Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Nelson Orlando Perez Oquendo

AUDITORÍA DEL CONTROL INTERNO

Anuncio 
AUDITORÍA DEL CONTROL INTERNO
1. CONTROL INTERNO
En materia de control interno se emitió en 1992 el Informe COSO (Committee of
Sponsoring Organizations of the Treadway Commmission), es denominado así,
porque se trata de un trabajo que encomendaron: el Instituto Américano de
Contadores Públicos, la Asociación Américana de Contabilidad, el Instituto de
Auditores Internos, el Instituto de Administración y Contabilidad y el Instituto de
ejecutivos Financieros.
El documento “Internal Control Integrated” emitido por “Committee of Sponsoring
Organizations of de Treadway Commission (COSO)” define el control interno,
describe sus componentes y suministra un criterio con el cual los sistemas de
información pueden ser evaluados. El documento ofrece una guía para informe al
público del control interno y provee materiales que los gerentes, auditores y otros
pueden utilizar para evaluar sus sistemas de control interno. Las dos mayores metas
del documento son:
1. Establecer una definición común del control interno que sirva para muchos
grupos diferentes; y
2. Proveer un estándar con el cual las organizaciones pueden evaluar su sistema
de control y determinar cómo mejorarlos.
1.1
DEFINICIÓN
Control interno es un proceso, efectuado por la junta de directores de una entidad,
gerencia y otra personal, diseñado para proveer razonable seguridad respecto del
logro de objetivos en las siguientes categorías:
 Efectividad y eficiencia de operaciones
 Confiabilidad de la información financiera
 Cumplimiento de las leyes y regulaciones aplicables.
Esta definición refleja ciertos conceptos fundamentales:
 El control interno es un proceso. Esto es, un medio hacia un fin, o un fin en sí
mismo.
 El control interno es efectuado por personas. No es meramente políticas,
manuales y formatos, sino personas a todos los niveles de una organización.
 Del control interno puede esperarse que provea solamente una razonable
seguridad, no absoluta seguridad, a la gerencia y junta de una entidad.
 El control interno es el mecanismo para el logro de objetivos de una o más
categorías separadas o interrelacionadas.
Esta definición de control interno es amplia por dos razones: primero, es el camino
para obtener un acercamiento a la visión de control interno de los negocios de los
dirigentes con los ejecutivos principales, de hechos, ellos a menudo hablan en
términos de control y existir o vivir en control; segundo, acomodarse a los subgrupos
del control interno. Aquellos que necesitan poder concentrarse en algo
separadamente, por ejemplo, controles sobre información financiera o controles
relativos a cumplimiento de regulaciones legales. Similarmente, direccionar la
atención sobre unidades de control en particular o actividades que pueden
adaptarse a una entidad.
Esta definición también provee una base para evaluar la efectividad del control
interno, a discutir más tarde en este capítulo. Los conceptos fundamentales
bosquejados antes son discutidos en los siguientes parágrafos.
1.2
UN PROCESO
El control interno no es un evento o circunstancia, sino una serie de acciones que
tienen la función de pasar o calar a través de las actividades de la entidad. Estas
acciones son penetrantes o inherentes en el modo de manejo gerencial de los
negocios.
Los procesos en los negocios, que son conducidos dentro de, o a través de
organizaciones individuales, o funciones, son manejados por medio de procesos de
planeación, ejecución y supervisión gerencial básicos. El control interno es una
parte de estos procesos y está integrado con ellos. Ellos les permiten funcionar y
supervisar su comportamiento y continuada pertinencia. Esta es una herramienta
usada por la gerencia, no un sustituto de ella.
Esta conceptualización del control interno es muy diferente desde la perspectiva de
algunos observadores, que ven el control interno como algo agregado a las
actividades de la entidad, o como una necesaria carga, impuesta por reguladores o
por los dictados de acuciosos burócratas. El sistema de control interno está
entretejido con las actividades operativas de una entidad, y existe por
fundamentales razones de negocios. Los controles internos tienen el mayor grado
de efectividad cuando ellos son construidos dentro de la infraestructura de la entidad
y son parte de la esencia de la empresa. Ellos deben ser construidos dentro más
bien que construidos sobre.
La construcción dentro de controles puede afectar directamente la capacidad de
una entidad para conseguir sus metas, calidad de sus negocios e iniciativas y
apoyos. La búsqueda por calidad está directamente unida a como son manejados
los negocios y como son controlados no desde la óptica del control sino del
contralor. La calidad de la iniciativa viene a ser parte de la operación de manufactura
de una empresa, como se evidencia por:
 La dirección ejecutiva asegura que el valor de la calidad se construye dentro de
la forma de hacer negocios de la entidad.
 Establecer los objetivos de calidad unidos al conjunto de análisis de otros
procesos e información de la entidad.
 Usar el conocimiento de prácticas competitivas y expectativas de clientes para
inducir continuas mejoras en la calidad.
Estos factores semejantes de calidad son en efecto sistemas de control interno. De
hecho, el control interno no solamente está integrado con programas de calidad,
usualmente es crítico de sus resultados.
La construcción dentro o al interior de controles, tiene además importantes
implicaciones hacia componentes del costo y respuestas de tiempo:
 Casi todas las empresas se enfrentan a mercados altamente competitivos y a la
necesidad de reprimir costos. Enfocando las operaciones existentes y su
contribución hacia el efectivo control interno y construyendo controles dentro de
las actividades de operación básica, una empresa puede evitar a menudo
innecesarios procedimientos y costos.
 La práctica de construir controles dentro de la operación de fabricación ayuda a
acelerar el desarrollo de nuevos controles necesarios para nuevas actividades de
negocios. Tales reacciones automáticas hacen empresas más ágiles y
competitivas.
1.3
PERSONAS
El control interno es efectuado en una entidad, o por la junta de directores, gerencia
y otra personal. Es cumplido por las personas o una organización, por lo que ellos
hacen o dicen. Personas que establecen los objetivos de la entidad o ponen los
mecanismos de control en su lugar.
En forma similar, el control interno afecta las acciones de las personas. El control
interno reconoce que las personas no siempre se comprenden, comunican o llevan
a cabo algo consistentemente. Cada individuo trae al lugar de trabajo un singular
antecedente y capacidad o aptitud técnica, y tiene diferentes necesidades y
prioridades.
Estas realidades afectan y son afectadas por el control interno. Las personas tienen
que saber sus responsabilidades y límites de autoridad. Por consiguiente es
necesario que exista una clara y cerrada articulación entre los deberes y la manera
en que los están cumpliendo, con los objetivos de una entidad.
El personal de una organización incluye la junta de directores, la gerencia y otro
personal. Aunque los directores pueden ser vistos en primer lugar como provisores
de custodia, ellos también proveen dirección y aprueban ciertas transacciones y
políticas. Como tales, la junta de directores es un importante elemento del control
interno.
1.4
RAZONABLE SEGURIDAD
No importa cuan bien diseñado y en operaciones esté el control interno, solo puede
proveer una razonable seguridad a la gerencia y a la junta de directores, respecto
de la realización de los objetivos de la entidad. La probabilidad de realización es
efectuada por limitaciones inherentes en todos los sistemas de control interno. Esto
incluye la realidad de que el juicio humano en la toma de decisiones puede ser
imperfecto, que los responsables por establecer controles necesitan considerar sus
relativos costos y beneficios, y el derrumbamiento puede ocurrir porque tales faltas
humanas son como simple error o equivocación.
Adicionalmente, los controles pueden ser evadidos por colusión de dos o más
personas. Finalmente, la gerencia tiene el poder o capacidad de pasar por encima
o anular el sistema de control interno.
1.5
OBJETIVOS
Cualquier entidad promulga una misión, estableciendo objetivos, y desea logros y
estrategias para realizarlos. Los objetivos pueden ser una aspiración de la entidad
como un todo, o ser un blanco en actividad específica dentro de la entidad. Aun
cuando muchos objetivos son específicos a una entidad particular, algunos son
ampliamente compartidos. Por ejemplo, objetivos virtualmente comunes de todas
las entidades es el logro y mantenimiento de una positiva reputación dentro de los
negocios y comunidad de consumidores, suministrando estados financieros
confiables a los accionistas o propietarios, y trabajando con cumplimiento de leyes
y regulaciones.
Para este estudio los objetivos caen dentro de tres categorías.
 Operaciones: Relativo al efectivo y eficiente uso de los recursos de la entidad.
 Información financiera: Relativo a la preparación y divulgación de estados
financieros confiables.
 Cumplimiento: Relativo al cumplimiento de la entidad con las leyes y
regulaciones aplicables.
Esta categorización deriva enfoques sobre aspectos separados del control interno.
Estas distintas pero traslapadas categorías (un objetivo particular puede caer bajo
más de una categoría) dirigen diferentes necesidades, y pueden ser directa
responsabilidad de diferentes ejecutivos. Esta categorización también deduce
distintivos, entre lo que puede ser esperado desde cada una de las categorías del
control interno.
De un sistema de control interno se puede esperar que provea razonable seguridad
de realización de objetivos a la confiabilidad de la información y cumplimiento de las
leyes y regulaciones. La realización de estos objetivos, que están basados en gran
manera sobre pautas impuestas por personas externas, depende de cómo las
actividades de control dentro de la entidad son llevadas a cabo.
Sin embargo, la ejecución de objetivos de operación, tal como un particular retorno
sobre inversión, mercado compartido o entrada a una nueva línea de productos –
no está siempre dentro del control de la entidad. El control interno no puede prevenir
malos juicios o decisiones, o eventos externos que puedan, en ejecución de sus
propósitos, causar el fracaso de un negocio. Por estas razones, el sistema de control
interno puede proveer razonables seguridad, tan sólo cuando la gerencia en su
papel vigilante, y la junta, se hagan conocedoras, de una manera oportuna, de la
extensión o alcance que hacia esos objetivos es llevada la entidad.
1.6
COMPONENTES
 El control interno consta de cinco componentes interrelacionados que se derivan
de la forma cómo la administración maneje el negocio y están integrados a los
procesos administrativos. Los componentes son:
 El ambiente de control;
 Los procesos de valoración de riesgo de la entidad;
 Los sistemas de información y comunicación;
 Los procedimientos de control; y
 La supervisión y el seguimiento de los controles.
Ambiente de control
El ambiente de control establece el tono de una organización, influyendo en la
conciencia que la gente tiene sobre el control. Es el funcionamiento para el control
interno efectivo, y provee disciplina y estructura.
El ambiente de control comprende los siguientes elementos:
 Comunicación y cumplimiento forzoso de la integridad y de los valores éticos. La
efectividad de los controles no puede estar por encima de la integridad y los
valores éticos de la gente que los crea, administra y supervisa. La integridad y
los valores éticos son elementos esenciales del ambiente de control e influyen en
el diseño, administración, y supervisión de los otros componentes. La integridad
y comportamiento ético son producto de los estándares éticos y de
comportamiento de la entidad, de la manera como se comunican, y de la manera
como se hace obligatorio su cumplimiento en la práctica. Incluyen las acciones
que realiza la administración para eliminar o reducir incentivos y tentaciones que
pueden hacer que el personal se vincule a actos deshonestos, ilegales, o no
éticos. También incluye la comunicación, al personal, de los valores de la entidad
y de los estándares de comportamiento mediante declaraciones de política y
código de conducta y mediante el ejemplo.
 Compromiso por la competencia. La competencia es el conocimiento y
habilidades necesarios para realizar las tareas que definen el trabajo del
individuo. El compromiso por la competencia incluye la consideración que hace
la administración sobre los niveles de competencia requeridos por los trabajos
particulares y la manera como esos niveles se convierten en las habilidades y el
conocimiento requerido.
 Participación de quienes están a cargo del gobierno. La conciencia de control que
tiene una entidad está influenciada de manera importante por quienes están a
cargo del gobierno incluyen independencia de la administración, su experiencia
y posición, la extensión de su participación y escrutinio de las actividades, lo
apropiado de sus acciones, la información que reciben, el grado en el cual se
originan preguntas difíciles y son resueltas junto con la administración, y su
interacción con los auditores internos y externos.
 Filosofía y estilo de operación de la administración. La filosofía y el estilo de
operación de la administración comprenden un rasgo amplio de características.
Tales características pueden incluir lo siguiente: actitudes y acciones de la
administración hacia la presentación de informes financieros (selección
conservadora o agresiva entre los principios de contabilidad alternativos
disponibles, y conciencia y conservadurismo con los cuales se desarrollan los
estimados contables); y actividades de la administración frente al procedimiento
de información y frente a las funciones y el personal de contabilidad.
 Estructura organizacional. La estructura organizacional de una entidad provee la
estructura conceptual dentro de la cual se planean, ejecutan, controlan, y revisan
sus actividades por el logro de los objetivos amplios de la entidad. El
establecimiento de una estructura organizacional relevante incluye considerar las
áreas claves de autoridad y responsabilidad y las líneas apropiadas de
presentación de informes. Una entidad desarrolla una estructura organizacional
de acuerdo con sus necesidades. Lo apropiado de la estructura organizacional
de una entidad depende, en parte, del tamaño y naturaleza de sus actividades.
 Asignación de autoridad y responsabilidad. Este factor incluye la manera como
se asignan la autoridad y la responsabilidad por las actividades de operación y la
manera como se establecen las jerarquías de relación y autorización. También
incluye las políticas relacionadas con las prácticas de negocio apropiadas, el
conocimiento y la experiencia del personal clave, y los recursos provistos para
llevar a cabo las obligaciones. Además, incluye las políticas y las comunicaciones
dirigidas para asegurar que todo el personal entiende los objetivos de la entidad,
conoce cómo sus acciones individuales se interrelaciona y contribuye a esos
objetivos, y reconoce cómo y por qué será responsable.
 Políticas y prácticas de recursos humanos. Las políticas y prácticas de recursos
humanos se relacionan con contratación, orientación, entrenamiento, evaluación,
consejería, promoción, compensación, y acciones remediales. Por ejemplo, los
estándares para contratar los individuos más calificados – con énfasis en
trasfondo educativo, experiencia de trabajo anterior, logros pasados, y evidencia
de integridad y comportamiento ético – demuestra el compromiso de una entidad
para con gente competente y meritoria. Las políticas de entrenamiento que
comunican los roles y las responsabilidades prospectivos e incluyen prácticas
tales como escuelas de entrenamiento y seminarios ilustran los niveles
esperados de desempeño y comportamiento. Las promociones direccionadas
para evaluaciones periódicas del desempeño demuestran el compromiso de la
entidad por el avance del personal calificado hacia los niveles más altos de
responsabilidad.
 Aplicaciones a entidades pequeñas. Las entidades pequeñas. Las entidades
pequeñas pueden implementar los elementos del ambiente de control de manera
diferente a como lo hacen las entidades más grandes. Por ejemplo, las entidades
pequeñas pueden no tener un código de conducta escrito pero, en lugar de ello,
desarrollar una cultura que enfatice la importancia de la integridad y del
comportamiento ético, haciendo mediante comunicación oral y por ejemplo de la
administración. De manera similar, quienes están a cargo del gobierno en las
entidades pequeñas pueden no incluir un miembro independiente o externo.
Proceso de valoración de riesgo de la entidad
El proceso de valoración de riesgo de la entidad es su proceso para identificar y
responder a los riesgos de negocio y los resultados que de ellos se derivan. Para
propósitos de la presentación de informes financieros, el proceso de valoración de
valoración de riesgos de la entidad incluye la manera como la administración
identifica los riesgos relevantes para la preparación de estados financieros que da
origen a una presentación razonable, en todos los aspectos importantes de acuerdo
con las políticas y procedimientos utilizados para la contabilidad y presentación de
informes financieros, estima su importancia, valora la probabilidad de su ocurrencia,
y decide las acciones consiguientes para administrarlos. Por ejemplo, el proceso de
valoración de riesgos de la entidad puede direccionar la manera como la entidad
considera la posibilidad de existencia de transacciones no registradas o identifica y
analiza las estimaciones importantes registradas en los estados financieros. Los
riesgos relevantes para la presentación confiable de informes financieros también
se relacionan con eventos o transacciones específicos.
Los riesgos relevantes para la presentación de informes financieros incluyen
eventos y circunstancias externos e internos que pueden ocurrir y afectar de manera
adversa la habilidad de una entidad para iniciar, registrar, procesar, e informar datos
financieros consistentes con las aseveraciones de la administración contenidas en
los estados financieros. Una vez identificados los riesgos, la administración
considera su importancia, la probabilidad de su ocurrencia, y la manera como se
deben ser administrados. La administración puede iniciar planes, programas, o
acciones para direccionar riesgos específicos o puede decidir aceptar un riesgo a
causa del costo y por otra consideración. Los riesgos pueden surgir o cambiar a
causa de circunstancias tales como las siguientes:
 Cambios en el entorno de operación. Los cambios en el entorno regulador o de
operación pueden derivar en cambios en presiones importantes y en riesgos
significativamente diferentes.
 Personal nuevo. El personal nuevo puede tener un centro de atención o un
entendimiento diferente con relación al control interno.
 Sistemas de información nuevos o modernizados. Los cambios significativos y
rápidos en los sistemas de información pueden cambiar el riesgo relacionado con
el control interno.
 Crecimiento rápido. La expansión importante y rápida de las operaciones puede
forzar los controles e incrementar el riesgo de una ruptura de los controles.
 Nueva tecnología. La incorporación de nuevas tecnologías en los procesos de
producción o en los sistemas de información puede cambiar el riesgo asociado
con el control interno.
 Modelo de negocio, productos, o actividades nuevos. El ingresar en áreas de
negocio o en transacciones en las cuales una entidad tiene poca experiencia
puede introducir nuevos riesgos asociados con el control interno.
 Reestructuración corporativa. Las restructuraciones pueden estar acompañadas
por reducciones en el personal y por cambios en la supervisión y en la
segregación de obligaciones lo cual puede cambiar el riesgo asociado con el
control interno.
 Operaciones extranjeras expandidas. La expansión o adquisición de operaciones
extranjeras conlleva riesgos nuevos y únicos que pueden afectar el control
interno, por ejemplo, riesgos adicionales o modificados que surgen de las
transacciones en moneda extranjera.
 Nuevos pronunciamientos de contabilidad. La adopción de nuevos principios de
contabilidad o el cambio en los principios de contabilidad puede efectuar los
riesgos que existen en la preparación de estados financieros.
 Aplicación a entidades pequeñas. Los conceptos básicos del proceso de
valoración de riesgos de la entidad deben estar presentes en cada entidad,
independiente del tamaño, pero el proceso de valoración de riesgo es probable
que sea menos formal y esté menos estructurado que en las grandes. Todas las
entidades deben establecer objetivos de presentación de informes financieros,
pero ellos pueden haber sido reconocidos implícita más que explícitamente en
las entidades pequeñas. Mediante la participación personal directa con los
empleados y con terceros, la administración puede ser capaz de aprender sobre
los riesgos relacionados con esos objetivos.
Sistemas de información y comunicación
Un sistema de información consta de infraestructura, software, gente,
procedimientos, y datos. La infraestructura y el software estarán ausentes, o tendrán
menor significado, en los sistemas que son exclusiva o principalmente manuales.
Muchos sistemas de información hacen uso extensivo de la tecnología de la
información (IT).
El sistema de información relevante para los objetivos de presentación de informes
financieros, que incluye el sistema de presentación de informes financieros, consta
de los procedimientos, y de los registros establecidos para iniciar, registrar,
procesar, e informar las transacciones de la entidad y para mantener la obligación
de responder por los activos, pasivos, y patrimonio neto relacionados. Las
instrucciones pueden ser iniciadas manual o automáticamente mediante
procedimientos programados. Los registros incluyen la identificación y captura de
información relevante para las transacciones o eventos. El procedimiento incluye
funciones tales como edición y validación, calculo, medición, valuación, resumen, y
conciliación, ya sean desarrolladas por procedimientos automatizados o manuales.
La presentación de informes se relaciona con la preparación de informes financieros
así como otra información, en forma electrónica o impreso, que la entidad usa para
medir y revisar el desempeño financiero de la entidad y que también emplea en
otras funciones. La calidad de la información generada por el sistema afecta la
habilidad de la administración para tomar decisiones apropiadas en la
administración y control de las actividades de la entidad y para preparar informes
financieros confiables.
De acuerdo con ello, un sistema de información comprende métodos y registros
que:
 Identifican y registran todas las transacciones válidas, suficiente detalle para
permitir la clasificación apropiada de las transacciones para efecto de la
presentación de informes financieros.
 Mide el valor de las transacciones de una manera que permite registrar su propio
valor monetario en los estados financieros.
 Determina el período en la cual ocurrieron las transacciones, para permitir el
registro de las mismas en el período contable apropiado.
 Presentar adecuadamente, en los estados financieros, las transacciones y
revelaciones relacionadas.
La comunicación implica proveer un entendimiento de los papeles y
responsabilidades individuales que se relacionan con el control interno sobre la
presentación de informes financieros. Incluye la extensión en la cual el personal
entiende cómo sus actividades en el sistema de información para la presentación
de informes financieros se relaciona con el trabajo de otros y los medios que se
utilizan para informar excepciones a un nivel más alto apropiado al interior de la
entidad. Los canales de comunicación abiertos ayudan a asegurar que las
excepciones se reportan y se actúa sobre ellas.
La comunicación toma formas tales como manuales de políticas, manuales de
contabilidad y de presentación de informes financieros, y memorandos. La
comunicación también se puede hacer electrónicamente, oralmente, y mediante
acciones de la administración.
Aplicación en entidades pequeñas. Los sistemas de información y los procesos de
negocio relacionados relevantes para la presentación de informes financieros en las
entidades pequeñas es probable que sean menos formales que en las entidades
grandes, pero su papel es igualmente importante. Las entidades pequeñas son
participación activa de la administración pueden no requerir descripciones extensas
de los procedimientos de contabilidad, ni registros contables sofisticados, ni
políticas escritas. La comunicación puede ser menos formal y más fácil de lograr en
una entidad pequeña que en una entidad grande debido al tamaño de la entidad y
a los niveles, lo mismo que a la mayor visibilidad y disponibilidad de la
administración.
Procedimientos de control
Los procedimientos de control son las políticas y los procedimientos que ayudan a
asegurar que se lleven a cabo las directivas de la administración, por ejemplo, que
se toman las acciones necesarias para direccionar los riesgos hacia el logro de los
objetivos de la entidad. Los procedimientos de control teniendo diversos objetivos y
se aplican en distintos niveles organizacionales y funcionales.
Generalmente, los procedimientos de control que pueden ser relevantes para una
auditoría se pueden categorizar como políticas y procedimientos que se relacionan
con lo siguiente:
 Revisiones del desempeño. Estos procedimientos de control incluyen revisiones
del desempeño actual versus presupuestos, pronósticos, y desempeño del
período anterior; relacionando diferentes conjuntos de datos – de operación o
financieros – unos con otros, junto con análisis de las relaciones y acciones de
investigación y correctivas; y revisión del desempeño funcional o de actividad, tal
como los préstamos de consumo de un banco, la revisión que hace la
administración de informes por sucursal, región, y tipo de préstamo, para
aprobaciones y obtenciones de préstamos.
 Procedimiento de información. Se desarrolla una variedad de controles para
verificar la exactitud, integridad y autorización de las transacciones. Los dos
agrupamientos más amplios de los procedimientos de control de los sistemas de
información son controles de aplicación y controles generales. Los controles de
aplicación se refieren al procesamiento de las aplicaciones individuales. Estos
controles ayudan a asegurar que las transacciones ocurrieron, están autorizadas,
y están completa y exactamente registradas y procesadas. Los controles
generales comúnmente incluyen controles sobre los centros de datos y las
operaciones de las de acceso; y adquisición, desarrollo, y mantenimiento del
sistema de aplicación. Esos controles aplican ambientes de mainframe,
miniframe, y usuario final. Ejemplos de tales controles son los controles a los
cambios de los programas o a los datos, controles sobre la implementación de
nuevas ediciones de aplicaciones de software empaquetado, y controles sobre
software de sistemas que restringen el acceso o monitorean el uso de las
utilidades del sistema que podrían cambiar los datos o los registros financieros
sin dejar un rastro de auditoría.
 Controles físicos. Estas actividades comprenden la seguridad física de los
activos, incluyendo salvaguardas adecuadas tales como instalaciones
aseguradas, acceso seguro y activos y registros; autorización para el acceso a
programas de computación y archivos de datos; y conteo y comparaciones
periódicos con las cantidades que se muestran en los registros de control. La
extensión en la cual se intenta que los controles físicos prevengan el hurto de
activos que son relevantes para la confiabilidad de la preparación de los estados
financieros, y por consiguiente de la auditoría, depende de circunstancias tales
como cuando un activo es altamente susceptible a uso equivocado. Por ejemplo,
esos controles ordinariamente no serían relevantes cuando cualquier pérdida de
inventario sería detectada mediante la inspección física periódica y registrada en
los estados financieros. Sin embargo, si para propósitos de la presentación de
informes financieros la administración confía solamente en los registros de
inventario perpetuo, los controles de seguridad física serían relevantes para la
auditoría.
 Segregación de funciones. La asignación de gente diferente para las
responsabilidades de autorizar transacciones, registrar transacciones y mantener
la custodia de los activos, tiene la intención de reducir las oportunidades o
permitirle a cualquier persona que se encuentre en posición de perpetrar y ocultar
errores o fraude en el curso normal de las obligaciones del auditor.
 Aplicación
a entidades pequeñas. Los conceptos subyacentes a los
procedimientos de control en las entidades pequeñas es probable que sean
similares a los de las entidades grandes, pero varía la formalidad con la cual
operan. Además, las entidades pequeñas pueden encontrar que ciertos tipos de
procedimientos de control no son relevantes a causa de los controles aplicados
por la administración. Por ejemplo, la retención que hace la administración de la
autoridad para aprobar ventas a crédito, compras importantes, y aumentar –
disminuir líneas de crédito, puede proveer fuerte control sobre esas actividades,
reduciendo o removiendo la necesidad de procedimientos de control más
detallado. Una segregación apropiada de las funciones a menudo parece que
presenta dificultades en las entidades pequeñas. Sin embargo, aún las
compañías que tienen solamente unos pocos empleados, pueden ser capaces
de asignar sus responsabilidades para lograr la segregación apropiada o, si esto
no es posible, usar supervisión por parte de la administración sobre las
actividades incompatibles a fin de lograr objetivos de control.
Supervisión y seguimiento de los controles
La supervisión y el seguimiento de los controles es un proceso para valorar la
calidad del desempeño del control interno en el tiempo. Implica valorar el diseño y
la operación de los controles sobre una base oportuna y tomar las acciones
correctivas necesarias. La supervisión y el seguimiento se realizan para asegurar
que los controles continúan operando efectivamente. La supervisión y el
seguimiento de los controles se logran mediante actividades de supervisión y
seguimiento en tiempo real, evaluaciones separadas, o una combinación de los dos.
Las actividades de supervisión y seguimiento en tiempo real se construyen en las
actividades recurrentes normales de una entidad e incluyen la administración
regular y las actividades de supervisión. Los administradores de ventas, compras, y
producción a niveles de división y corporativo se encuentra frente a las operaciones
y pueden cuestionar los informes que difieren significativamente de su conocimiento
sobre las operaciones.
En muchas entidades, los auditores internos o el personal que desempeña
funciones similares contribuyen a la supervisión y seguimiento de los controles de
una entidad mediante evaluaciones separadas. Regularmente proveen información
sobre el funcionamiento del control interno, prestando considerable atención a la
evaluación del diseño y a la operación del control interno. Comunican información
sobre fortalezas y debilidades y ofrecen recomendaciones para mejorar el control
interno.
Las actividades de supervisión y seguimiento pueden incluir el uso de información
proveniente de comunicaciones recibidas de partes externas. Los clientes
implícitamente corroboran los datos de facturación mediante el pagar sus facturas
o asumiendo sus cargos. Además, los reguladores pueden comunicar a la entidad
las preocupaciones sobre asuntos que afectan el funcionamiento del control interno,
por ejemplo, comunicaciones relacionadas con exámenes realizados por agencias
reguladoras de bancos. En el desarrollo de sus actividades de supervisión y
seguimiento, la administración también puede considerar comunicaciones
relacionadas con el control interno provenientes de los auditores externos.
Aplicación a entidades pequeñas. Las actividades de supervisión y seguimiento en
tiempo real de las entidades pequeñas es más probable que sean informales y
típicamente sean desarrolladas como parte de la administración general de las
operaciones de la entidad. La participación estrecha de la administración en las
operaciones a menudo identificará variaciones importantes frente a las expectativas
e identificará inexactitudes en los datos financieros.
2. AUDITORÍA DEL CONTROL INTERNO
La auditoría del control interno es la evaluación del control interno integrado, con el
propósito de determinar la calidad de los mismos, el nivel de confianza que se les
puede otorgar y si son eficaces y eficientes en el cumplimiento de sus objetivos.
Esta evaluación tendrá el alcance necesario para dictaminar sobre el control interno
y por lo tanto, no se limita determinar el grado de confianza que pueda conferírsele
para otros propósitos.
En una auditoría de control interno practicada con el objetivo de emitir una opinión
sobre el mismo, se debe utilizar una metodología que cubra lo siguiente:
 Planeación
 Prueba de los controles
 Comunicación de los resultados
2.1
PLANEACIÓN
La etapa de planeación de la Auditoría del Control Interno es la comprensión del
negocio de la entidad, su entorno y los componentes del control interno.
El auditor debe obtener un entendimiento de la entidad, su entorno y los
componentes del control interno, que sea suficiente para valorar los riesgos de
declaración equivocada importante en los estados financieros, incumplimiento de
leyes y otras fallas debido a fraude o error; y suficiente para diseñar y desarrollar
procedimientos de auditoría adicionales para reducir a niveles bajos los riesgos de
control.
A los procedimientos de auditoría dirigidos a obtener tal entendimiento se les conoce
como procedimientos de valoración de riesgos dado que alguna de la información
obtenida mediante el desarrollo de tales procedimientos puede ser usada por el
auditor como evidencia de auditoría para soportar las valoraciones de los riesgos
de declaraciones equivocadas importantes de los estados financieros y de los otros
asuntos cubiertos por la auditoría integral.
Para obtener un entendimiento de la entidad, su entorno y los componentes de
control interno, el auditor debe desarrollar los siguientes procedimientos de
valoración de riesgos:




Indagaciones a la administración y a otros al interior de la entidad;
Procedimientos analíticos;
Observación e inspección; y
Otros procedimientos de auditoría que sean apropiados.
El entendimiento en la entidad y su entorno incluye el conocimiento de:
 Industria, regulación y otros factores externos, incluyendo las políticas y
procedimientos utilizados para la contabilidad y representación de estados
financieros;
 Naturaleza de la entidad;
 Objetivos, estrategias y riesgos de negocio relacionados;
 Medición y revisión del desempeño financiero de la entidad; y
 Control interno
Industria, regulación y otros factores externos, incluyendo las políticas y
procedimientos utilizados para la contabilidad y presentación de estados
financieros
Ejemplos de asuntos que un auditor puede considerar incluyendo lo siguiente:
Condiciones de industria
 El mercado y la competencia, incluyendo demanda, capacidad y competencia en
precios.
 Actividad cíclica o estacional.
 Tecnología de producto relacionada con los productos de la entidad.
 Suministro y costos de energía.
Entorno regulador
 Principios de contabilidad y prácticas específicas de la industria.
 Estructura conceptual reguladora para una industria reguladora.
 Legislación y regulación que afecten significativamente las operaciones de la
entidad.
 Requerimientos reguladores.
 Actividades directas de supervisión.
 Tributación (corporativa y de otro tipo)
 Políticas gubernamentales que afectan actualmente la dirección de los negocios
de la entidad.
 Monetarias, incluyendo controles de cambio extranjero.
 Fiscal.
 Incentivos financieros (por ejemplo, programas gubernamentales de ayuda).
 Tarifas, restricciones comerciales.
 Otros factores externos que afectan actualmente los negocios de la entidad.
 Nivel general de la economía (por ejemplo, recesión, crecimiento).
 Tasas de interés y disponibilidad de financiación.
 Inflación, devaluación de la moneda.
Naturaleza de la entidad
Ejemplos de asuntos que un auditor puede considerar incluyen lo siguiente:
Operaciones de negocio:
 Naturaleza de las fuentes de ingreso.
 Productos o servicios y mercados por ejemplo, clientes y contratos principales,
términos de pago, márgenes de utilidad, participación en el mercado,
competidores, exportaciones, políticas de fijación de precios, reputación de los
productos, garantías, libros de órdenes, tendencias, estrategias y objetivos de
mercadeo, procesos de manufactura.
 Dirección de las operaciones.
 Alianzas, acuerdos de riesgo compartido, y outsourcing de actividades.
 Involucramiento en el comercio electrónico, incluyendo actividades de venta y
mercadeo por internet.
 Dispersión geográfica y segmentación de la industria.
 Ubicación de las instalaciones de producción, almacenes, y oficinas.
 Clientes clave.
 Proveedores importantes de bienes y servicios.
 Empleado por ejemplo, por ubicación, suministro, niveles salariales, sindicatos,
pensiones y otros beneficios posteriores al empleo, acuerdos de opiniones de
acciones o incentivos mediante bonos, y regulación gubernamental relacionada
con el empleo.
 Actividades y desembolsos de investigación y desarrollo
 Transacciones con partes relacionadas.
 Inversiones.
 Adquisiciones, funciones o disposiciones de actividades de negocio planeadas o
ejecutadas recientemente.
 Inversiones y disposiciones de títulos valor y empréstitos.
 Actividades de inversión de capital, incluyendo inversiones en planta y equipo y
tecnología, y cualquier cambio reciente o planeado.
 Inversiones en actividades, incluyendo sociedades, acuerdos de riesgo
compartido y entidades de propósito especial.
Financiación
 Estructura del grupo – subsidiarias principales y entidades asociadas, incluyendo
estructuras consolidadas y no consolidadas.
 Estructura de deuda, incluyendo convenios, restricciones, garantías y cuerdos de
financiación por fuera de balance.
 Arrendamiento de propiedad, planta o equipo para uso en el negocio.
 Propietarios benefactores (locales, extranjeros, reputación y experiencia de
negocios).
 Partes relacionadas.
 Uso de instrumentos financieros derivados.
Prestación de informes financieros
Principios de contabilidad y prácticas específicas de la industria.
Prácticas de reconocimiento de ingresos.
Contabilidad de valores razonables
Inventarios.
Activos, pasivos y transacciones en moneda extranjera.
Categorías importantes específicas de la industria.
Contabilidad de transacciones inusuales o complejas incluyendo aquellas en
áreas que generan controversia o emergentes por ejemplos, contabilidad de la
compensación basada en acciones.
 Presentación y revelación de los estados financieros.







Objetivos, estrategias y riesgos de negocios relacionados
Ejemplos de asuntos que un auditor puede considerar incluyen:
Existencia de objetivos relacionados con, por ejemplo, lo siguiente:
 Desarrollos de la industria (riesgo de negocio potencial – la entidad no tiene el
personal o la experiencia para manejar los cambios en la industria).
 Productos y servicios nuevos (riesgo de negocio potencial – incremento en las
obligaciones derivadas de producto).
 Expansión del negocio (riesgo de negocio potencial – la demanda no ha sido
estimada de manera exacta).
 Nuevos requerimientos de contabilidad (riesgo de negocio potencial –
implementación incompleta o no apropiada, incremento en costo).
 Requerimientos reguladores (riesgo de negocio potencial – incremento en la
exposición legal).
 Requerimientos actuales y prospectivos de financiación (riesgo de negocio
potencial – pérdida de financiación a causa de incapacidad para satisfacer los
requerimientos).
 Uso de la tecnología de la información (riesgo de negocio potencial – sistemas y
procesos no compatibles).
 Efectos de la implementación de una estrategia, particularmente cualesquiera
efectos que conducirán a nuevos requerimientos de contabilidad (riesgo de
negocio potencial – implementación incompleta o no apropiada).
Medición y revisión del desempeño financiero de la entidad
Ejemplos de asuntos que un auditor puede considerar incluyen:
 Razones claves y estadísticas de operación.
 Indicadores clave del desempeño.
 Medidas del desempeño de los empleados y políticas de compensación por
incentivos.
 Tendencias.
 Uso de pronósticos, presupuestos y análisis de variaciones.
 Análisis de informes y reportes de clasificación de créditos.
 Análisis de los competidores
 Desempeño financiero por varios períodos (crecimiento de ingresos, rentabilidad,
apalancamiento).
Control interno
El auditor debe desarrollar procedimientos de valoración de riesgos para obtener un
entendimiento de los componentes del control interno. El entendimiento del control
interno se usa para identificar los tipos de declaraciones equivocadas potenciales,
considerar los factores que afectan los riesgos de declaración equivocada
importante, y diseñar la naturaleza, oportunidad, y extensión de los procedimientos
de auditoría adicionales.
El control interno es diseñado y afectado por quienes están a cargo del gobierno, la
administración y otro personal para proveer seguridad razonable sobre el logro de
los objetivos de la entidad en relación con la confiabilidad de la presentación de
informes financieros, la efectividad y la eficiencia de las operaciones y el
cumplimiento con las leyes y regulaciones aplicables. El control interno, tal y como
se expuso anteriormente, consta de los siguientes componentes:
 El ambiente de control;
 Los procesos de valoración de riesgo de la entidad;
 El sistema de información y comunicación de informes financieros;
 Los procedimientos de control; y
 La supervisión y seguimiento de los controles.
Los anteriores componentes del control interno son aplicables a la auditoría de
cualquier entidad. La extensión del entendimiento de los componentes se considera
en el contexto de:
 El juicio del auditor sobre la importancia relativa.
 El tamaño de la entidad.
 La organización de la entidad y las características de su capital.
 La naturaleza de los negocios de la entidad.
 La diversidad y complejidad de las operaciones de la entidad.
 Los requerimientos legales y reguladores aplicables.
 La naturaleza y complejidad de los sistemas que hacen parte del control interno
de la entidad, incluyendo el uso de organizaciones de servicio.
La obtención de un entendimiento del control interno incluye la evaluación del diseño
de un control y la determinación de si ha sido implementada. La evaluación del
diseño de un control incluye considerar si el control es capaz de prevenir
efectivamente, o de detectar y corregir, declaraciones equivocadas importantes. La
implementación de un control significa que el control existe y que la entidad lo está
usando. La obtención de evidencia de auditoría sobre el diseño e implementación
de los controles relevantes puede implicar indagar al personal de la entidad,
observar la aplicación de controles específicos, inspeccionar documentos e
informes, y rastrear transacciones a través del sistema de información relevante
para la presentación de informes financieros. La sola indagación al personal de la
entidad no será suficiente para evaluar el diseño de un control o para determinar si
se ha implementado un control, sino que se hace necesario desarrollar pruebas de
control seleccionando muestras apropiadas.
La división del control interno en los cinco componentes provee una estructura
conceptual útil para que los auditores consideren como los diferentes aspectos del
control interno de una entidad pueden afectar la auditoría. Sin embargo, no refleja
necesariamente la manera como una entidad considera e implementa el control
interno. También, la consideración principal del auditor es si, y cómo, un control
específico previene, o detecta y corrige, declaraciones equivocadas importantes en
clases de transacciones, saldos de cuenta o revelaciones y las aseveraciones
relacionadas, más que en su clasificación en cualquier componente particular.
Para los propósitos de una auditoría de control interno, el término control interno
comprende todos los cinco componentes del control interno arriba señalados.
Además, el término “controles” se refiere a uno o más de los componentes, o a
cualquier aspecto relacionado.
Controles relevantes para la auditoría
Existe una relación directa entre los objetivos de una entidad y los controles que
implementa para proveer seguridad razonable sobre su logro. Si bien los objetivos
de la entidad y los controles vinculados, se relacionan con la presentación de
informes financieros, las operaciones y el cumplimiento, no todos esos objetivos y
controles son relevantes para la auditoría de los estados financieros de la entidad.
Además, si bien el control interno aplica a toda la entidad o a cualquiera de sus
unidades de operación o proceso de negocio, un entendimiento del control interno
relacionado con cada una de las unidades de operación y de los procesos de
negocio de la entidad puede no ser relevante para la auditoría.
Ordinariamente, los controles que son relevantes para una auditoría se relacionan
con el objetivo de la entidad de preparar estados financieros para propósitos
externos que de un punto de vista junto y razonable de acuerdo con la estructura
conceptual aplicable de presentación de informes financieros y la administración del
riesgo que pueden dar origen a un riesgo de declaración equivocada importante en
esos estados financieros. Los controles relevantes para la auditoría son aquellos
que individualmente o en combinación con otros es probable que prevengan, o
detecten y corrijan, declaraciones equivocadas importantes de los estados
financieros. Tales controles pueden existir en cualquiera de los componentes del
control interno. Los controles relacionados con los objetivos, operaciones y
cumplimiento pueden ser relevantes para una auditoría si se relacionan con los
datos que el auditor evalúa o usa en la aplicación de los procedimientos.
Los controles relacionados con los objetivos, operaciones y cumplimiento pueden
ser relevantes para la auditoría si se relacionan con los datos que el auditor evalúa
o usa en la aplicación de los procedimientos de auditoría. Por ejemplo, pueden ser
relevantes para la auditoría los controles relacionados con datos no financieros que
el auditor usa en los procedimientos analíticos, tales como estadísticas de
producción, o los controles relacionados con la detección del no cumplimiento con
leyes y regulaciones y que pueden tener un efecto directo e importante en los
estados financieros, tales como los controles sobre el cumplimiento con las leyes
tributarias y las regulaciones usadas para determinar las provisiones para
impuestos.
Una entidad generalmente tiene controles que se relacionan con objetivos que no
son relevantes para una auditoría y que por lo tanto no requieren ser considerados.
Por ejemplo, una entidad puede confiar en un sistema sofisticado de controles de
la tecnología de la información para proveer operaciones eficientes y efectivas (tal
como el sistema de controles de la tecnología de la información de una aerolínea
comercial, destinado a mantener las programaciones de vuelos), pero esos
controles ordinariamente no serían relevantes para la auditoría de estados
financieros.
El control interno sobre la salvaguarda de activos contra adquisición, uso, o
disposición no autorizados puede incluir controles relacionados con objetivos de
presentación de informes financieros y de operaciones. Al obtener un entendimiento
de cada uno de los componentes del control interno, la consideración que hace el
auditor de los controles de salvaguarda generalmente se limita a aquellos que son
relevantes para la confiabilidad de la representación de informes financieros. Por
ejemplo, el uso de controles de acceso, tales como claves, que limitan el acceso a
los datos y a los programas que procesan los desembolsos de caja puede ser
relevante para la auditoría de estados financieros. De manera inversa, los controles
para prevenir el uso exclusivo de importantes en la producción generalmente no son
relevantes para una auditoría de estados financieros.
Efecto de la tecnología de la información en el control interno
El uso que una entidad hace de la tecnología de la información puede efectuar
cualquiera de los cinco componentes del control interno relevantes para el logro de
los objetivos de presentación de informes financieros, operaciones, o cumplimiento
de la entidad y sus unidades de operación o procesos de negocio. Por ejemplo, una
entidad puede usar la tecnología de la información como parte del sistema discretos
que soportan solamente unidades de negocio, procesos, o actividades particulares,
tales como un sistema único de cuentas por cobro para una unidad de negocios
particular o un sistema que controla la operación del equipo de fabricación. De
manera alternativa, una entidad puede tener sistemas complejos, altamente
integrados, que comparten datos y que se usan para soportar todos los aspectos de
los objetivos de presentación de informes financieros, operaciones y cumplimientos
de la entidad.
El uso de la tecnología de la información también afecta la manera como se inician,
registran, procesan y reportan las transacciones. En un sistema manual, una entidad
usa procedimientos manuales y registros en formato de papel (por ejemplo, los
individuos pueden registrar manualmente las órdenes de venta en forma o diarios
de papel, autorizar créditos, preparar informes de embarque y facturas y mantener
los registros de las cuentas por cobrar). Los controles en tal sistema también son
manuales y pueden incluir procedimientos tales como aprobación y revisión de
actividades, y conciliaciones y seguimientos de conciliación de los elementos. De
manera alternativa, una entidad puede tener sistemas de información que usan
procedimientos autorizados para iniciar, registrar, procesar, e informar las
transacciones, caso en el cual los registros en formato electrónico reemplazan tales
documentos en papel como son las órdenes de compra, facturas, documentos de
embarque, y los registros contables relacionados. Los controles en los sistemas que
usan la tecnología de la información consisten en una combinación de controles
autorizados (por ejemplo, controles inmersos en los programas de computador) y
controles manuales. Además, los controles manuales pueden ser independientes
de la tecnología de la información, pueden usar información producida por la
tecnología de la información, o pueden limitarse a supervisar el funcionamiento
efectivo de la tecnología de la información y de los controles automatizados, y para
manejar las excepciones. La mezcla que hace una entidad de los controles
manuales y automatizados varía con la naturaleza y complejidad con que la entidad
usa la tecnología de la información.
La tecnología de la información provee beneficios potenciales de efectividad y
eficiencia para el control interno de una entidad dado que le permite:





Aplicar de manera consistente reglas de negocio predefinidas y desarrollar
cálculos complejos en el procesamiento de grandes volúmenes de
transacciones o datos.
Enriquecer la oportunidad, disponibilidad y exactitud de la información.
Facilitar el análisis adicional de la información.
Enriquecer la habilidad para supervisar el desarrollo de las actividades de la
entidad y sus políticas y procedimientos.
Reducir el riesgo de que los controles serán eludidos.

Enriquecer la habilidad para lograr efectiva segregación de funciones
mediante la implementación de controles de seguridad en aplicaciones,
bases de datos y sistemas de operación.
La tecnología de la información también genera riesgos específicos para el control
interno de una entidad, incluyendo:






Confianza en sistemas o programas que están procesando datos de manera
inexacta, están procesando datos inexactos, o ambos. Acceso no autorizado
a datos que pueden derivar en destrucción de datos, en cambios no
apropiados a los datos, incluyendo el registro inexacto de las transacciones.
Cambios no autorizados en los datos contenidos en los archivos maestros.
Cambios no autorizados a los sistemas o a los programas.
Falla en hacer los cambios necesarios a los sistemas o a los programas.
Intervención manual no apropiada.
Perdida potencial de datos o inhabilidad para acceder a los datos cuando se
requiere.
Limitaciones de control interno
El control interno, no importa que también esté diseñado y operado, puede proveer
a una entidad solamente seguridad razonable sobre el logro de los objetivos de la
entidad. La probabilidad de logro se afecta por limitaciones inherentes de control
interno. Esas limitaciones incluyen las realidades de que el juicio humano en la toma
de decisiones puede ser imperfecto y que pueden ocurrir rupturas en el control
interno a causa de fallas humanas, tales como errores o equivocaciones simples.
Por ejemplo, pueden ocurrir errores en el diseño, mantenimiento, o supervisión y
seguimiento de los controles de la tecnología de la información. Si una persona de
una tecnología de la información de la entidad no entiende completamente cómo un
sistema de acceso de órdenes procesa las transacciones de venta para una nueva
línea de productos. De otro modo, tales cambios pueden estar diseñados de manera
correcta pero puede no estar bien entendidos por los individuos que trasladan el
diseño en un código de programa. También pueden ocurrir errores en el uso de la
información producida por la tecnología de la información. Por ejemplo, se pueden
diseñar controles para informar transacciones sobre una entidad especificada de
revisión administrativa, pero los individuos responsables por dirigir la revisión
pueden no entender el propósito de tales informes y, de acuerdo con ello, pueden
fallar en revisarlos o en investigar elementos no usuales.
Adicionalmente, se pueden evadir los controles mediante la confabulación de dos o
más personas o que la misma administración desautorice de manera inapropiada el
control interno. Por ejemplo, la administración puede hacer acuerdo con los clientes
y alterar los términos y las condiciones del contrato estándar de ventas de la entidad,
de manera que evitaría el reconocimiento de ingresos. También, se pueden evadir
o invalidar las rutinas de edición en un programa de software que esté diseñado
para identificar e informar transacciones que exceden límites de crédito previamente
especificados.
2.2
PRUEBAS DE LOS CONTROLES
En las pruebas de los controles que soportan la auditoría de control interno se debe
tener claro que el objetivo de ésta es distinto al de una auditoría financiera y por lo
tanto el alcance y la oportunidad de los procedimientos pueden variar. De acuerdo
con esto, el auditor debe identificar los procedimientos aplicables en las
circunstancias para formarse una opinión sobre el control interno y diseñar su
programa de trabajo para llevar a cabo las pruebas necesarias.
El auditor debe desarrollar pruebas de los controles para obtener evidencia de
auditoría suficiente y apropiada respecto de que los controles estuvieron operando
efectivamente durante el período sometido a auditoría.
Las pruebas de la efectividad de la operación de los controles es diferente de
obtener evidencia de auditoría respecto de que los controles han sido
implementados. Cuando se obtiene evidencia de auditoría sobre la implementación
mediante el desarrollo de procedimientos de valoración de riesgos, el auditor
determina que existen los controles relevantes y que la entidad los está usando.
Cuando se desarrollan pruebas de la efectividad de la operación de los controles, el
auditor obtiene evidencia de auditoría de que los controles operan efectivamente,
esto incluye obtener evidencia de auditoría sobre cómo se aplicaron los controles
durante el período sujeto a auditoría, la consistencia con la cual se aplicaron, y por
quién y por quién medios fueron aplicados. Si se usaron controles sustancialmente
diferentes en distintos tiempos durante el período sometido a auditoría, el auditor
considera cada uno por separado. El auditor puede determinar probar la efectividad
de operaciones de los controles al mismo tiempo que evalúa su diseño y obtener
evidencia de auditoría respecto de si es eficiente su implementación.
Si bien algunos procedimientos de valoración de riesgos que el auditor desarrolló
para evaluar el diseño de los controles y para determinar que han sido
implementados pueden no haber sido planeados específicamente como pruebas de
los controles, ellos pueden, sin embargo, proveer evidencia de auditoría sobre la
efectividad de operación de los controles y, en consecuencia inherente del
procedimiento de la tecnología de la información, el desarrollo de procedimiento de
valoración de riesgos para determinar si un control autorizado ha sido implementado
puede servir como una prueba de la efectividad de operación de ese control,
dependiendo de factores tales como si se ha cambiado el programa o si existe un
riesgo significativo de cambio no autorizado o de otra intervención impropia.
También, en la obtención de un entendimiento del ambiente de control, el auditor
puede haber hecho indagaciones sobre el uso que la administración da a los
presupuestos, observando la comparación que el presupuesto y de los gastos
mensuales realiza la administración, e inspeccionado los informes que se relacionan
con la investigación de las variaciones entre las cantidades presupuestadas y las
cantidades actuales. Si bien esos procedimientos proveen conocimiento sobre el
diseño de las políticas de presupuesto de la entidad y si ellas han sido
implementadas, también proveen evidencia de auditoría sobre la efectividad de la
operación de las políticas de presupuesto en relación con la prevención y detección
de declaraciones equivocadas importantes en la clasificación de los gastos. En tales
circunstancias, el auditor considera si es suficiente la evidencia de auditoría provista
por esas pruebas.
Naturaleza de las pruebas de los controles
El auditor selecciona los procedimientos de auditoría para obtener seguridad sobre
la efectividad de la operación de los controles. La sola indagación no proveerá
evidencia de evidencia de auditoría suficiente y apropiada para probar la efectividad
de la operación de los controles ordinariamente incluyen aquellos procedimientos
usados para evaluar el diseño de los controles y para determinar si han sido
implementados, y también incluye el redesempeño de la aplicación del control por
parte del auditor. A menudo, el auditor usa una combinación de procedimientos de
auditoría para obtener evidencia de auditoría suficiente y apropiada en relación con
la efectividad de la operación de un control. Por ejemplo, un auditor puede observar
los procedimientos de apertura del correo y el procedimiento de los recibos de caja,
para probar la efectividad de operación de los controles sobre los recibos de caja.
Dado que una observación es pertinente solamente en el momento del tiempo en
que se hace, el auditor puede complementar la observación mediante indagaciones
al personal de la entidad y mediante inspección de la documentación sobre la
operación de tales controles en otros tiempos durante el período de auditoría.
La naturaleza de un control particular influye en el tipo de procedimiento de auditoría
que se requiere para obtener evidencia de auditoría sobre si el control estuvo
operando efectivamente durante el período sometido a auditoría. Para algunos
controles, la efectividad de operación se evidencia mediante documentación. En
tales circunstancias, el auditor puede decidir inspeccionar la documentación para
obtener evidencia de auditoría sobre la efectividad de operación. Sin embargo, para
otros controles puede no estar disponible o puede no ser relevante tal
documentación. Por ejemplo, puede no existir documentación de las operaciones
para algunos factores del ambiente de control, tal como asignación de autoridad y
responsabilidad, o para algunos tipos de procedimientos de control tal como los
procedimientos que se desarrollan por computador. En tales circunstancias, la
evidencia de auditoría sobre la efectividad de la operación se puede obtener
mediante procedimientos de auditoría tales como observación, indagación, o uso de
CATTs.
Al diseñar las pruebas de los controles, el auditor considera la necesidad de obtener
evidencia de auditoría que soporte la operación efectiva de los controles
relacionados directamente con la aseveración e igualmente otros controles
indirectos de los cuales dependen esos controles directos. Por ejemplo, el auditor
puede identificar al usuario de una revisión de un informe de excepciones de ventas
a crédito sobre un límite de crédito autorizado a un cliente como un control directo
relacionado con una aseveración. En tales casos el auditor considera la efectividad
de la revisión del informe realizada por el usuario y también los controles realizados
con la exactitud de la información contenida en el informe (por ejemplo, los controles
generales).
Cuando responde a la valoración del riesgo, el auditor puede usar pruebas de
detalle como pruebas de los controles. El objetivo de las pruebas de detalle
desarrolladas como procedimientos sustantivos es detectar declaraciones
equivocadas importantes en los estados financieros. Si bien esos objetivos son
diferentes, ambos se pueden lograr concurrentemente mediante el desarrollo de
una prueba de detalles sobre la misma transacción, conocida también como prueba
de propósito dual. Por ejemplo, el auditor puede examinar una factura para
determinar si ha sido aprobada y para proveer evidencia de auditoría sustantiva
respecto a una transacción. El auditor presta consideración al diseño y a la
evaluación de tales pruebas para cumplir ambos objetivos. La ausencia de
declaraciones equivocadas detectadas por un procedimiento sustantivo no implica
que sean efectivos los controles relacionados con la aseveración que se está
probando.
Oportunidad de las pruebas de los controles
La oportunidad de las pruebas de los controles depende del objetivo del auditor y
determina el período de confianza en esos controles. Si el auditor prueba los
controles en un tiempo particular, el auditor solamente obtiene evidencia de
auditoría de que los controles operan efectivamente en ese tiempo. Sin embargo, si
el auditor prueba los controles a través del período.
La evidencia de auditoría que se relaciona solamente con un punto en el tiempo
puede ser suficiente para el propósito del auditor, por ejemplo, cuando prueba los
controles sobre el conteo del inventario físico de la entidad a fin del período. Si, de
otro modo, el auditor requiere evidencia de auditoría que se relaciona solamente
con un punto del tiempo puede no ser suficiente y el auditor complementa esas
pruebas con otras pruebas de controles que sean capaces de proveer evidencia de
auditoría de que el control operó efectividad en los tiempos relevantes durante el
período sometido a auditoría. Por ejemplo, para un control inmerso en un programa
de computador, el auditor puede probar la operación del control en un punto
particular del tiempo para obtener evidencia de auditoría sobre si el control está
operando efectivamente en ese punto del tiempo. El auditor puede entonces
desarrollar pruebas de los controles dirigidas a la obtención de evidencia de
auditoría sobre si el control operó consistentemente durante el período de auditoría,
tales como pruebas de los controles generales relacionados con la modificación y
uso de ese programa de computador durante el período de auditoría.
Cuando el auditor obtiene evidencia de auditoría sobre la efectividad de la operación
de los controles durante un período intermedio, el auditor debe determinar qué
evidencia adicional de auditoría se debe obtener para lo que resta del período.
Al hacer tal determinación, el auditor considera la importancia de los riesgos
valorados de declaración equivocada importante a nivel de aseveración, los
controles específicos que se probaron durante el período intermedio, el grado en el
cual se obtuvo evidencia de auditoría sobre la efectividad de la operación de esos
controles, la duración que resta del período, la evidencia de auditoría sobre la
efectividad de la operación que puede derivarse de los procedimientos sustantivos
desempeñados en relación con lo que resta del período y con el ambiente de control
general. El auditor obtiene evidencia de auditoría sobre la naturaleza y extensión de
cualquiera cambios significativo el control interno, incluyendo los cambios en el
sistema de información, en los procesos, y en el personal, que ocurren
subsecuentes al período intermedio.
Se puede obtener evidencia de auditoría adicional mediante la extensión de la
prueba de la efectividad de operación de los controles sobre lo que resta del
período, considerando la supervisión y seguimiento de los controles de la entidad,
o desarrollando procedimientos sustantivos.
Si el auditor planea usar evidencia de auditoría sobre la efectividad de la operación
de los controles obtenida en períodos anteriores, el auditor debe obtener evidencia
de auditoría sobre si se han presentado cambios en esos controles específicos
subsecuentes a la auditoría anterior. El auditor debe obtener, mediante una
combinación de observación, indagación e inspección, evidencia de auditoría sobre
si tales cambios han ocurrido, para confirmar el entendimiento de esos controles
específicos. Por ejemplo, al desarrollar la auditoría anterior, el auditor puede haber
determinado que un control automatizado estuvo funcionando como se tuvo la
intención que lo hiciera. El auditor obtiene evidencia de auditoría para determinar si
se han hecho cambios de control automatizado y si tales cambios afectan su
funcionamiento efectivo continuado, por ejemplo, mediante la inspección de las
bitácoras para señalar que controles han sido cambiados. La consideración sobre
la evidencia de auditoría esos cambios puede soportar ya sea aumentar o disminuir
la evidencia de auditoría esperada a ser obtenida en el actual período sobre la
efectividad de operación de los controles.
Si el auditor planea confiar en controles que sea cambiado desde que fueron
probados por última vez, el auditor debe probar la efectividad de operación de tales
controles en la auditoría actual. Los cambios pueden afectar la relevancia obtenida
en períodos anteriores de manera tal que ya no pueden ser base para una confianza
continuada. Por ejemplo, los cambios en un sistema que permiten que una entidad
reciba un informe nuevo del sistema probablemente no afectan la relevancia de la
evidencia de auditoría del período anterior; sin embargo, un cambio que genera que
los datos se acumulen o calculen de manera diferente la afecta.
Si el auditor planea confiar en controles que no han cambiado desde que fueron
probados por última vez, el auditor debe probar la efectividad de operación de tales
controles al menos cada tercera auditoría. Al considerar la duración del período que
puede transcurrir antes de volver a probar un control, el auditor considera el
ambiente de control, la supervisión y seguimiento de los controles que hace la
entidad, los controles generales de la tecnología de la información, y la efectividad
del control y su aplicación por parte de la entidad. No obstante ello, se requiere que
el auditor vuelva a probar un control en el que está confiando, al menos cada tercera
auditoría, dado que a mayor duración del tiempo transcurrido desde que se
desarrolló la prueba de los controles, menor la evidencia de auditoría que puede
proveer sobre la efectividad del control en el período actual de auditoría y mayor la
confianza en controles tales como los controles al cambio. Los factores que pueden
disminuir el período para volver a probar incluyen un ambiente de control débil,
controles manuales, cambios de personal, y controles generales débiles. A más alto
sea el riesgo de declaración equivocada importante, o a mayor confianza en los
controles, es probable que el periodo transcurrido sea más corto.
Donde existe una cantidad de controles para los cuales el auditor determina que es
apropiado usar la evidencia de auditoría obtenida en auditorías anteriores, el auditor
debe probar la efectividad de operación de algunos controles en cada auditoría. El
propósito de este requerimiento es evitar la posibilidad de que el auditor pueda
seguir el enfoque de las pruebas al menos cada tercera auditoría, para todos los
controles en los cuales el auditor se propone confiar, pero probar solamente
aquellos controles en los que dos períodos subsecuentes de auditoría. Además de
proveer evidencia de auditoría sobre la efectividad de operación de los controles
que se están probando en la auditoría actual, el desarrollo de tales pruebas provee
evidencia colateral sobre la efectividad continuada del ambiente de control y por
consiguiente contribuye a la decisión sobre si es apropiado confiar en la evidencia
de auditoría obtenida en las auditorías anteriores.
Cuando el auditor ha determina que un riesgo valorado de declaración equivocada
importante a nivel de aseveración es un riesgo importante y el auditor planea confiar
en la efectividad de operación de los controles que tienen la intención de mitigar ese
riesgo significativo, el auditor debe obtener evidencia de auditoría sobre la
efectividad de operación de esos controles a partir de las pruebas de los controles
desarrolladas en el período actual. A mayor sea el riesgo de declaración equivocada
importante, mayor la evidencia de auditoría que el auditor obtiene respecto de que
los controles están operando de manera efectiva. De acuerdo con ello, el auditor no
confía en la evidencia de auditoría obtenida en una auditoría anterior respecto de
la efectividad de operación de los controles sobre tales riesgos.
Extensión de las pruebas de los controles
A mayor confianza del auditor sobre la efectividad de operación de los controles en
el riesgo valorado, mayor es la extensión de las pruebas de los controles que realiza
el auditor (porque se reducirían las pruebas sustantivas). Además, en la medida en
que se incrementa la tasa de la desviación esperada de un tributo particular, el
auditor incrementa la extensión de las pruebas de los controles.
Sin embargo, dada la consistencia inherente del procedimiento de la tecnología de
la información, el auditor puede no requerir incrementar la extensión de las pruebas
de un control de la tecnología de la información. Un control de aplicación
programado debe funcionar consistentemente a menos que se cambie el programa
(incluyendo tablas, archivos, u otros datos permanentes usados en el programa).
Una vez el auditor determina que un control autorizado está funcionando como se
intentó que lo hiciera (lo cual se debe hacer en el momento en el que el control se
implementa inicialmente o en alguna otra fecha), el auditor considera desarrollar
para determinar que el control continúa funcionando efectivamente. Tales pruebas
pueden incluir determinar que los cambios al programa no se hagan sin estar sujetos
a los controles apropiados para que el cambio de programa, para el procedimiento
de las transacciones se usa la versión autorizada del programa, y que son efectivos
los otros controles generales relevantes. Tales pruebas también pueden incluir
determinar que no se han realizado los cambios al programa, como puede ser el
caso cuando la entidad usa aplicaciones de software empaquetado sin modificarlas
o mantenerlas.
Documentos relacionados
Guia para elaborar Síntesis de las bases técnicas Auditoría I -2019-
Guia para elaborar Síntesis de las bases técnicas Auditoría I -2019-
Cuentas anuales e Informe de Gestión 2010
Cuentas anuales e Informe de Gestión 2010
S Comité del Programa y Presupuesto Decimonovena sesión
S Comité del Programa y Presupuesto Decimonovena sesión
Mucha gente pregunta a nuestros auditores ¿Porque todo va mal
Mucha gente pregunta a nuestros auditores ¿Porque todo va mal
RIESGOS DE LA AUDITORIA
RIESGOS DE LA AUDITORIA
Descargar el archivo Cronograma de Auditoria Tipo de archivo: docx Tamaño: 50.2 kB
Descargar el archivo Cronograma de Auditoria Tipo de archivo: docx Tamaño: 50.2 kB
AUDITOR INTERNO DE CALIDAD ISO 9001:2015
AUDITOR INTERNO DE CALIDAD ISO 9001:2015
Descargar
Anuncio
Anuncio