Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


AUDITORIA Y TRIBUTARIA, Apuntes de Auditoría

Sistema de control interno Memorando de planeacion Evaluacion al sistema de control interno

Tipo: Apuntes

2019/2020

Subido el 11/03/2020

cely-arrieta
cely-arrieta 🇨🇴

2 documentos

1 / 24

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Evaluación del Control interno a Procesos y Transacciones
Víctor Antonio Ambrosio Juárez(1)
Auditoría Control de Gestión Control Interno Gestión de Riesgos, Riesgo Financieroi
1. Introducción
Entender y evaluar el proceso de control interno de la entidad es responsabilidad del auditor
diseñar pruebas que permitan identificar controles, riesgos y probar los procesos establecidos en
la empresa.
2. Objetivo
De acuerdo con la NIA 330 “El objetivo del auditor es obtener suficiente evidencia apropiada de
auditoría respecto a los riesgos evaluados de representación errónea de importancia relativa,
mediante la planeación e implementación de respuestas apropiadas a dichos riesgos”.
3. Definiciones
La NIA 330 define los siguientes términos:
a) Procedimiento Sustantivo: Un procedimiento de auditoría diseñado para detectar
representaciones erróneas de importancia relativa a nivel de aseveración.
Los procedimientos sustantivos comprenden:
Pruebas de detalles (de clases de transacciones, saldos de cuentas, revelaciones); y
Procedimientos analíticos sustantivos
b) Pruebas de controles: Un procedimiento de auditoría diseñado para evaluar la efectividad
operativa de los controles para prevenir, o detectar y corregir, representaciones erróneas de
importancia relativa a nivel de aseveración.
Durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los
procedimientos que den respuesta a los riesgos significativos identificados de errores en su
auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una
aseveración en específico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y
evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de
manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada
en su auditoría, mediante la aplicación de procedimientos específicos.
En el trabajo realizado en la planeación de auditoría, el auditor identificó:
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18

Vista previa parcial del texto

¡Descarga AUDITORIA Y TRIBUTARIA y más Apuntes en PDF de Auditoría solo en Docsity!

Evaluación del Control interno a Procesos y Transacciones Víctor Antonio Ambrosio Juárez(1) Auditoría Control de Gestión Control Interno Gestión de Riesgos, Riesgo Financieroi

1. Introducción Entender y evaluar el proceso de control interno de la entidad es responsabilidad del auditor diseñar pruebas que permitan identificar controles, riesgos y probar los procesos establecidos en la empresa. 2. Objetivo De acuerdo con la NIA 330 “El objetivo del auditor es obtener suficiente evidencia apropiada de auditoría respecto a los riesgos evaluados de representación errónea de importancia relativa, mediante la planeación e implementación de respuestas apropiadas a dichos riesgos”. 3. Definiciones La NIA 330 define los siguientes términos: a) Procedimiento Sustantivo: Un procedimiento de auditoría diseñado para detectar representaciones erróneas de importancia relativa a nivel de aseveración. Los procedimientos sustantivos comprenden:  Pruebas de detalles (de clases de transacciones, saldos de cuentas, revelaciones); y  Procedimientos analíticos sustantivos b) Pruebas de controles: Un procedimiento de auditoría diseñado para evaluar la efectividad operativa de los controles para prevenir, o detectar y corregir, representaciones erróneas de importancia relativa a nivel de aseveración. Durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los procedimientos que den respuesta a los riesgos significativos identificados de errores en su auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una aseveración en específico. Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos específicos. En el trabajo realizado en la planeación de auditoría, el auditor identificó:

 Transacciones significativas y los procesos que las inician, procesan y registran  Riesgos de negocio que tienen implicaciones significativas en los estados financieros  Riesgos de fraude

4. Evaluar el Control Interno de la entidad El entendimiento de evaluación del control interno debe realizar primero en la parte de arriba es decir, quienes dirigen y toman decisiones. A continuación se listan los cinco componentes del control interno: El entorno de control es lo que marca la pauta de una organización, o sea aquella base para influir en la conciencia de control de su personal Es el fundamento de los demás componentes del control interno, y provee disciplina y estructura. La evaluación del riesgo es la identificación y el análisis de los riesgos relevantes que corre la empresa para el logro de sus objetivos, formando la base para determinar cómo se deben administrar los riesgos. Los sistemas de información y comunicación soportan la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades. Las Actividades de Control son las políticas y los procedimientos que deben seguirse para tener certeza que las instrucciones de la gerencia se llevan a cabo. Monitoreo es un proceso para verificar la calidad de desempeño del control interno a través del tiempo. Entorno de Control La pauta que marca la alta gerencia o sea el entorno o cultura corporativa dentro de la cual funciona la información financiera es el factor más importante que contribuye a la integridad del proceso de información financiera. En otras palabras, si la pauta marcada por la gerencia es relajada o poco estricta, un juego impresionante de reglas y procedimientos escritos logrará poco. El entorno del control refleja la actitud general, el grado de conciencia y las acciones de la junta directiva, la gerencia, los dueños y otros concernientes a la importancia del control y el énfasis en el control sobre las políticas, procedimientos, métodos y estructura organizacional de la compañía. El entorno de control incluye la actitud de la gerencia hacia el desarrollo de estimaciones contables y en la filosofía para reportar información financiera; es el contexto en que operan el sistema contable y los controles internos. El entorno del control refleja la actitud general, el grado de conciencia y las acciones de la junta directiva, la gerencia, los dueños y otros concernientes a la importancia del control y el énfasis en el control sobre las políticas, procedimientos, métodos y estructura organizacional de la compañía. El entorno de control incluye la actitud de la gerencia hacia el desarrollo de estimaciones

Conciencia de Control y Estilo Operativo de la Gerencia La gerencia tiene la responsabilidad de dirigir y controlar las operaciones y establecer, comunicar y monitorear políticas y procedimientos. Cada aspecto del entorno del control se ve profundamente influenciado por las acciones y las decisiones (o, en algunos casos, por inacción e indecisión) de la gerencia. En un ambiente de control eficaz, la conciencia de control de la gerencia y su estilo de operar y coordinar, propicia una operación eficaz de los procesos y controles y un entorno en que la probabilidad de error se minimice. La conciencia de control se refiere a la importancia que la gerencia le da a los controles internos y, al entorno en que ellos funcionan. En gran parte este es un concepto intangible; es una actitud de la gerencia que, una vez comunicada, ayuda a lograr que un control adecuado permanezca en su lugar y reduzca la posibilidad de que controles específicos sean ignorados. Compromiso de Ser Competentes El compromiso de ser competentes incluye la consideración de la gerencia de los niveles de competencia para puestos específicos y cómo estos niveles se traducen en requisitos de aptitudes y conocimientos. Entre otros factores que la gerencia debe considerar, está la naturaleza y el grado de juicio que se debe usar en una labor específica y el grado de supervisión que va a necesitar. El equipo a cargo del proyecto tiene que considerar si el personal parece ser competente para cumplir sus responsabilidades (por ejemplo, sí el personal tiene el suficiente conocimiento y experiencia en el área de principios de contabilidad generalmente aceptados sobre los cuales la compañía va a reportar). Participación de la Junta Directiva y del Comité de Auditoría en el Gobierno (Governance) y Supervisión del Negocio La junta directiva, a través de actividades propias y con el soporte de un comité de auditoría, es responsable de la supervisión de los procedimientos y políticas contables y de reporte de información financiera. Mientras que las actividades y responsabilidades específicas de los comités de auditoría varían y requieren modificaciones o adaptaciones conforme las circunstancias individuales, la junta directiva tiene una responsabilidad fiduciaria ante los accionistas y terceros por la presentación de reportes financieros confiables. Como resultado la junta directiva y el comité de auditoría deben estar preocupados de reportar información financiera a los accionistas y al público inversionista y deben monitorear las políticas contables de la compañía y los procesos de auditoría interna y auditoría independiente. Al determinar los efectos que tiene la junta directiva y/o el comité de auditoría sobre el entorno del control, el equipo a cargo del proyecto debe considerar la independencia de la junta directiva y/o el comité de auditoría con respecto a la gerencia, la experiencia y los conocimientos de sus miembros, el grado de participación y su escrutinio de las operaciones de la compañía, el grado en

que surgen preguntas difíciles y se les da seguimiento con la gerencia y su interacción con los auditores internos y los auditores independientes. Estructura Organizacional y Asignación de Autoridad y Responsabilidades La estructura de organización de una empresa señala el marco general para la planeación, dirección y el control de las operaciones. Una estructura eficaz determina la asignación de responsabilidad, de tal manera que todo el personal tenga un claro concepto de quién es la persona a quien reportar y cuáles son sus responsabilidades. En su revisión de la estructura de organización, el equipo a cargo del proyecto debe considerar métodos para: (1) asignar autoridad, (2) monitorear operaciones descentralizadas, (3) asignar y monitorear responsabilidades para sistemas de información (incluyendo el uso de organizaciones de servicio o “service organizations”), (4) establecer y monitorear políticas y procedimientos (e.g., conflicto de intereses, seguridad corporativa y códigos de conducta) en toda la organización. El equipo a cargo del proyecto debe concentrarse en la substancia de la estructura de organización y en los métodos seguidos para asignar autoridad y responsabilidad, en lugar de concentrarse en su forma. Por consiguiente, el nivel general de conocimiento y cumplimiento con las políticas y procedimientos, es tan importante como su monitoreo por parte de la gerencia. La revisión de la estructura de organización también es útil para que el equipo a cargo del proyecto determine el grado de segregación de funciones logrado y para evaluar los efectos que tienen las deficiencias significativas a este respecto. Políticas y Procedimientos de Recursos Humanos Estas políticas y procedimientos se refieren a la contratación, orientación, entrenamiento, evaluación, consejería, promoción y compensación del personal. La eficacia de las políticas y procedimientos, incluyendo los controles, depende de las personas que los ejecutan. Por lo tanto, la capacidad e integridad del personal de la compañía son elementos importantes de su entorno de control. La habilidad de una empresa para reclutar y contratar suficiente personal competente y responsable, depende a su vez de las políticas y prácticas de recursos humanos. Además, el nivel de competencia y de integridad del personal dedicado a procesos específicos es uno de los factores para evaluar la eficacia del control sobre los procesos. Evaluación de Riesgo Todas las empresas, independientemente de su tamaño, estructura, naturaleza o tipo de industria, encuentran riesgos en todos los niveles de su organización. Los riesgos afectan la habilidad que tiene una empresa para sobrevivir y para competir exitosamente dentro de su industria; para

Para entender la información y comunicación a nivel de empresa, el equipo a cargo del proyecto considera factores tales como: Información

  1. Si el sistema de información provee a la gerencia los informes necesarios sobre el desempeño de la empresa en relación con los objetivos establecidos, incluyendo información relevante tanto externa como interna.
  2. Si la información se provee a las personas adecuadas con suficiente detalle y anticipación para que puedan desempeñar sus responsabilidades eficientemente y con eficacia
  3. Hasta qué grado los sistemas de información son desarrollados o modificados con base en un plan estratégico que está inter-relacionado con el sistema general de información de la empresa, que permita el logro de los objetivos a nivel de empresa y de proceso/aplicación
  4. Si la gerencia de la empresa asigna los recursos humanos y financieros adecuados para desarrollar los sistemas de información que sean necesarios
  5. Cómo asegura y monitorea la gerencia la participación de usuarios en el desarrollo (incluyendo modificaciones) y pruebas de programas
  6. Si se ha establecido un plan de recuperación en caso de desastre para todos los centros principales de datos Comunicación
  7. Si la gerencia comunica de manera eficaz las funciones y responsabilidades de control del personal
  8. Si se han establecido canales de comunicación para las personas que tienen que reportar hechos sospechosos
  9. La idoneidad de la comunicación a través de la empresa para facilitar el desempeño de obligaciones por parte del personal
  10. Si la gerencia toma oportuna y apropiada acción de seguimiento en relación con las comunicaciones de clientes, proveedores, mediadores y otras partes externas
  11. Si la empresa está sujeta a requisitos de monitoreo y cumplimiento impuestos por organismos reguladores
  12. El alcance de notificación a terceros fuera de la empresa (tales como clientes y proveedores) sobre las políticas y normas de ética de la empresa. Actividades de Control Las actividades de control son políticas y procedimientos que ayudan a asegurar que las instrucciones de la gerencia sean cumplidas. Ayudan a asegurar que se toman las acciones necesarias para tratar los riesgos en el logro de los objetivos de la empresa. Las actividades de control, automatizadas o manuales, tienen varios objetivos y se aplican a varios niveles organizacionales y funcionales. Para comprender las actividades de control a nivel de empresa, el equipo a cargo del proyecto toma en cuenta factores tales como:
  13. Si existen las políticas y los procedimientos que se requieren respecto a cada actividad de la empresa.
  1. Si los controles se aplican con la extensión que requiere cada política.
  2. Si la gerencia tiene objetivos claros en términos de presupuesto, utilidades, otras metas financieras y de operación y estos objetivos son expresados con claridad y comunicados a toda la organización, y son monitoreados continuamente.
  3. Si hay sistemas establecidos de información y de planeación para identificar variaciones en el desempeño planeado y comunicar tales variaciones a nivel apropiado de gerencia.
  4. Grado en que las funciones están segregadas entre diferentes personas de tal manera que se reduce el riesgo de fraude o de otros actos impropios.
  5. Grado en que las funciones están divididas lógicamente por medio de aplicaciones de tecnología de información (IT).
  6. Si se hacen comparaciones periódicas de los importes registrados en el sistema contable con los activos físicos.
  7. Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la destrucción de documentos, registros y activos.
  8. Si se han establecido políticas para controlar el acceso a archivos de datos y programas.
  9. Si se usa algún software de seguridad de acceso, de sistema operativo, y/o de aplicaciones para controlar el acceso a datos y programas.
  10. Si hay sistemas establecidos de información y de planeación para identificar variaciones en el desempeño planeado y comunicar tales variaciones a nivel apropiado de gerencia.
  11. Grado en que las funciones están segregadas entre diferentes personas de tal manera que se reduce el riesgo de fraude o de otros actos impropios.
  12. Grado en que las funciones están divididas lógicamente por medio de aplicaciones de tecnología de información (IT).
  13. Si se hacen comparaciones periódicas de los importes registrados en el sistema contable con los activos físicos.
  14. Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la destrucción de documentos, registros y activos.
  15. Si se han establecido políticas para controlar el acceso a archivos de datos y programas.
  16. Si se usa algún software de seguridad de acceso, de sistema operativo, y/o de aplicaciones para controlar el acceso a datos y programas.
  17. Si existe una función establecida de seguridad de información con la responsabilidad de monitorear el cumplimiento con las políticas y procedimientos de seguridad de información. Monitoreo Una importante responsabilidad de la gerencia es el establecimiento y mantenimiento del control interno. La gerencia monitorea los controles para cerciorarse de que funcionen conforme a lo diseñado, y si se han modificado para adaptarlos a condiciones cambiantes. Monitoreo es un proceso de evaluación para determinar la calidad del control interno a través del tiempo, considerando si los controles están operando para lo que fueron diseñados y asegurando que son modificados apropiadamente por condiciones cambiantes. Esto implica evaluar el diseño y la operación de los controles con regularidad, tomando las acciones correctivas necesarias. Este proceso se logra mediante actividades sobre la marcha y evaluaciones separadas, o combinaciones de ambas.

Determinar las Cuentas Significativas El punto de partida para identificar cuales son los procesos importantes, que empieza con la identificación de las cuentas o grupos de cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros. Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que pueden tener un efecto material sobre los estados financieros u otros asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa con sus clientes, accionistas o el público si estos asuntos quedaran sin ser detectados. La importancia de una cuenta son su tamaño y composición, y su susceptibilidad a manipulación o pérdida; su naturaleza; el volumen de la actividad, tamaño, complejidad y homogeneidad de las transacciones individuales procesadas a través de la cuenta y la subjetividad en la determinación del saldo de la cuenta (i.e., el alcance en que la cuenta es afectada por juicios). Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o grupo de cuentas también es algo que se debe tener presente. Generalmente, una empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnología) tendrá más situaciones de incertidumbre y de riesgo que compañías con estabilidad.

1. Identificar y Evaluar las Clases Mayores de Transacciones Identificar las cuentas significativas El punto de partida para identificar cuáles son los procesos importantes, que empieza con la identificación de las cuentas o grupos de cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros. Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que pueden tener un efecto material sobre los estados financieros u otros asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa con sus clientes, accionistas o el público si estos asuntos quedaran sin ser detectados. La importancia de una cuenta son su tamaño y composición, y su susceptibilidad a manipulación o pérdida; su naturaleza; el volumen de la actividad, tamaño, complejidad y homogeneidad de las transacciones individuales procesadas a través de la cuenta. Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o grupo de cuentas también es algo que se debe tener presente. Generalmente, una empresa en que tienen

lugar muchos cambios (por ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnología) tendrá más situaciones de incertidumbre y de riesgo que compañías con estabilidad. Identificar y evaluar transacciones importantes Esta identificación representa el enlace entre la identificación de cuentas o grupo de cuentas significativas y la comprensión y evaluación de los procesos y controles relacionados. Las transacciones mayores incluyen todas las clases de transacciones que afectan en forma material las cuentas o grupos de cuentas significativas, sea directamente a través de asientos en el mayor general, o indirectamente mediante la creación de derechos u obligaciones que no pueden ser registrados en el libro mayor. Los procesos comprenden clases de transacciones que pueden calificarse como: a. rutinarias, b. no rutinarias o c. de estimación Es importante distinguir entre estas clases mayores de transacciones porque los componentes y riesgos en cada clase son diferentes y, como resultado, la probabilidad de errores de importancia que surgen de los procesos correspondientes también difiere. Transacciones Rutinarias Son los datos financieros registrados en los libros y los registros o datos no financieros usados para administrar el negocio. Por ejemplo, una empresa podría tener las siguientes transacciones rutinarias: Ventas y cuentas por cobrar  Ingresos en efectivo  Compras y cuentas por pagar  Egresos en efectivo  Nómina  Inventarios y costo de ventas Algunas empresas tendrán más de un solo proceso para transacciones similares. Por ejemplo, puede haber procesos separados para ventas domésticas y de exportación; la nómina puede ser diferente para aquellos con salario fijo y los que ganan en base a horas trabajadas. Transacciones No Rutinarias Estas son transacciones que se llevan en forma periódica, generalmente en conjunto con los estados financieros. Cualquier clase mayor de transacciones que no cumpla fácilmente con la

Proceso de Reporte de Información Financiera Se debe incluir en su comprensión y evaluación del control interno el proceso para producir reportes financieros. La comprensión de los procesos significativos de la empresa y su interrelación con el proceso específico de producir información financiera proporcionará una base para conocer la información requerida para el proceso de información financiera. Típicamente éste incluirá: a. Los procedimientos para registrar los totales de las transacciones en el mayor general. b. Los procedimientos para iniciar, registrar y procesar asientos de diario en el mayor general. c. Otros procedimientos usados para registrar ajustes recurrentes y no- recurrentes en los estados financieros y reclasificaciones. d. Procedimientos para preparar proyectos de estados financieros y notas a los estados financieros. e. Preparación del análisis de la gerencia en cuanto a logros financieros y operativos del negocio. Evaluar los Controles Diseñados Pruebas de controles El auditor deberá diseñar y desempeñar pruebas de controles para obtener suficiente evidencia apropiada de auditoría en cuanto a la efectividad operativa de los controles relevantes si: a. La evaluación del auditor de los riesgos de representación errónea de importancia relativa a nivel aseveración incluye una expectativa de que los controles están operando de manera efectiva (es decir, el auditor piensa apoyarse en la efectividad operativa de los controles para determinar la naturaleza, oportunidad y extensión de los procedimientos sustantivos); b. Los procedimientos sustantivos solos no pueden proporcionar suficiente evidencia apropiada de auditoría a nivel aseveración. Al diseñar y desempeñar las pruebas de controles, el auditor deberá obtener evidencia de auditoría más persuasiva, mientras mayor sea el grado de dependencia del auditor de la efectividad de un control. Naturaleza y extensión de las pruebas de controles Al diseñar y desempeñar las pruebas de controles, el auditor deberá: a) Desempeñar otros procedimientos de auditoría en combinación con la investigación, para obtener evidencia de auditoría sobre la efectividad operativa de los controles, incluyendo: i) Cómo se aplicaron los controles en momentos relevantes durante el periodo bajo auditoría; ii) La consistencia con que se aplicaron; y iii) Por quién y por qué medios se aplicaron.

b) Determinar si los controles por probar dependen de otros controles (controles indirectos) y, de ser así, si es necesario obtener evidencia de auditoría que soporte la operación efectiva de dichos controles indirectos. Oportunidad de las pruebas de controles El auditor deberá poner a prueba los controles por el tiempo particular, o durante el período, por el cual piensa el auditor apoyarse en dichos controles, para dar una base apropiada para el soporte pensado por el auditor. Si el auditor obtiene evidencia de auditoría sobre la efectividad operativa de los controles durante un periodo provisional, el auditor deberá: a. Obtener evidencia de auditoría sobre cambios importantes a dichos controles posteriores al periodo provisional; y b. Determinar la evidencia adicional de auditoría que se debe obtener por el período restante Uso de evidencia de auditoría obtenida en auditorías previas Al determinar si es apropiado usar evidencia de auditoría sobre la efectividad operativa de los controles obtenida en auditorías previas, y, si es así, la duración del periodo que puede pasar antes de volver a someter a prueba un control, el auditor deberá considerar lo siguiente: a. La efectividad de otros elementos de control interno, incluyendo el entorno del control, el monitoreo de controles por la entidad, y el proceso de evaluación del riesgo de la entidad; b. Los riesgos que se originen de las características del control, incluyendo si es manual o automatizado; c. La efectividad de los controles generales de TI; d. La efectividad del control y su aplicación por la entidad, incluyendo la naturaleza y extensión de las desviaciones en la aplicación del control que se observaron en auditorías previas, y si ha habido cambios de personal que afecten de manera importante la aplicación del control; e. Si la falta de un cambio de un control particular plantea un riesgo debido a las circunstancias cambiantes; y Los riesgos de representación errónea de importancia relativa y el grado de dependencia del control f. Los riesgos de representación errónea de importancia relativa y el grado de dependencia del control Si el auditor planea usar evidencia de auditoría de una auditoría previa sobre la efectividad operativa de controles específicos, el auditor deberá establecer la relevancia continua de dicha evidencia, obteniendo evidencia de auditoría sobre si han ocurrido cambios importantes en dichos controles posteriores a la auditoría previa. La efectividad de otros elementos de control interno, incluyendo el entorno del control, el monitoreo de controles por la entidad, y el proceso de evaluación del riesgo de la entidad; Los riesgos que se originen de las características del control, incluyendo si es manual o automatizado;

f. Políticas y procedimientos en relación con autorización, custodia de activos, control confiable de los activos y segregación de funciones. Determinar si los controles logran un objetivo específico (e.g., con respecto a los objetivos de reporte de información financiera o cuáles errores de importancia no ocurren) requiere con frecuencia de juicio considerable. La pregunta clave es si los controles esenciales podrían prevenir y/o detectar un error material relacionado con cada una de las aseveraciones pertinentes en los estados financieros. Si los controles existentes no son eficaces para ese propósito (o no hay controles), podría ser necesario establecer controles adicionales ya sean programados o manuales. Sin embargo, antes de instalar procedimientos nuevos, la empresa debería llevar a cabo un estudio de costo- beneficio. Determinar Si los Controles Funcionan Tal Como se Diseñaron La gerencia debe tener una seguridad razonable que los controles funcionan tal como se diseñaron. Un paso inicial en ese proceso es que el auditor ejecute el recorrido de una transacción para verificar que lo que él entiende sobre el funcionamiento deseado del proceso y de sus controles es correcto. Después que este recorrido ha sido ejecutado, puede comenzar la prueba de la eficacia de los controles. Las pruebas para verificar si los controles funcionan tal como se diseñaron, pueden hacerse mediante: a. Indagación a las personas responsables del control y b. Examen de la evidencia (e.g. revisión de las conciliaciones bancarias) de que el control fue ejecutado y fue eficaz. c. Analizar una transacción y repite la operación (por ejemplo los cálculos en una factura usada como muestra). d. En otros casos se puede obtener una seguridad del buen funcionamiento de un control, observando a los empleados mientras llevan a cabo sus funciones, y mediante entrevistas con el personal para determinar si entienden lo que deben hacer si se identifica un error durante la ejecución de sus funciones. En los casos de transacciones procesadas por el sistema IT, además de seguir el flujo físico de documentos y formas, el auditor también sigue el flujo de datos y de información de archivos a través de procesos automatizados en la aplicación (a nivel de sistema y no a nivel de lógica detallada).

Esto puede involucrar procedimientos tales como preguntas a personal independiente pero con conocimiento de la materia, revisión de manuales de usuario, observación de un usuario cuando procesa transacciones en una terminal, en el caso de una aplicación “on line”, y revisión de documentación tal como reportes de salida (output). Al concluir esta tarea, el auditor debe documentar si los controles manuales y programados funcionan conforme a lo diseñado e incluir cualesquier otros comentarios pertinentes que puedan ayudar al auditor para evaluar procesos claves. En un ambiente de negocio dinámico, los controles requieren una modificación cada cierto tiempo. Ciertos sistemas pueden requerir mejoras en sus controles para responder a nuevos productos en el mercado o debido a riesgos emergentes. La automatización de algunos controles manuales puede mejorar la eficiencia y el cumplimiento con las políticas de la gerencia. En otras áreas la evaluación puede indicar controles redundantes u otros procedimientos que ya no son necesarios. En tales casos la compañía puede mantener un nivel aceptable de controles y mejorar sus resultados mediante los cambios apropiados. En el caso de que se identifiquen áreas en donde los controles son insuficientes para producir una seguridad razonable de que el riesgo de errores disminuye a un nivel aceptable, el equipo a cargo del proyecto debe recomendar mejoras. En todas las recomendaciones hay que tener presente el concepto de seguridad razonable. Tanto los textos de auditoría como el informe COSO enfatizan en que el control interno no tiene que estar completamente libre de riesgos si la eliminación total de éstos tuviese un costo superior al beneficio esperado. Por lo tanto, cuando el revisor o el equipo a cargo del proyecto identifican un riesgo, es necesario tomar una “decisión de costo-beneficio” respecto a si los costos de instalación y mantenimiento de un control que reduzca o elimine el riesgo exceden los beneficios esperados. Generalmente, los controles solamente pueden reducir, no eliminar por completo, un riesgo. Además, se pueden usar los análisis de costo-beneficio para determinar si los controles existentes deben conservarse. Todos los aspectos de control interno están sujetos al juicio procedimientos rutinarios (e.g., comparando facturas con reportes de recibo) Monitoreo periódico (e.g., pruebas de controles, verificación de porciones del sistema, actualización de estudios anteriores sobre costo-beneficio). Esto incluye decisiones sobre el tipo de monitoreo (e.g., por auditores internos) y la frecuencia del monitoreo (e.g., trimestral, anual, etc.) Documentación relacionada con:  Transacciones  Sistema de control  Actividades de monitoreo  Decisiones costo-beneficio Políticas y prácticas para reportar:  Funcionamiento inadecuado de controles o controles circunvenidos

 Organigramas que identifiquen los puestos y responsabilidades  Entrevistas con los dueños de los procesos  Manuales de procedimientos  Políticas relacionadas con el proceso  Observación de las actividades del proceso  Inspección de información producida por el proceso  Informes de auditorías internas y/o externas (ayuda a que el Auditor identifique debilidades y riesgos del proceso)  Revisión de las cartas de recomendaciones del Auditor del año anterior Evaluar el proceso y transacción Para el logro de nuestro análisis de los procesos, consideraremos el desarrollo de las siguientes actividades, así: a. Entendimiento del proceso b. Identificación de los riesgos y controles del proceso c. Selección de los controles relevantes a los que se les realizarán las pruebas d. Evaluación de los controles e. Diseño de las pruebas de auditoría relativas a la eficacia operativa de controles. a. Entendimiento del proceso Es indispensable que el Auditor entienda y documente las actividades que inician, procesan y registran las transacciones significativas. Ejemplo: b. Identificación de los riesgos y controles del proceso Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que los mitigan. En la identificación de riesgos es importante que considere los factores que pueden incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la obtención de objetivos, complejidad de una actividad, distribución geográfica de las actividades, entre otras. Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de los procesos: La vinculación de personal, no competitivo frente a los retos de la organización, así como la falta de efectividad de métodos de entrenamiento y motivación que puedan influir en el nivel de conciencia del auto-control en la entidad operaciones de la entidad. Fallas en el procesamiento de los sistemas de información, que afectan las operaciones de identidad. Cambios en las responsabilidades asignadas de la administración, que afecten la ejecución de algunos controles.

Identificación de Controles Los controles se clasifican en tres tipos:  Automático: lo realiza de principio a fin un sistema de información.  Semiautomático: es ejecutado de manera parcial por una persona, pero con la colaboración de un sistema de información.  Manual: lo ejerce en su totalidad una persona, sin la colaboración de un sistema de información. Los controles pueden ser preventivos, detectivos o correctivos: Control Preventivo: Su objetivo es anticiparse a los eventos no deseados, actuando sobre las causas del riesgo, así como evitando la generación de errores o eventos fraudulentos. Control Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, así como advierte sobre la presencia de riesgos. Control Correctivo: Se orienta a la implementación de las acciones correctivas una vez se ha identificado un evento no deseado. Su implementación se realiza cuando los controles preventivos y detectivos no han funcionado, lo cual representa que su implementación sea más costosa, pues actúan cuando ya se han materializado eventos de pérdida para la organización.

2. Otras Consideraciones de Control Las políticas y procedimientos en relación con autorización, salvaguardia de activos, responsabilidad sobre activos y segregación de funciones son establecidos por la gerencia para poder proveer una seguridad razonable de que: a. Los activos son adquiridos, custodiados y usados, y los pasivos son incurridos y liberados conforme a las decisiones de la gerencia. b. La información financiera es mantenida correctamente en los libros y registros con respecto a activos y pasivos resultantes de dichas decisiones. Estas políticas y procedimientos son parte integral de un sistema de control interno y se relacionan básicamente con el control de la gerencia sobre la disposición de los activos y pasivos de la empresa y, únicamente de manera indirecta, con los controles sobre el procesamiento de datos, los cuales se ocupan con la contabilización correcta, puntual y completa de las transacciones. Sin embargo, la ausencia de dichos controles podría incrementar el riesgo de errores de importancia en la información financiera incluida en los libros y registros de la empresa. En vista de que las políticas y procedimientos frecuentemente toman la forma de controles, la ausencia de políticas y procedimientos adecuados sobre cualquiera de estas áreas puede afectar la forma en que el equipo a cargo del proyecto juzgue la eficacia de controles específicos sobre los procesos.