende completamente cómo un sistema de acceso de órdenes procesa las transacciones de venta para una nueva línea de productos. De otro modo, tales cambios pueden estar diseñados de manera correcta pero puede no estar bien entendidos por los individuos que trasladan el diseño en un código de programa. También pueden ocurrir errores en el uso de la información producida por la tecnología de la información. Por ejemplo, se pueden diseñar controles para informar transacciones sobre una entidad especificada de revisión administrativa, pero los individuos responsables por dirigir la revisión pueden no entender el propósito de tales informes y, de acuerdo con ello, pueden fallar en revisarlos o en investigar elementos no usuales. Adicionalmente, se pueden evadir los controles mediante la confabulación de dos o más personas o que la misma administración desautorice de manera inapropiada el control interno. Por ejemplo, la administración puede hacer acuerdo con los clientes y alterar los términos y las condiciones del contrato estándar de ventas de la entidad, de manera que evitaría el reconocimiento de ingresos. También, se pueden evadir o invalidar las rutinas de edición en un programa de software que esté diseñado para identificar e informar transacciones que exceden límites de crédito previamente especificados. 2.2 PRUEBAS DE LOS CONTROLES En las pruebas de los controles que soportan la auditoría de control interno se debe tener claro que el objetivo de ésta es distinto al de una auditoría financiera y por lo tanto el alcance y la oportunidad de los procedimientos pueden variar. De acuerdo con esto, el auditor debe identificar los procedimientos aplicables en las circunstancias para formarse una opinión sobre el control interno y diseñar su programa de trabajo para llevar a cabo las pruebas necesarias. El auditor debe desarrollar pruebas de los controles para obtener evidencia de auditoría suficiente y apropiada respecto de que los controles estuvieron operando efectivamente durante el período sometido a auditoría. Las pruebas de la efectividad de la operación de los controles es diferente de obtener evidencia de auditoría respecto de que los controles han sido implementados. Cuando se obtiene evidencia de auditoría sobre la implementación mediante el desarrollo de procedimientos de valoración de riesgos, el auditor determina que existen los controles relevantes y que la entidad los está usando. Cuando se desarrollan pruebas de la efectividad de la operación de los controles, el auditor obtiene evidencia de auditoría de que los controles operan efectivamente, esto incluye obtener evidencia de auditoría sobre cómo se aplicaron los controles durante el período sujeto a auditoría, la consistencia con la cual se aplicaron, y por quién y por quién medios fueron aplicados. Si se usaron controles sustancialmente diferentes en distintos tiempos durante el período sometido a auditoría, el auditor considera cada uno por separado. El auditor puede determinar probar la efectividad de operaciones de los controles al mismo tiempo que evalúa su diseño y obtener evidencia de auditoría respecto de si es eficiente su implementación. Si bien algunos procedimientos de valoración de riesgos que el auditor desarrolló para evaluar el diseño de los controles y para determinar que han sido implementados pueden no haber sido planeados específicamente como pruebas de los controles, ellos pueden, sin embargo, proveer evidencia de auditoría sobre la efectividad de operación de los controles y, en consecuencia inherente del procedimiento de la tecnología de la información, el desarrollo de procedimiento de valoración de riesgos para determinar si un control autorizado ha sido implementado puede servir como una prueba de la efectividad de operación de ese control, dependiendo de factores tales como si se ha cambiado el programa o si existe un riesgo significativo de cambio no autorizado o de otra intervención impropia. También, en la obtención de un entendimiento del ambiente de control, el auditor puede haber hecho indagaciones sobre el uso que la administración da a los presupuestos, observando la comparación que el presupuesto y de los gastos mensuales realiza la administración, e inspeccionado los informes que se relacionan con la investigación de las variaciones entre las cantidades presupuestadas y las cantidades actuales. Si bien esos procedimientos proveen conocimiento sobre el diseño de las políticas de presupuesto de la entidad y si ellas han sido implementadas, también proveen evidencia de auditoría sobre la efectividad de la operación de las políticas de presupuesto en relación con la prevención y detección de declaraciones equivocadas importantes en la clasificación de los gastos. En tales circunstancias, el auditor considera si es suficiente la evidencia de auditoría provista por esas pruebas. Naturaleza de las pruebas de los controles El auditor selecciona los procedimientos de auditoría para obtener seguridad sobre la efectividad de la operación de los controles. La sola indagación no proveerá evidencia de evidencia de auditoría suficiente y apropiada para probar la efectividad de la operación de los controles ordinariamente incluyen aquellos procedimientos usados para evaluar el diseño de los controles y para determinar si han sido implementados, y también incluye el redesempeño de la aplicación del control por parte del auditor. A menudo, el auditor usa una combinación de procedimientos de auditoría para obtener evidencia de auditoría suficiente y apropiada en relación con la efectividad de la operación de un control. Por ejemplo, un auditor puede observar los procedimientos de apertura del correo y el procedimiento de los recibos de caja, para probar la efectividad de operación de los controles sobre los recibos de caja. Dado que una observación es pertinente solamente en el momento del tiempo en que se hace, el auditor puede complementar la observación mediante indagaciones al personal de la entidad y mediante inspección de la documentación sobre la operación de tales controles en otros tiempos durante el período de auditoría. La naturaleza de un control particular influye en el tipo de procedimiento de auditoría que se requiere para obtener evidencia de auditoría sobre si el control estuvo operando efectivamente durante el período sometido a auditoría. Para algunos controles, la efectividad de operación se evidencia mediante documentación. En tales circunstancias, el auditor puede decidir inspeccionar la documentación para obtener evidencia de auditoría sobre la efectividad de operación. Sin embargo, para otros controles puede no estar disponible o puede no ser relevante tal documentación. Por ejemplo, puede no existir documentación de las operaciones para algunos factores del ambiente de control, tal como asignación de autoridad y responsabilidad, o para algunos tipos de procedimientos de control tal como los procedimientos que se desarrollan por computador. En tales circunstancias, la evidencia de auditoría sobre la efectividad de la operación se puede obtener mediante procedimientos de auditoría tales como observación, indagación, o uso de CATTs. Al diseñar las pruebas de los controles, el auditor considera la necesidad de obtener evidencia de auditoría que soporte la operación efectiva de los controles relacionados directamente con la aseveración e igualmente otros controles indirectos de los cuales dependen esos controles directos. Por ejemplo, el auditor puede identificar al usuario de una revisión de un informe de excepciones de ventas a crédito sobre un límite de crédito autorizado a un cliente como un control directo relacionado con una aseveración. En tales casos el auditor considera la efectividad de la revisión del informe realizada por el usuario y también los controles realizados con la exactitud de la información contenida en el informe (por ejemplo, los controles generales). Cuando responde a la valoración del riesgo, el auditor puede usar pruebas de detalle como pruebas de los controles. El objetivo de las pruebas de detalle desarrolladas como procedimientos sustantivos es detectar declaraciones equivocadas importantes en los estados financieros. Si bien esos objetivos son diferentes, ambos se pueden lograr concurrentemente mediante el desarrollo de una prueba de detalles sobre la misma transacción, conocida también como prueba de propósito dual. Por ejemplo, el auditor puede examinar una factura para determinar si ha sido aprobada y para proveer evidencia de auditoría sustantiva respecto a una transacción. El auditor presta consideración al diseño y a la evaluación de tales pruebas para cumplir ambos objetivos. La ausencia de declaraciones equivocadas detectadas por un procedimiento sustantivo no implica que sean efectivos los controles relacionados con la aseveración que se está probando. Oportunidad de las pruebas de los controles La oportunidad de las pruebas de los controles depende del objetivo del auditor y determina el período de confianza en esos controles. Si el auditor prueba los controles en un tiempo particular, el auditor solamente obtiene evidencia de auditoría de que los controles operan efectivamente en ese tiempo. Sin embargo, si el auditor prueba los controles a través del período. La evidencia de auditoría que se relaciona solamente con un punto en el tiempo puede ser suficiente para el propósito del auditor, por ejemplo, cuando prueba los controles sobre el conteo del inventario físico de la entidad a fin del período. Si, de otro modo, el auditor requiere evidencia de auditoría que se relaciona solamente con un punto del tiempo puede no ser suficiente y el auditor complementa esas pruebas con otras pruebas de controles que sean capaces de proveer evidencia de auditoría de que el control operó efectividad en los tiempos relevantes durante el período sometido a auditoría. Por ejemplo, para un control inmerso en un programa de computador, el auditor puede probar la operación del control en un punto particular del tiempo para obtener evidencia de auditoría sobre si el control está operando efectivamente en ese punto del tiempo. El auditor puede entonces desarrollar pruebas de los controles dirigidas a la obtención de evidencia de auditoría sobre si el control operó consistentemente durante el período de auditoría, tales como pruebas de los controles generales relacionados con la modificación y uso de ese programa de computador durante el período de auditoría. Cuando el auditor obtiene evidencia de auditoría sobre la efectividad de la operación de los controles durante un período intermedio, el auditor debe determinar qué evidencia adicional de auditoría se debe obtener para lo que resta del período. Al hacer tal determinación, el auditor considera la importancia de los riesgos valorados de declaración equivocada importante a nivel de aseveración, los controles específicos que se probaron durante el período intermedio, el grado en el cual se obtuvo evidencia de auditoría sobre la efectividad de la operación de esos controles, la duración que resta del período, la evidencia de auditoría sobre la efectividad de la operación que puede derivarse de los procedimientos sustantivos desempeñados en relación con lo que resta del período y con el ambiente de control general. El auditor obtiene evidencia de auditoría sobre la naturaleza y extensión de cualquiera cambios significativo el control interno, incluyendo los cambios en el sistema de información, en los procesos, y en el personal, que ocurren subsecuentes al período intermedio. Se puede obtener evidencia de auditoría adicional mediante la extensión de la prueba de la efectividad de operación de los controles sobre lo que resta del período, considerando la supervisión y seguimiento de los controles de la entidad, o desarrollando procedimientos sustantivos. Si el auditor planea usar evidencia de auditoría sobre la efectividad de la operación de los controles obtenida en períodos anteriores, el auditor debe obtener evidencia de auditoría sobre si se han presentado cambios en esos controles específicos subsecuentes a la auditoría anterior. El auditor debe obtener, mediante una combinación de observación, indagación e inspección, evidencia de auditoría sobre si tales cambios han ocurrido, para confirmar el entendimiento de esos controles específicos. Por ejemplo, al desarrollar la auditoría anterior, el auditor puede haber determinado que un control automatizado estuvo funcionando como se tuvo la intención que lo hiciera. El auditor obtiene evidencia de auditoría para determinar si se han hecho cambios de control automatizado y si tales cambios afectan su funcionamiento efectivo continuado, por ejemplo, mediante la inspección de las bitácoras para señalar que controles han sido cambiados. La consideración sobre la evidencia de auditoría esos cambios puede soportar ya sea aumentar o disminuir la evidencia de auditoría esperada a ser obtenida en el actual período sobre la efectividad de operación de los controles. Si el auditor planea confiar en controles que sea cambiado desde que fueron probados por última vez, el auditor debe probar la efectividad de operación de tales controles en la auditoría actual. Los cambios pueden afectar la relevancia obtenida en períodos anteriores de manera tal que ya no pueden ser base para una confianza continuada. Por ejemplo, los cambios en un sistema que permiten que una entidad reciba un informe nuevo del sistema probablemente no afectan la relevancia de la evidencia de auditoría del período anterior; sin embargo, un cambio que genera que los datos se acumulen o calculen de manera diferente la afecta. Si el auditor planea confiar en controles que no han cambiado desde que fueron probados por última vez, el auditor debe probar la efectividad de operación de tales controles al menos cada tercera auditoría. Al considerar la duración del período que puede transcurrir antes de volver a probar un control, el auditor considera el ambiente de control, la supervisión y seguimiento de los controles que hace la entidad, los controles generales de la tecnología de la información, y la efectividad del control y su aplicación por parte de la entidad. No obstante ello, se requiere que el auditor vuelva a probar un control en el que está confiando, al menos cada tercera auditoría, dado que a mayor duración del tiempo transcurrido desde que se desarrolló la prueba de los controles, menor la evidencia de auditoría que puede proveer sobre la efectividad del control en el período actual de auditoría y mayor la confianza en controles tales como los controles al cambio. Los factores que pueden disminuir el período para volver a probar incluyen un ambiente de control débil, controles manuales, cambios de personal, y controles generales débiles. A más alto sea el riesgo de declaración equivocada importante, o a mayor confianza en los controles, es probable que el periodo transcurrido sea más corto. Donde existe una cantidad de controles para los cuales el auditor determina que es apropiado usar la evidencia de auditoría obtenida en auditorías anteriores, el auditor debe probar la efectividad de operación de algunos controles en cada auditoría. El propósito de este requerimiento es evitar la posibilidad de que el auditor pueda seguir el enfoque de las pruebas al menos cada tercera auditoría, para todos los controles en los cuales el auditor se propone confiar, pero probar solamente aquellos controles en los que dos períodos subsecuentes de auditoría. Además de proveer evidencia de auditoría sobre la efectividad de operación de los controles que se están probando en la auditoría actual, el desarrollo de tales pruebas provee evidencia colateral sobre la efectividad continuada del ambiente de control y por consiguiente contribuye a la decisión sobre si es apropiado confiar en la evidencia de auditoría obtenida en las auditorías anteriores. Cuando el auditor ha determina que un riesgo valorado de declaración equivocada importante a nivel de aseveración es un riesgo importante y el auditor planea confiar en la efectividad de operación de los controles que tienen la intención de mitigar ese riesgo significativo, el auditor debe obtener evidencia de auditoría sobre la efectividad de operación de esos controles a partir de las pruebas de los controles desarrolladas en el período actual. A mayor sea el riesgo de declaración equivocada importante, mayor la evidencia de auditoría que el auditor obtiene respecto de que los controles están operando de manera efectiva. De acuerdo con ello, el auditor no confía en la evidencia de auditoría obtenida en una auditoría anterior respecto de la efectividad de operación de los controles sobre tales riesgos. Extensión de las pruebas de los controles A mayor confianza del auditor sobre la efectividad de operación de los controles en el riesgo valorado, mayor es la extensión de las pruebas de los controles que realiza el auditor (porque se reducirían las pruebas sustantivas). Además, en la medida en que se incrementa la tasa de la desviación esperada de un tributo particular, el auditor incrementa la extensión de las pruebas de los controles. Sin embargo, dada la consistencia inherente del procedimiento de la tecnología de la información, el auditor puede no requerir incrementar la extensión de las pruebas de un control de la tecnología de la información. Un control de aplicación programado debe funcionar consistentemente a menos que se cambie el programa (incluyendo tablas, archivos, u otros datos permanentes usados en el programa). Una vez el auditor determina que un control autorizado está funcionando como se intentó que lo hiciera (lo cual se debe hacer en el momento en el que el control se implementa inicialmente o en alguna otra fecha), el auditor considera desarrollar para determinar que el control continúa funcionando efectivamente. Tales pruebas pueden incluir determinar que los cambios al programa no se hagan sin estar sujetos a los controles apropiados para que el cambio de programa, para el procedimiento de las transacciones se usa la versión autorizada del programa, y que son efectivos los otros controles generales relevantes. Tales pruebas también pueden incluir determinar que no se han realizado los cambios al programa, como puede ser el caso cuando la entidad usa aplicaciones de software empaquetado sin modificarlas o mantenerlas.