Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Edtudio para normativa, Diapositivas de Derecho

Es para poder estudiar normativa contable con ppt de la universidad

Tipo: Diapositivas

2019/2020

Subido el 20/03/2023

ignacio-aguilar-3
ignacio-aguilar-3 🇨🇱

1 documento

1 / 49

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
9
OBJETIVOS DE
APRENDIZAJE
Al estudiar el presente
capftulo usted podra:
1. Explicar la naturaleza
de la estructura de con-
trol interno y su impor-
tancia tanto para la ad-
ministration como para
el auditor (pags. 302-
305).
2. Describir los tres con-
ceptos clave en el estu-
dio del control interno
(pags. 305-306).
3. Identrficar los cinco
componentes de una es-
tructura de control inter-
no y analizar sus caracte-
rfsticas (pags. 306-316).
4. Describir los requeri-
mientos del conocimien-
to de la estructura de
control interno y eva-
luar el riesgo de control
(pags. 317-322).
5. Saber como obtener
un conocimiento de la
estructura de control in-
terno del cliente (pags.
322-325).
6. Saber como evaluar
el riesgo de control para
cada tipo importante de
operacion (pags.325-331).
7. Entender el proceso
del diseno y realizacion
de pruebas de controles
como una base para es-
tudios posteriores
(pags. 331-333).
EL ESTUDIO DE LA
ESTRUCTURA DE
CONTROL INTERNO
DEL CLIENTE Y
EVALUACION DEL
RIESGO DE CONTROL
E
ste es el tercer capftulo que trata de la planificacion de la auditon'a y del
diseno del metodo de auditoria. La parte sombreada de la grafica que se
incluye en el margen de la siguiente pagina muestra, en donde encaja la
obtencion de un conocimiento de la estructura de control interno del
cliente y la evaluacion del riesgo de control en la planificacion de la auditoria. El
estudio de la estructura de control interno, la evaluacion de riesgo de control y
la recopilacion de hechos relacionados son componentes importantes en el
modelo de riesgo de auditoria que se estudio en el capftulo 8. El riesgo de control
es CR en el modelo de riesgo de auditoria. Se ha demostrado en el capftulo 8,
que el riesgo de deteccion planeada (PDR) se reduce cuando existe una estructura
de control interno eficaz. En el presente capftulo se muestra por que y como
puede hacerse esto.
A fin de entender como se utiliza la estructura de control interno en el modelo
de riesgo, es necesario conocer los conceptos clave del control interno. Por esa
301
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31

Vista previa parcial del texto

¡Descarga Edtudio para normativa y más Diapositivas en PDF de Derecho solo en Docsity!

O B J E T I V O S D E A P R E N D I Z A J E

Al estudiar el presente capftulo usted podra:

  1. Explicar la naturaleza de la estructura de con- trol interno y su impor- tancia tanto para la ad- ministration como para el auditor (pags. 302- 305).
  2. Describir los tres con- ceptos clave en el estu- dio del control interno (pags. 305-306).
  3. Identrficar los cinco componentes de una es- tructura de control inter- no y analizar sus caracte- rfsticas (pags. 306-316).
  4. Describir los requeri- mientos del conocimien- to de la estructura de control interno y eva- luar el riesgo de control (pags. 317-322).
  5. Saber como obtener un conocimiento de la estructura de control in- terno del cliente (pags. 322-325).
  6. Saber como evaluar el riesgo de control para cada tipo importante de operacion (pags.325-331).
  7. Entender el proceso del diseno y realizacion de pruebas de controles como una base para es- tudios posteriores (pags. 331-333).

EL ESTUDIO DE LA

ESTRUCTURA DE

CONTROL INTERNO

DEL CLIENTE Y

EVALUACION DEL

RIESGO DE CONTROL

E

ste es el tercer capftulo que trata de la planificacion de la auditon'a y del diseno del metodo de auditoria. La parte sombreada de la grafica que se incluye en el margen de la siguiente pagina muestra, en donde encaja la obtencion de un conocimiento de la estructura de control interno del cliente y la evaluacion del riesgo de control en la planificacion de la auditoria. El estudio de la estructura de control interno, la evaluacion de riesgo de control y la recopilacion de hechos relacionados son componentes importantes en el modelo de riesgo de auditoria que se estudio en el capftulo 8. El riesgo de control es CR en el modelo de riesgo de auditoria. Se ha demostrado en el capftulo 8, que el riesgo de deteccion planeada (PDR) se reduce cuando existe una estructura de control interno eficaz. En el presente capftulo se muestra por que y como puede hacerse esto.

A fin de entender como se utiliza la estructura de control interno en el modelo de riesgo, es necesario conocer los conceptos clave del control interno. Por esa

razon, el presente capitulo se concentra en el significado y objetivos del control interno tanto desde el punto de vista del cliente como del auditor, los componen- tes de la estructura de control interno y la metodologia del auditor para cumplir los requerimientos de la segunda norma del trabajo.

PREOCUPACIONES Al disenar un sistema de control, es probable que la administracion tenga PEL CLIENTE Y algunas de las mismas preocupaciones que tiene el auditor al evaluar el sistema DEL AUDITOR a s^ * c o m o^ preocupaciones adicionales o diferentes. En esta seccion se examinan las preocupaciones tanto de los clientes como de los auditores.

La razon por la cual una compania establece un sistema de control es para ayudarse a cumplir sus propias metas. El sistema consiste de muchas politicas y procedimientos especificos destinados a dar a la administracion garantias razo- nables de q u e se cumpliran las metas y objetivos que consideran importantes para la entidad. A menudo a estas politicas y procedimientos se les da el nombre de controles y en forma colectiva comprenden la estructura de control interno de la entidad. En 1992 se publico un estudio importante sobre el control interno titulado Internal ControlIntegrated Framework. Fue patrocinado por el comite de Orga- nismos Patrocinadores de la Comision Treadway que es un grupo de organis- m o s de contabilidad. A m e n u d o eate. estudio se conoce como el COSO Report (por sus siglas en ingles). Las preocupaciones del cliente que se analizan en esta seccion se han tornado principalmente de ese estudio. Los sistemas de control deben ser beneficos en costo. Los controles adoptados se eligen comparando los costos para la empresa con los beneficios esperados. Un beneficio para la administracion, pero obviamente no el mas importante, es el costo reducido de una auditoria cuando el auditor evalua la estructura de control interno como buena o excelente y evalua el riesgo de control como bajo. Por lo general la administracion tiene las siguientes tres preocupaciones al disenar u n a estructura de control interno eficaz.

Confiabilidad de los inform.es financieros Tal y como se analizo en el capitulo 5, la direccion es responsable de preparar los estados financieros para los inversionistas, los acreedores y otros usuarios. La direccion tiene tanto u n a responsabilidad legal como profesional para asegurarse que la informacion se presente en forma imparcial de acuerdo con los requerimientos de informacion tales como los principios de contabilidad generalmente aceptados.

Cumplimiento con las leyes y reglamentos procedentes Existen muchas leyes y reglamentos que tienen que cumplir las empresas. Algunas solo tienen u n a relacion indirecta con la contabilidad. Entre los ejemplos se incluyen las leyes de proteccion ambiental y derechos civiles. Otras estan m u y relacionadas con la contabilidad. Entre los ejemplos se incluyen los reglamentos del impuesto sobre la renta y el fraude por parte de la direccion o los empleados. Una ley importante que afecta a todas las companias sujetas al Acta de Valores y Cambios de 1934 es el Acta de Practicas Corruptas con Extranjeros de 1977. Esta ley requiere que una compania tenga "sistemas adecuados de contabilidad". La ley de 1977, no ha definido estos sistemas aunque modifico los decretos de valores, pero incluye un sistema suficiente para permitir la

PREOCUPACIONES

DE LOS CLIENTES

OBJETIVO 1 Explicar la naturaleza de la estructura de control interno y su importancia tanto para la administracion como para el auditor.

Planificacion previa. I Conseguir antecedentes.

informacion sobre las obligaciones legales del cliente.

Reahzar procedimientos analiticos preliminares. I Establecer la importancia y evaluar el riesgo aceptable de auditoria y el riesgo inherente.

Desarrollar el plan general de auditoria y el programa de auditoria.

3 0 2 PARTE 2 EL PROCESO DE LA AUDrTORIA

empleados y, en menor medida, ciertos tipos de actos ilegales. Por lo tanto, los auditores tambien se preocupan por los controles del cliente sobre la salvaguar- da de activos y el cumplimiento con las leyes y reglamentos procedentes si afectan la razonabilidad de los estados financieros. Se ha mencionado ya que los auditores deberian hacer enfasis en los controles relacionados con la confiabilidad de los datos para propositos de informes externos, pero no se deberian ignorar por completo los controles que afectan la informa- cion interna de la administracion, como los presupuestos y los informes de desempeno internos. A m e n u d o estos tipos de informacion son fuentes impor- tantes de hechos que ayudan al auditor a determinar si los estados financieros se presentan con razonabilidad. Si se considera que los controles sobre estos informes internos son inadecuados, disminuye el valor de los informes como hechos.

Enfasis en los controles sobre clases de operaciones El enfasis principal que hacen los auditores es en los controles sobre tipos de operaciones y no sobre saldos en cuentas. La razon es que la precision del resultado del sistema de contabilidad (saldos de cuentas) depende en gran medida de la precision de los insumos y procesamiento (operaciones). Por ejemplo, si los productos vendidos, unidades embarcadas o precios de venta estan mal en la facturacion a clientes por ventas, habra errores tanto en las ventas como en las cuentas por cobrar. Si los controles son adecuados para asegurarse que la facturacion, las entradas de efectivo, las devoluciones sobre ventas y las rebajas y los debitos son correctas, es probable que sea correcto el saldo final en las cuentas por cobrar. En el estudio de la estructura de control interno del cliente y evaluacion del riesgo de control, los auditores se preocupan principalmente por los objetivos de auditorias relacionados con operaciones q u e se analizaron en el capitulo 5. Estos objetivos fueron analizados con detalle en las paginas 164-165. En la tabla 9.1 se ilustra el desarrollo de los objetivos de auditoria relacionados con opera- ciones de venta. Durante el estudio de la estructura de control interno del cliente y la evalua- cion del riesgo de control, el auditor no ignora, sin embargo, los controles

TABLA 9.

OBJETIVOS DE

AUDITORIA

RELACIONADOS

CON OPERACIONES

DE VENTAS

OBJETIVOS DE AUDITORIA RELACIONADOS CON OPERACIONES

  • FORMATO GENERAL Existen las operaciones registradas (existencia) Las operaciones existentes se registran (integridad) Las operaciones registradas se indican en los montos correctos (precision)

Las operaciones se clasifican adecuadamente (dasificacion) Las operaciones se registran en las fechas correctas (oportunidad) Las operaciones registradas se incluyen adecuadamente en los archivos maestros y se resumen adecuadamente (asentamiento y resumen)

OBJETIVOS DE AUDITORIA RELACIONADOS CON OPERACIONES DE VENTAS Las ventas registradas son de embarques hechos a clientes no ficticios Se registran las operaciones de ventas existentes Las ventas registradas son por el monto de productos embarcados y se facturan y registran adecuadamente Las operaciones de venta se clasifican adecuadamente Las ventas se registran en las fechas correctas Las operaciones de ventas se incluyen adecuadamente en los archivos maestros y se resumen adecuadamente.

3 0 4 PARTE 2 EL PROCESO DE LA AUDITORIA

internos sobre los saldos de cuenta. Por ejemplo, por lo general los objetivos de auditoria relacionados con operaciones no tienen efecto alguno sobre los obje- tivos de auditoria relacionados con saldos: el valor de realizacion, derechos y obligaciones, presentacion y manifestacion. Es probable que el auditor realice u n a evaluacion independiente sobre si la administracion ha instrumentado controles internos para cada uno de los tres objetivos de auditoria relacionados con saldos.

CONCEPTOS

IMPORTANTES

RESPONSABILIDAD

DELA

ADMINISTRACION

Existen tres conceptos importantes en el estudio de la estructura de control interno y la evaluacion de riesgo de control.

La administracion, y no el auditor, establece y conserva los controles de la entidad. Este concepto es consistente con el requerimiento que la administra- cion, y no el auditor, sea responsable de la preparacion de los estados financieros de acuerdo con los principios de contabilidad generalmente aceptados.

GARANTIA

RAZONABLE

Objetivo 2 Describir los tres conceptos clave en el estudio del control interno.

Una compafiia debe desarrollar una estructura de control interno que propor- cione una garantia razonable, pero no absoluta, que los estados financieros se presentan con razonabilidad. Las estructuras de control interno las desarrolla la direccion despues de considerar tanto los costos como los beneficios de los controles.* A m e n u d o la administracion no esta dispuesta a instrumentar un sistema ideal dado que los costos son m u y altos. Por ejemplo, no es razonable esperar que la administracion de u n a compafiia pequena contrate a varias personas adicionales para el departamento de contabilidad a fin de lograr u n a pequena mejoria en la conf iabilidad de los datos contables. A m e n u d o es menos caro solicitar a los auditores que hagan una auditoria mas detallada que el incurrir en may ores costos de control interno.

LIMITACIONES

INHERENTES

Una estructura de control interno no p u e d e considerarse como totalmente eficaz, independiente del cuidado que se tenga en su diseno e instrumentacion. A u n cuando el personal de sistemas desarrolla un sistema ideal, su eficacia depende de la competencia y confiabilidad de la gente que lo utilice. Por ejemplo, supongamos que se desarrolla con cuidado un procedimiento para el conteo del inventario y se requieren dos empleados para hacer el conteo cada uno por su lado. Si ninguno de los empleados entiende las instrucciones o si ambos no tienen cuidado al hacer el conteo del inventario probablemente estara equivocado. Aun cuando el conteo este correcto, la direccion podria pasar por alto el procedimiento de instruir a un empleado para que aumente el conteo a fin de mejorar las ganancias reportadas. De igual forma, los empleados podrian decidir exagerar las cuentas en forma intencional a fin de cubrir un robo de

*Dado que el Acta de Practicas Corruptas con Extranjeros requiera que las compafiias que coticen con la bolsa tengan un sistema de contabilidad eficaz, estas compafiias evaluan si sus archivos cumplen con los requerimientos legales y si es menos caro hacer que los auditores descubran los errores.

CAPITULO 9 ESTRUCTURA DE CONTROL INTERNO Y EVALUACION DEL RIESGO DE CONTROL 305

El ambiente de control consiste en acciones, politicas y procedimientos que reflejan las actitudes globales de la administracion, directores y propietarios sobre el control e importancia de una entidad. Con el proposito de entender y evaluar el ambiente de control, los siguientes son los subcomponentes mas importantes que el auditor considera.

Integridad y valores eticos La integridad y los valores eticos son el producto de las normas eticas y conductuales de la entidad y la forma en que se comunican y se refuerzan en la practica. Incluyen las acciones de la administracion para eliminar o reducir iniciativas o tentaciones que podrian invitar al personal a participar en actos deshonestos, ilegales o antieticos. Tambien incluyen la comunicacion de los valores de la entidad y normas conductuales al personal a traves de declaraciones de politica y codigos de conducta y por el ejemplo.

Compromise) con la competencia La competencia es el conocimiento y las habilidades necesarias para cumplir tareas que definen el trabajo individual. El compromiso con la competencia incluye la consideracion por parte de la admi- nistracion de los niveles de competencia para trabajos especificos y la forma en que estos niveles se traducen en requisito de habilidades y conocimientos.

Filosofia de la administracion y estilo de operacion La administracion, a traves de sus actividades, proporciona claras senales a sus empleados sobre la impor- tancia del control. Por ejemplo, ^acaso la administracion asume riesgos signifi- cativos o adversos? ^Los planes de utilidades y datos de presupuesto son acaso los "mejores planes posibles" o "los objetivos mas probables"? ^Puede descri- birse a la administracion como "gorda y burocratica", "escasa y mezquina", dominada por uno o varios individuos o "esta bien como esta"? El entender estos y otros aspectos similares de la filosofia de la administracion y del estilo operativo da al auditor una idea de su actitud sobre el control.

Estructura organizativa La estructura organizativa de la entidad define las lineas de responsabilidad y autoridad que existen. Al entender la estructura organizativa del cliente, el auditor aprende los elementos administrativos y funcionales de la empresa y percibe como se llevan a cabo las politicas y procedimientos relacionados con el control.

Consejo directivo o comite de auditoria Un consejo directivo eficaz es inde- pendiente de la administracion y sus miembros estan involucrados y analizan cuidadosamente las actividades de la administracion. Tal y como se indico en el capitulo 3, todas las compafiias que cotizan en la Bolsa de Valores de N u e v a York tienen un comite de auditoria compuesto por directores externos. Muchas otras compafiias tambien tienen comites de auditoria. El comite de auditoria por lo general esta a cargo de vigilar el proceso de informes financieros de la entidad y mantiene una comunicacion constante tanto con los auditores internos como con los externos. Esto permite a los auditores y directores discutir los asuntos que podrian relacionarse con cosas tales como la integridad o las acciones de la administracion.

Asignacion de autoridad y responsabilidad Ademas de los aspectos informales de la comunicacion ya mencionados, tambien son importantes los metodos

CAPITULO 9 ESTRUCTURA DE CONTROL INTERNO Y EVALUACION DEL RIESGO DE CONTROL 3 0 7

formales de comunicacion sobre la autoridad y responsabilidad y asuntos similares relacionados con el control. Estos podrian incluir metodos tales como memorandos de la alta administracion sobre la importancia del control y asuntos relacionados con el control, planes formales organizativos y operativos y descripciones de puestos de los empleados y politicas relacionadas.

Politicas y prdcticas de recursos humanos El aspecto mas importante de cualquier estructura de control interno es el personal. Si los empleados son competentes y conf iables, es posible carecer de algunos controles y de cualquier manera se tendran estados financieros confiables. La gente honesta y eficiente es capaz, y se desempena a un alto nivel a u n cuando existan pocos controles que los apoyen. A u n cuando existan muchos otros controles, la gente incompe- tente o deshonesta reduce a escombros el sistema. Aunque el personal p u e d e ser competente y confiable, la gente tiene algunas desventajas innatas. Pueden, por ejemplo, aburrirse o estar insatisfechos, sus problemas personales afectan su desempeno y cambian sus metas. Debido a la importancia del personal competente y confiable para tener un control eficaz, los metodos mediante los cuales se contrata, evalua, capacita, promueve y compensa a las personas son una parte importante de la estructura de control interno.

EVALUACION

DELRIESGOPOR

PARTE DE LA

ADMINISTRACION

La evaluacion del riesgo para informes financieros es la identificacion y analisis de riesgos relevantes que hace la administracion para la preparacion de estados financieros de conformidad con los principios de contabilidad generalmente aceptados. Por ejemplo, si una compania a m e n u d o vende productos a un precio inferior al costo de inventario debido a los rapidos cambios tecnologicos, es esencial que la estructura de control interno incluya controles adecuados para superar el riesgo de sobrevaluar el inventario. La evaluacion del riesgo por parte de la administracion difiere de, pero esta m u y relacionada con, la evaluacion del riesgo por parte del auditor que se analizo en el capitulo 8. La administracion evalua los riesgos como parte del diseno y operacion de la estructura de control interno para reducir los errores e irregularidades. Los auditores evaluan riesgos para determinar las evidencias necesarias en la auditoria. Si la administracion evalua eficazmente y responde a los riesgos, generalmente el auditor acumulara menos evidencias q u e cuando la administracion no identifica ni responde a los riesgos significativos.

LOS DATOS

DELA

INFORMACION

DE

CONTABILIDAD

Y EL SISTEMA DE

COMUNICACION

El proposito del sistema de inf ormacion contable de una entidad es identificar, reunir, clasificar, analizar, registrar e informar sobre las operaciones de la entidad y tener responsabilidad sobre los activos relacionados. Un sistema de inf ormacion contable eficaz satisface los seis objetivos de auditoria relacionados con operaciones que se identificaron anteriormente en el presente capitulo (pagina 274). Por ejemplo, el sistema debe estar disenado para que garantice todos los embarques de productos por parte de una compania y que esten debidamente registrados como ventas y que se reflejen en los estados financie- ros en el periodo adecuado. El sistema tambien evita la duplicacion del registro de ventas y registrar una venta si no ocurrio un embarque.

3 0 8 PARTE 2 EL PROCESO DE LA AUDITORIA

informacion no tendenciosa, generalmente la contabilidad se incluye en un departamento separado bajo el contralor.

Separacion de responsabilidades dentro del departamento de PED En la me- dida de lo posible, es deseable separar las funciones principales dentro del departamento de PED. Las siguientes actividades deberian estar separadas en forma ideal:

  • Analista de sistemas. El analista de sistemas es responsable del diseno general del sistema. El analista establece los objetivos del sistema global y del diseno especifico de las aplicaciones.
  • Programador. Con base en los objetivos individuales especificados por el analista de sistemas, el programador desarrolla diagramas de flujo espe- ciales para la aplicacion, prepara las instrucciones de computadora, prue- ba el programa y documenta los resultados. Es importante que el progra- mador no tenga acceso a los datos capturados ni a la operacion de la computadora, dado que el conocimiento de dicho programa p u e d e ser utilizado con facilidad para beneficio propio.
  • Operador de computadora. El operador de computadora es responsable de correr los datos por el sistema junto con el programa de computo. En forma ideal, evita que el operador tenga conocimientos suficientes sobre el pro- grama para modificarlo de inmediato o durante su uso.
  • Bibliotecario. El bibliotecario es responsable de conservar los programas de computadora, los archivos de operaciones y otros registros de computa- dora importantes. El bibliotecario proporciona un medio de control fisico importante sobre estos registros y los libera solo al personal autorizado.
  • Grupo de con trol de datos. La funcion del grupo de control de datos es probar la eficacia y eficiencia de todos los aspectos del sistema. Incluye la aplica- cion de varios controles, la calidad de los datos y la sensatez del resultado. En la medida en que el personal del grupo de control realice verificaciones internas, es obvia la importancia de su independencia.

Naturalmente, el grado de separacion de deberes depende en gran medida del tamano de la empresa. En muchas companias pequefias no es importante dividir los deberes en la medida sugerida. En estos casos, las evidencias de auditoria pueden ser modificadas.

Resumen La estructura organizativa global de una empresa tiene una separa- cion adecuada de responsabilidades y, aun asi promover la eficacia y la eficien- cia operativa en la comunicacion. La separacion de responsabilidades varia en gran medida de una empresa a otra, pero al auditor le preocupa principalmente lo siguiente:

  • La contabilidad esta por completo aislada bajo el contralor que no tiene custodia o responsabilidad operativa.
  • La custodia del efectivo, incluyendo las entradas y los desembolsos, es responsabilidad del secretario-tesorero.
  • El auditor interno reporta directamente al presidente o al consejo directivo.
  • La separacion de deberes dentro del PED es adecuada considerando el tamano de la empresa.

3 1 0 PARTE 2 EL PROCESO DE LA AUDITORIA

AUTORIZACION

ADECUADA DE

OPERACIONES Y

ACTIVIDADES

Todas las operaciones deben ser autorizadas de forma adecuada si los controles han de ser satisfactorios. Si cualquier persona en una empresa pudiera adquirir o ampliar activos a voluntad, el resultado seria un caos completo. La autoriza- cion puede ser general o especifica. La autorizacion general significa que la administracion establece politicas que sigue la empresa. Los subordinados reciben instrucciones de implantar estas autorizaciones generales aprobando todas las transacciones dentro de los limites establecidos por la politica. Ejem- plos de autorizaciones generales son la emision de listas de precios fijos para la venta de productos, limites de credito para clientes y puntos fijos de reabaste- cimiento para adquisiciones. La autorizacion especifica tiene que ver con las operaciones individuales. A m e n u d o la administracion no esta dispuesta a establecer una politica general de autorizacion para algunas operaciones. Mas bien, prefiere hacer autorizacio- nes caso por caso. Un ejemplo es la autorizacion de una operacion de ventas por parte del gerente de ventas para un automovil usado de la compania. La persona o grupo que pueden otorgar una autorizacion especifica o general de operaciones debe tener un puesto equiparable a la naturaleza e importancia de las operaciones. La politica para tales operaciones debe ser establecida por la alta administracion. Por ejemplo, una politica comun es hacer que todas las adquisiciones de activos de capital superiores a determinado monto sean auto- rizadas por el consejo directivo. Existe tambien una distincion entre autorizacion y aprobacion. La autoriza- cion es una decision de politica ya sea para operaciones generales u operaciones especificas. La aprobacion es la instrumentacion de las decisiones de apreciacion generales que toma la administracion. Por ejemplo, supongamos que la admi- nistracion establece una politica que autoriza el resurtido del inventario cuando se tienen existencias disponibles para menos de tres semanas. Esta es una autorizacion general. Cuando un departamento ordena inventario, la persona responsable de conservar los archivos perpetuos aprueba el pedido para indicar que se ha cumplido con una politica de autorizacion.

DOCUMENTOSY

REGISTROS

ADECUADOS

Los documentos y los registros son los objetos fisicos en los que se asientan y resumen las operaciones. Estos incluyen cosas tan diversas como las facturas de venta, las ordenes de compra, los registros subsidiaries, los diarios de ventas y las tarjetas de asistencia del personal. En un sistema contable computarizado, muchos de estos documentos y registros se conservan en forma de archivos de computadora hasta que son impresos para propositos especificos, Tanto los documentos de asentamiento original como los archivos en los q u e se asientan las operaciones son importantes, pero si los documentos son inadecuados se ocasionan grandes problemas de control. Los documentos cumplen la funcion de transmitir informacion en toda la empresa del cliente y entre diferentes empresas. Los documentos deben ser adecuados para proporcionar una garantia razonable que todos los activos estan m u y controlados y que todas las operaciones estan registradas. Por ejemplo, si el departamento receptor llena un informe de recepcion cuando se obtiene un material, el departamento de cuentas por pagar p u e d e verificar la cantidad y descripcion en la factura del proveedor comparandola con la infor- macion del informe de recepcion. Algunos principios relevantes dictan el diseno y uso adecuado de documen- tos y registros. Sugerencias para elaborar los documentos y registros

CAPlTULO 9 ESTRUCTURA DE CONTROL INTERNO Y EVALUACION DEL RIESGO DE CONTROL 3 1 1

Por lo tanto, generalmente incluye diagramas de flujos detallados y reque- rimientos especificos para desarrollar o adquirir el programa asi como probarlo o cambiarlo. Instrucciones para correr el programa. Este material trata acerca de la opera- cion de la computadora y por lo tanto, incluye cedulas operativas e instrucciones relativas a los diversos programas de c o m p u t e Los libros de instruccion requieren una descripcion de los datos de entrada, instruccio- nes de operacion detalladas (incluyendo los pasos que han de seguirse), las posibles condiciones de error y una descripcion del resultado. Instrucciones del usuario. Las instrucciones del usuario especifican quien debe recibir el resultado y los procedimientos que han de seguirse cuando los datos contienen errores o cuando el resultado no p u e d a utilizarse.

CONTROL FISICO

SOBRE LOS

ACTIVOS Y

REGISTROS

A fin de tener un control adecuado interno es esencial proteger los activos y los registros. Si los registros no se protegen de forma adecuada, p u e d e n ser roba- dos, danados o extraviados. En el caso de que esto ocurra, p u e d e n dafiar seriamente al proceso de contabilidad y tambien las operaciones normales. Cuando una compania esta m u y computarizada, es importante proteger su equipo de computo, sus programas y sus archivos de datos. El equipo y los programas son caros y esenciales para las operaciones. Los archivos de datos son los registros de la compania y si se danan, su reconstruccion puede ser costosa o incluso imposible. El tipo mas importante de medidas para salvaguardar los activos y los registros es el uso de precauciones fisicas. Un ejemplo es el uso de almacenes para el inventario a fin de protegerlos contra el robo. C u a n d o el almacen esta bajo el control de un empleado competente, tambien existen mayores garan- tias que se reduzca la obsolescencia. Las cajas fuertes a prueba de incendios y las bovedas de depositos de seguridad para la proteccion de los activos tales como el efectivo y valores son otros ejemplos de salvaguardias fisicas im- portantes. Existen tres categorias de controles relacionados con la salvaguardia del equipo de PED, programas y archivos de datos. Al igual que con otros tipos de activos, se utilizan controles fisicos para proteger las computadoras. Ejemplos de ello pueden ser las cerraduras en las puertas donde se encuentran las computadoras y las terminales, espacio adecuado de almacenamiento para los programas y archivos de datos para protegerlos de perdidas y sistemas adecua- dos para la extincion de incendios, o instalar controles de acceso solo para el personal autorizado que utiliza el equipo y el programa y archivos de datos. Un ejemplo es un sistema de acceso en linea con contrasehas. Los procedimientos de respaldo y recuperacion son pasos que una empresa toma a fin de evitar la perdida de equipo, programas o datos. Por ejemplo, un control comun de respaldo puede ser una copia de respaldo de los programas y archivos de datos criticos almacenados en una caja de seguridad en un lugar alejado.

VERIFICACIONES

INDEPENDIENTES

SOBRE EL

DESEMPENO

La ultima categoria de procedimientos de control es el analisis cuidadoso y continuo de las cuatro verificaciones independientes o la verificacion interna. La necesidad de verificaciones independientes surge porque una estructura de control interno tiende a cambiar con el tiempo a menos que exista un me-

CAPfTULO 9 ESTRUCTURA DE CONTROL INTERNO Y EVALUACION DEL RIESGO DE CONTROL 3 1 3

canismo para un analisis frecuente. Es probable que el personal olvide o intencionalmente deje los procedimientos o se torne descuidado a menos que alguien observe y evalue su desempeno. Ademas, tanto los errores fraudulentos como los no intencionales son posibles, es independiente de la calidad de los controles. Una caracteristica esencial de las personas que realizan los procedimientos de verificacion interna es la independencia de las personas originalmente responsables de la preparacion de los datos. El medio menos costoso de verifi- cacion interna es la separacion de responsabilidades en la forma que se analizo anteriormente. Por ejemplo, cuando la conciliacion bancaria la realiza una persona independiente de los registros contables y del manejo de efectivo, existe la oportunidad de verificacion sin incurrir en costos adicionales significativos. Los sistemas de contabilidad computarizados se disenan de tal manera que muchos procedimientos de verificacion interna p u e d e n ser automatizados co- mo parte del sistema. En el apendice A se incluye una ilustracion y un analisis de estos y otros procedimientos de control relacionados.

MONITOREO Las actividades de monitoreo se refieren a la evaluacion continua o periodica

de la eficacia del diseno y operacion de una estructura de control interno por parte de la administracion a fin de determinar que esta funcionando de acuerdo con lo planeado y que se modifique de acuerdo con cambios en las condiciones. La informaci6n para evaluacion y modificacion proviene de varias fuentes inclu- yendo estudios sobre la estructura de control interno existence, informes de auditores internos, informes de excepcion sobre actividades de control, infor- mes por parte de reguladores como pueden ser dependencias reguladoras, bancarias, informes del personal operativo y quejas de los clientes sobre cargos en f acturacion.

FUNCION DE

AUDITOR! A

INTERNA

Para muchas companias, en particular las grandes, un departamento de audi- toria interna es esencial para un monitoreo eficaz. Para que u n a funcion de auditoria interna sea eficaz, es esencial que el personal de auditoria interna sea independiente de los departamentos operativo y de contabilidad y que reporte directamente al nivel superior de autoridad en la empresa, ya sea la alta administracion o al comite de auditoria del consejo directive Ademas de su papel en la estructura de control interno de la compania, el personal de auditoria interna adecuado reduce los costos de auditoria externa proporcionando ayuda directa a los auditores externos. La D N A 65 (AU 322) define la forma en que los auditores internos afectan la acumulacion de eviden- cias por parte de los auditores externos. Si el auditor externo obtiene evidencias que apoyen la competencia, la integridad y la objetividad de los auditores internos, el auditor externo p u e d e confiar en el trabajo del auditor interno de varias formas.

TAMANO DE LA El tamafio de una compania no tiene un efecto significativo sobre la naturaleza EMPRESA Y DE LA de la estructura de control interno y los controles especificos. Obviamente, es ESTRUCTURA DE mas dificil establecer una separacion adecuada de responsabilidades en una CONTROL INTERNO compania pequena. Tambien seria poco razonable esperar que u n a compania

3 1 4 PARTE 2 EL PROCESO DE LA AUDITORIA

F I G U R A 9. 1

Componentes de la estructura de control interno

ESTRUCTURA DE CONTROL INTERNO

Componentes Ambiente de control

Riesgo de evaluacion de la administracion

Descripcion del componente Acciones, politicas y procedimientos que reflejan la actitud general de la alta administracion, los directores y los propietarios de una entidad sobre el control y su importancia

Subdivision (si procede) Subcomponentes del ambiente de control integridad y valores eticos compromiso con la competencia filosofia y estilo operativo de la direccion estructura organizacional consejo directivo o comite de auditoria asignacion de la autoridad y responsabilidad politicas y practicas de recursos humanos Identificacion y analisis por parte de la administracion de riesgos pertinentes a la preparacion de estados financieros de conformidad con los PCGA

Afirmaciones de la administracion que deben ser satisfechas existencia u ocurrencia integridad valuacion o asignacion derechos y obligaciones presentacion y revelacion Information Metodos empleados para contable y identificar, reunir, clasificar, sistema de registrar e informar sobre las comunicacion operaciones de una entidad y para conservar la contabilidad de activos relacionados

Objetivos de auditoria relacionados con operaciones que deben satisfacerse existencia integridad precision clasificacion oportunidad asentamiento y resumen Actividades Politicas y procedimientos de control que la administracion ha establecido para cumplir con sus objetivos de informes financieros

Categorias de actividades de control separacion adecuada de deberes separacion adecuada de operaciones y actividades documentos y archivos adecuados control f isico sobre los activos y archivos verificaciones independientes sobre el desempeno Monitoreo Evaluacion continuay periodica por parte de la administracion de la eficacia del diseno y funcionamiento de la estructura de control interno para determinar si esta funcionando de acuerdo a su objetivo y modificarla cuando sea necesario

No procede.

3 1 6 PARTE 2 EL PROCESO DE LA AUDITORIA

OBJETIVO 4 Describir los requerimientos del conocimiento de la estructura de control interno y evaluar el riesgo de control.

Riesgo de detection El riesgo de control en la forma de planificacion del modelo de riesgo de auditoria afecta directamente el riesgo de deteccion pla- neada para cada objetivo de auditoria [PDR = AAR -f (IR x CR]. La informacion sobre la estructura de control interno se utiliza para evaluar el riesgo de control para cada objetivo, que a su vez afecta el riesgo de deteccion planeada.

Diseno depruebas La inf ormacion obtenida debe permitir al auditor disenar prue- bas eficaces de los saldos de los estados financieros. Tales pruebas incluyen pruebas de precision monetaria tanto de las operaciones y saldos como de los procedimientos analiticos. Estos se analizan con mas detalle en el capitulo 10.

CONOCIMIENTO

DELA

ESTRUCTURA DE

CONTROL

INTERNO PARA

DISENO Y

OPERACION

Cada uno de los cinco componentes de la estructura de control interno deben ser estudiados y entendidos. Al lograr ese conocimiento, el auditor debera considerar dos aspectos: (1) el diseno de varias politicas y procedimientos en cada componente de la estructura de control y (2) si se han puesto en operacion. La necesidad de considerar el diseno y operacion para cada uno de los cinco componentes se resume en la figura 9.3 de la pagina 319.

Conocimiento del ambiente de control Se obtiene informacion sobre el ambien- te de control para cada uno de los componentes que se analizaron anteriormente en el presente capitulo. Posteriormente el auditor utiliza ese conocimiento como base para evaluar la actitud y conciencia de la administracion y de los directores sobre la importancia del control. Por ejemplo, el auditor determina la naturaleza del sistema de presupuesto del cliente como parte del conocimiento del ambien- te de diseno de control. La operacion del sistema presupuestario podria enton- ces evaluarse en parte consultando al personal de presupuestos a fin de deter- minar los procedimientos que utiliza y hacer un seguimiento de las diferencias entre lo presupuestado y lo real. El auditor tambien podria examinar las cedulas del cliente comparando los resultados reales con los presupuestos.

Conocimiento de la evaluation del riesgo de la administracion El auditor logra conocer el proceso de evaluacion de riesgo de la administracion determinando la forma en que la administracion identifica los riesgos relevantes a los informes financieros, evaluando su importancia y probabilidad de presentacion y deci- diendo las acciones que se requieren para enfrentar los riesgos. Los cuestiona- rios y platicas con la administracion son la forma mas comun de lograr ese conocimiento.

El conocimiento de la information contable y sistema de comunicacion A fin de entender el diseno del sistema de contabilidad, el auditor determina (1) las clases importantes de operaciones de la empresa; (2) la forma en que se inician tales operaciones; (3) los registros contables que existen y su naturaleza; (4) la forma en que las operaciones se procesan de principio a fin, incluyendo el alcance y naturaleza del uso de la computadora; y (5) la naturaleza y detalles del proceso de informacion financiera. Comunmente, esto se logra y se docu- menta mediante una description narrativa del sistema o mediante un diagrama de flujo. (Esto se describe posteriormente en el presente capitulo.) A m e n u d o , la operacion del sistema contable se determina rastreando u n a o varias operacio- nes a traves del sistema contable (a esto se le llama una exploration de operaciones).

CAPITULO 9 ESTRUCTURA DE CONTROL INTERNO Y EVALUACION DEL RIESGO DE CONTROL 317

FIGURA9.

Conocimiento de la estructura de control interno para el diseno y operacion

Conocimiento de las actividades de control Los auditores logran conocer el ambiente de control y el sistema contable en forma similar para la mayoria de las auditorias; sin embargo, varia de forma considerable la forma de conocer las actividades de control. En el caso de clientes mas pequenos, es comun identificar pocas o incluso ninguna actividad de control porque a m e n u d o los controles no son eficaces debido al personal limitado. En tal caso, el auditor determina un alto riesgo de control evaluado. En el caso de clientes con amplios controles en donde el auditor cree que probablemente los controles sean excelentes, a menu- do es adecuado identificar muchos controles durante la fase de conocimiento. En otras auditorias, identifica un numero limitado de controles durante esta fase y posteriormente identif ica controles adicionales en el proceso. La medida en que se identifiquen tales controles es asunto del criterio de auditoria. Posterior- mente en el presente capitulo se estudia u n a metodologia para identificar los controles.

Conocimiento del monitoreo El conocimiento mas importante que necesita el auditor sobre el monitoreo son los tipos principales de actividades de monitoreo que utiliza una compania y la forma en que estas actividades se utilizan para cambiar la estructura de control interno. Las platicas con la administracion son la forma mas comun de lograr este conocimiento.

EVALUACIONES

YDECISIONES

Una vez que se logre conocer la estructura de control interno que sea suficiente para planear la auditoria, deben hacerse cuatro evaluaciones especificas. Tal y como se muestra en la figura 9.2, estas tambien requieren que el auditor tome algunas decisiones.

Evaluar si los estados financieros son auditables La primera evaluacion es si la entidad es auditable. Dos factores principales determinan la auditabilidad: la integridad de la administracion y la precision de los archivos contables. Muchos procedimientos de auditoria dependen en cierta medida de las declaraciones de

CAPITULO 9 ESTRUCTURA DE CONTROL INTERNO Y EVALUACION DEL RIESGO DE CONTROL 3 1 9

la administracion. Por ejemplo, es dificil que el auditor evalue si el inventario es obsoleto sin una evaluacion honesta por parte de la administracion. Si a la administracion Ie falta integridad, la administracion proporciona declaraciones falsas, haciendo que el auditor dependa de evidencias no confiables. Los registros contables sirven como una fuente directa de evidencias de auditoria para la mayoria de los objetivos de auditoria. Si los registros contables son deficientes, quizas no se dispongan de las evidencias de auditoria necesa- rias. Por ejemplo, si el cliente no ha conservado copias de las facturas de venta ni de las facturas de los proveedores por lo general no seria posible realizar una auditoria. A no ser que el auditor identifique una fuente alternativa de eviden- cias confiables, o a menos que se puedan elaborar registros adecuados para que los utilice el auditor, el unico recurso seria considerar que la entidad es inaudi- table. Cuando se llega a la conclusion que no es posible auditar a la entidad, el auditor analiza las circunstancias con el cliente (por lo general al mas alto nivel), y ya sea que se retire de la auditoria o que emita una negacion de opinion.

Determination del riesgo de control evaluado apoyado por el conocimiento obtenido Despues de conocer el diseno y operacion de la estructura de control, el auditor hace una evaluacion inicial del riesgo de control. El riesgo de control es u n a medida de las expectativas del auditor de que la estructura de control interno no evitard que ocurran errores importantes, ni detectard ni los corregird si es que han ocurrido. La evaluacion inicial se hace para cada objetivo de auditoria relacionado con operaciones para cada tipo importance de operacion. Por ejemplo, el auditor realiza u n a evaluacion del objetivo de existencia de las ventas y u n a inde- pendiente del objetivo de integridad. Existen diferentes formas de expresar esta expectativa. Algunos auditores utilizan una expresion subjetiva como alto, moderado o bajo. Otros utilizan probabilidades numericas como 1.0, .6 o .2. La evaluacion inicial comienza considerando el ambiente de control. Si la actitud de la administracion es que el control no es importante, es d u d o s o que sean confiables los procedimientos detallados de control. Lo mejor que se pue- de hacer en ese caso es suponer que el riesgo de control para todos los objetivos de auditoria relacionados con operaciones estan al maximo (es decir altos o 1.0). Por otra parte, si la actitud de la administracion es positiva, el auditor considera entonces las politicas y procedimientos especificos en los subcomponentes del ambiente de control y los de otros cuatro componentes de la estructura de con- trol interno. Las politicas y procedimientos de los cinco componentes se utilizan como base para una evaluacion por abajo del maximo. Existen dos consideraciones importantes sobre la evaluacion inicial: en pri- mer lugar, el auditor no tiene que hacer una evaluacion inicial en forma detallada y formal. En muchas auditorias, como es el caso de las auditorias de companias pequenas, el auditor asume que el riesgo de control esta en el maximo aunque realmente este o no asi. La razon del auditor para tomar este enfoque es que ha llegado a la conclusion que es mas economico auditar mas ampliamente los saldos de los estados financieros. En segundo lugar, aunque el auditor cree que el riesgo de control es bajo, el riesgo de control evaluado es limitado al del nivel apoyado por las evidencias obtenidas. Por ejemplo, supongamos q u e el auditor cree q u e el riesgo de control de ventas no registradas es bajo, pero ha reunido pocas evidencias en apoyo de

3 2 0 PARTE 2 EL PROCESO DE LA AUDITORIA