auditoriapractica.

com

2014

Gua 3: EVALUACION DEL

CONTROL INTERNO A PROCESOS Y
TRANSACCIONES

www.auditoriapractica.com
Guas y Herramientas
prcticas de Auditora

Contenido

1.

Introduccin.

2.

Objetivos.

3.

Definiciones ..

4.

Evaluar el Control Interno de la entidad..

5.

Entender y Evaluar el Control Interno en Procesos y transacciones

11

1. Introduccin
Entender y evaluar el proceso de control interno de la entidad es responsabilidad del
auditor disear pruebas que permitan identificar controles, riesgos y probar los
procesos establecidos en la empresa.
2. Objetivo
De acuerdo con la NIA 330 El objetivo del auditor es obtener suficiente evidencia
apropiada de auditora respecto a los riesgos evaluados de representacin errnea
de importancia relativa, mediante la planeacin e implementacin de respuestas
apropiadas a dichos riesgos.

3. Definiciones
La NIA 330 define los siguientes trminos:
a) Procedimiento Sustantivo: Un procedimiento de auditora diseado para
detectar representaciones errneas de importancia relativa a nivel de aseveracin.

Los procedimientos sustantivos comprenden:

Pruebas de detalles (de clases de transacciones, saldos de cuentas,
revelaciones); y
Procedimientos analticos sustantivos

b) Pruebas de controles: Un procedimiento de auditora diseado para evaluar la

efectividad operativa de los controles para prevenir, o detectar y corregir,
representaciones errneas de importancia relativa a nivel de aseveracin.
Durante el proceso de una auditora de estados financieros, el auditor debe
evaluar y disear los procedimientos que den respuesta a los riesgos significativos
identificados de errores en su auditora, que afecten a los estados financieros
auditados en su conjunto, o bien, a una aseveracin en especfico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia
identificado y evaluado que, en caso de ocurrir, afectara a los estados financieros
o a una aseveracin, de manera significativa. Por lo tanto, en opinin del auditor,
se requiere de una respuesta adecuada en su auditora, mediante la aplicacin de
procedimientos especficos.

www.auditoriapractica.com

En el trabajo realizado en la planeacin de auditora, el auditor identific:

Transacciones significativas y los procesos que las inician, procesan y registran
Riesgos de negocio que tienen implicaciones significativas en los
estados financieros
Riesgos de fraude

4. Evaluar el Control Interno de la entidad

El entendimiento de evaluacin del control interno debe realizar primero en la parte
de arriba es decir, quienes dirigen y toman decisiones.
A continuacin se listan los cinco componentes del control interno:

El entorno de controles lo que marca la pauta de una organizacin, o sea aquella

base para influir en la conciencia de control de su personal Es el fundamento de los
dems componentes del control interno, y provee disciplina y estructura.
La evaluacin del riesgo es la identificacin y el anlisis de los riesgos relevantes
que corre la empresa para el logro de sus objetivos, formando la base para
determinar cmo se deben administrar los riesgos.
Los sistemas de informacin y comunicacin soportan la base para identificar,
capturar e intercambiar informacin en una forma y perodo de tiempo que permita
al personal cumplir con sus responsabilidades.
Las Actividades de Control son las polticas y los procedimientos que deben
seguirse para tener certeza que las instrucciones de la gerencia se llevan a cabo.
Monitoreo es un proceso para verificar la calidad de desempeo del control interno
a travs del tiempo.
Entorno de Control
La pauta que marca la alta gerenciao sea el entorno o cultura corporativa dentro
de la cual funciona la informacin financiera es el factor ms importante que
contribuye a la integridad del proceso de informacin financiera. En otras palabras,
si la pauta marcada por la gerencia es relajada o poco estricta, un juego
impresionante de reglas y procedimientos escritos lograr poco.

www.auditoriapractica.com

El entorno del control refleja la actitud general, el grado de conciencia y las acciones
de la junta directiva, la gerencia, los dueos y otros concernientes a la importancia
del control y el nfasis en el control sobre las polticas, procedimientos, mtodos y
estructura organizacional de la compaa. El entorno de control incluye la actitud de
la gerencia hacia el desarrollo de estimaciones contables y en la filosofa para
reportar informacin financiera; es el contexto en que operan el sistema contable y
los controles internos.
El entorno del control refleja la actitud general, el grado de conciencia y las acciones
de la junta directiva, la gerencia, los dueos y otros concernientes a la importancia
del control y el nfasis en el control sobre las polticas, procedimientos, mtodos y
estructura organizacional de la compaa. El entorno de control incluye la actitud de
la gerencia hacia el desarrollo de estimaciones contables y en la filos ofa para
reportar informacin financiera; es el contexto en que operan el sistema contable y
los controles internos.
En su informe, Internal ControlIntegrated Framework, COSO afirma que El entorno
de control tiene una influencia dominante sobre la manera en que se estructuran las
actividades de negocio, como se establecen los objetivos y se evalan los riesgos.
Tambin influye en las actividades de control, los sistemas de informacin y
comunicacin, y las actividades de monitoreo. Esto es cierto no solamente con
respecto a su diseo, sino tambin a la forma en que funciona da a da. ..
El entorno del control es la atmsfera dentro de la cual existen los controles
contables de una compaa y se preparan los estados financieros. Por lo tanto es
esencial tener una comprensin del entorno de control para poder identificar los
factores que tienen un efecto dominante sobre el riesgo de que existan errores en el
procesamiento de transacciones y en los juicios que la gerencia hace cuando prepara
estados financieros. Un entorno de control satisfactorio no garantiza la eficacia de
algn control especfico, pero puede ser un factor positivo al evaluar el riesgo de
errores. Un entorno de control eficaz tambin proporciona una base para esperar
que los sistemas contables que estn funcionando bien en un momento dado del ao
continan funcionando bien el resto del ao. De tal manera, el entorno de control es
un ingrediente bsico para tener controles internos eficaces.
El equipo a cargo del proyecto debe tener en cuenta los siguientes factores durante
la revisin del entorno de control:
Integridad, valores ticos y el comportamiento de los ejecutivos
clave Conciencia de control de la gerencia y estilo de operacin
Compromiso de ser competente
Participacin de la junta directiva y del comit de auditora en el gobierno
(governance) y supervisin del negocio
Estructura adecuada de la organizacin y asignacin de autoridad y
responsabilidades
Polticas y prcticas de recursos humanos
www.auditoriapractica.com

Integridad, Valores Eticos y el Comportamiento de Ejecutivos Clave

La integridad y los valores ticos son elementos esenciales del entorno de control,
afectando el diseo, la administracin y el monitoreo de los procesos clave. La
integridad y el comportamiento tico son producto de las normas de la empresa
sobre tica y comportamiento y de la manera de ser comunicadas, supervisadas y
puestas en funcionamiento en la prctica. Incluyen las acciones que toma la gerencia
para reducir o eliminar oportunidades de que el personal lleve a cabo acciones
ilegales, deshonestas o contrarias a la tica. Tambin incluyen las comunicaciones al
personal de los valores de la empresa y sus normas de comportamiento a travs de
pronunciamientos de polticas y cdigos de conducta, as como por ejemplos dados
por sus ejecutivos.
Conciencia de Control y Estilo Operativo de la Gerencia
La gerencia tiene la responsabilidad de dirigir y controlar las operaciones y
establecer, comunicar y monitorear polticas y procedimientos. Cada aspecto del
entorno del control se ve profundamente influenciado por las acciones y las
decisiones (o, en algunos casos, por inaccin e indecisin) de la gerencia. En un
ambiente de control eficaz, la conciencia de control de la gerencia y su estilo de
operar y coordinar, propicia una operacin eficaz de los procesos y controles y un
entorno en que la probabilidad de error se minimice.
La conciencia de control se refiere a la importancia que la gerencia le da a los
controles internos y, al entorno en que ellos funcionan. En gran parte este es un
concepto intangible; es una actitud de la gerencia que, una vez comunicada, ayuda a
lograr que un control adecuado permanezca en su lugar y reduzca la posibilidad de
que controles especficos sean ignorados.
Compromiso de Ser Competentes
El compromiso de ser competentes incluye la consideracin de la gerencia de los
niveles de competencia para puestos especficos y cmo estos niveles se traducen en
requisitos de aptitudes y conocimientos. Entre otros factores que la gerencia debe
considerar, est la naturaleza y el grado de juicio que se debe usar en una labor
especfica y el grado de supervisin que va a necesitar. El equipo a cargo del
proyecto tiene que considerar si el personal parece ser competente para cumplir sus
responsabilidades (por ejemplo, s el personal tiene el suficiente conocimiento y
experiencia en el rea de principios de contabilidad generalmente aceptados sobre
los cuales la compaa va a reportar).

www.auditoriapractica.com

Participacin de la Junta Directiva y del Comit de Auditora en

el Gobierno (Governance) y Supervisin del Negocio
La junta directiva, a travs de actividades propias y con el soporte de un comit de
auditora, es responsable de la supervisin de los procedimientos y polticas
contables y de reporte de informacin financiera.

Mientras que las actividades y responsabilidades especficas de los comits de

auditora varan y requieren modificaciones o adaptaciones conforme las
circunstancias individuales, la junta directiva tiene una responsabilidad fiduciaria
ante los accionistas y terceros por la presentacin de reportes financieros confiables.
Como resultado la junta directiva y el comit de auditora deben estar preocupados
de reportar informacin financiera a los accionistas y al pblico inversionista y deben
monitorearlas polticas contables de la compaa y los procesos de auditora interna
y auditora independiente.
Al determinar los efectos que tiene la junta directiva y/o el comit de auditora sobre
el entorno del control, el equipo a cargo del proyecto debe considerar la
independencia de la junta directiva y/o el comit de auditora con respecto a la
gerencia, la experiencia y los conocimientos de sus miembros, el grado de
participacin y su escrutinio de las operaciones dela compaa, el grado en que
surgen preguntas difciles y se les da seguimiento con la gerencia y su interaccin
con los auditores internos y los auditores independientes.
Estructura Organizacional y Asignacin de Autoridad y Responsabilidades
La estructura de organizacin de una empresa seala el marco general para la
planeacin, direccin y el control delas operaciones. Una estructura eficaz determina
la asignacin de responsabilidad, de tal manera que todo el personal tenga un claro
concepto de quin es la persona a quien reportar y cules son sus responsabilidades.
En su revisin de la estructura de organizacin, el equipo a cargo del proyecto debe
considerar mtodos para (1) asignar autoridad, (2) monitorear operaciones
descentralizadas,(3) asignar y monitorear responsabilidades para sistemas de
informacin (incluyendo el uso de organizaciones deservicio o
service organizations), (4) establecer y monitorear polticas y procedimientos (e.g., conflicto
de intereses, seguridad corporativa y cdigos de conducta) en toda la organizacin.
El equipo a cargo del proyecto debe concentrarse en la substancia de la estructura
de organizacin y en los mtodos seguidos para asignar autoridad y responsabilidad,
en lugar de concentrarse en su forma. Por consiguiente, el nivel general de
conocimiento y cumplimiento con las polticas y procedimientos, es tan importante
como su monitoreo por parte de la gerencia. La revisin de la estructura de
organizacin tambin es til para que el equipo a cargo del proyecto determine el
grado de
www.auditoriapractica.com

segregacin de funciones logrado y para evaluar los efectos que tienen las
deficiencias significativas a este respecto.
Polticas y Procedimientos de Recursos Humanos
Estas polticas y procedimientos se refieren a la contratacin, orientacin,
entrenamiento, evaluacin, consejera, promocin y compensacin del personal. La
eficacia de las polticas y procedimientos, incluyendo los controles, depende de las
personas que los ejecutan. Por lo tanto, la capacidad e integridad del personal de la
compaa son elementos importantes de su entorno de control. La habilidad de una
empresa para reclutar y contratar suficiente personal competente y responsable,
depende a su vez de las polticas y prcticas de recursos humanos. Adems, el nivel
de competencia y de integridad del personal dedicado a procesos especficos es uno
de los factores para evaluar la eficacia del control sobre los procesos.
Evaluacin de Riesgo
Todas las empresas, independientemente de su tamao, estructura, naturaleza o
tipo de industria, encuentran riesgos en todos los niveles de su organizacin. Los
riesgos afectan la habilidad que tiene una empresa para sobrevivir y para competir
exitosamente dentro de su industria; para mantener su fortaleza financiera, su
imagen pblica positiva y la calidad general de sus productos o servicios y su
personal. No hay manera prctica de reducir su riesgo acero. De hecho, la decisin misma
de establecer un negocio, crea un riesgo. La gerencia debe decidir el nivel de riesgo
que prudentemente puede aceptar y tratar de permanecer dentro de ese nivel.
El proceso de identificacin, anlisis y administracin de riesgos es un componente
crtico de cualquier sistema de control interno eficaz. Tambin debe reconocerse que
siempre est presente el cambio y es fundamental para un proceso eficaz de
evaluacin de riesgo tomar las acciones necesarias para responder a tales cambios.

Para comprender el proceso de evaluacin de riesgo a nivel de empresa, el equipo a

cargo del proyecto debe considerar factores tales como:
1 Si se han establecido y comunicado los objetivos a nivel de empresa, incluyendo la
manera como estn soportados por planes estratgicos y complementados a nivel de
proceso o de aplicacin.
2 Si se ha establecido un proceso de evaluacin de riesgos que incluya una
estimacin de la importancia de los riesgos, evaluacin de las probabilidades de que
ocurran, y determinacin de las acciones necesarias.
3 Si se han establecido mecanismos para anticipar, identificar y reaccionar a
situaciones que puedan tener un efecto dramticamente extenso en la empresa. (Por
ejemplo, un comit gerencial de administracin de activos/pasivos en una institucin
financiera, o un grupo de riesgos de comercializacin de com modities en una empresa
manufacturera).
www.auditoriapractica.com

4 Si existen mecanismos para anticipar, identificar y reaccionar a eventos rutinarios

o a actividades que afecten el logro de los objetivos de la entidad o a nivel de
proceso/aplicacin.

5 Si el departamento de contabilidad ha establecido procesos para identificar

cambios significativos en los principios de contabilidad generalmente aceptados
promulgados por las autoridades pertinentes.
6 Si los canales de comunicacin estn facultados para notificar al departamento de
contabilidad los cambios en las prcticas de negocios de la empresa que pueden
afectar el mtodo o el proceso de registrar transacciones
7 Si el departamento de contabilidad tiene procesos para identificar cambios
importantes en el entorno operativo, incluyendo cambios regulativos.
Informacin y Comunicacin
Informacin y comunicacin es el proceso de capturar e intercambiar informacin
que se necesita para ejecutar, administrar y controlar las operaciones de la empresa.
La calidad del sistema de comunicacin e informacin de la compaa afecta la
habilidad de la gerencia para tomar las decisiones acertadas para controlar las
actividades de la compaa y preparar reportes financieros confiables.
Informacin y comunicacin abarcan la captura y la emisin de informacin al
personal adecuado para que ste pueda cumplir con sus responsabilidades,
incluyendo una comprensin de las funciones y responsabilidades individuales que
ataen al control interno sobre reportes de informacin financiera.
Para entender la informacin y comunicacin a nivel de empresa, el equipo a cargo
del proyecto considera factores tales como:
Informacin
1 Si el sistema de informacin provee a la gerencia los informes necesarios sobre el
desempeo de la empresa en relacin con los objetivos establecidos, incluyendo
informacin relevante tanto externa como interna.
2 Si la informacin se provee a las personas adecuadas con suficiente detalle y
anticipacin para que puedan desempear sus responsabilidades eficientemente y
con eficacia
3 Hasta qu grado los sistemas de informacin son desarrollados o modificados con
base en un plan estratgico que est inter-relacionado con el sistema general de
www.auditoriapractica.com

informacin de la empresa, que permita el logro de los objetivos a nivel de empresa

y de proceso/aplicacin
4 Si la gerencia de la empresa asigna los recursos humanos y financieros adecuados
para desarrollar los sistemas de informacin que sean necesarios
5 Cmo asegura y monitorea la gerencia la participacin de usuarios en el desarrollo
(incluyendo modificaciones) y pruebas de programas
6 Si se ha establecido un plan de recuperacin en caso de desastre para todos los
centros principales de datos
Comunicacin
1 Si la gerencia comunica de manera eficaz las funciones y responsabilidades de
control del personal
2 Si se han establecido canales de comunicacin para las personas que tienen que
reportar hechos sospechosos
3 La idoneidad de la comunicacin a travs de la empresa para facilitar el
desempeo de obligaciones por parte del personal
4 Si la gerencia toma oportuna y apropiada accin de seguimiento en relacin con
las comunicaciones de clientes, proveedores, mediadores y otras partes externas
5 Si la empresa est sujeta a requisitos de monitoreo y cumplimiento impuestos por
organismos reguladores
6 El alcance de notificacin a terceros fuera de la empresa (tales como clientes y
proveedores) sobre las polticas y normas de tica de la empresa
Actividades de Control
Las actividades de control son polticas y procedimientos que ayudan a asegurar que
las instrucciones de la gerencia sean cumplidas. Ayudan a asegurar que se toman las
acciones necesarias para tratar los riesgos en el logro delos objetivos de la empresa.
Las actividades de control, automatizadas o manuales, tienen varios objetivos y se
aplican a varios niveles organizacionales y funcionales.
Para comprender las actividades de control a nivel de empresa, el equipo a cargo del
proyecto toma en cuenta factores tales como:

www.auditoriapractica.com

1 Si existen las polticas y los procedimientos que se requieren respecto a cada

actividad de la empresa
2Si los controles se aplican con la extensin que requiere cada poltica
3 Si la gerencia tiene objetivos claros en trminos de presupuesto, utilidades, otras
metas financieras y de operacin y estos objetivos son expresados con claridad y
comunicados a toda la organizacin, y son monitoreados continuamente
4 Si hay sistemas establecidos de informacin y de planeacin para identificar
variaciones en el desempeo planeado y comunicar tales variaciones a nivel
apropiado de gerencia
5 Grado en que las funciones estn segregadas entre diferentes personas de tal
manera que se reduce el riesgo de fraude o de otros actos impropios
6 Grado en que las funciones estn divididas lgicamente por medio de aplicaciones
de tecnologa de informacin(IT)
7 Si se hacen comparaciones peridicas de los importes registrados en el sistema
contable con los activos fsicos
8 Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la
destruccin de documentos, registros y activos
9 Si se han establecido polticas para controlar el acceso a archivos de datos y
programas
10 Si se usa algn software de seguridad de acceso, de sistema operativo, y/o de
aplicaciones para controlar el acceso a datos y programas
11 Si hay sistemas establecidos de informacin y de planeacin para identificar
variaciones en el desempeo planeado y comunicar tales variaciones a nivel
apropiado de gerencia
12 Grado en que las funciones estn segregadas entre diferentes personas de tal
manera que se reduce el riesgo de fraude o de otros actos impropios
13 Grado en que las funciones estn divididas lgicamente por medio de aplicaciones
de tecnologa de informacin(IT)
14Si se hacen comparaciones peridicas de los importes registrados en el sistema
contable con los activos fsicos
15Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la
destruccin de documentos, registros y activos

www.auditoriapractica.com

16 Si se han establecido polticas para controlar el acceso a archivos de datos y

programas
17Si se usa algn software de seguridad de acceso, de sistema operativo, y/o de
aplicaciones para controlar el acceso a datos y programas
18Si existe una funcin establecida de seguridad de informacin con la
responsabilidad de monitorear el cumplimiento con las polticas y procedimientos de
seguridad de informacin
Monitoreo
Una importante responsabilidad de la gerencia es el establecimiento y
mantenimiento del control interno. La gerencia monitorea los controles para
cerciorarse de que funcionen conforme a lo diseado, y si se han modificado para
adaptarlos a condiciones cambiantes. Monitoreo es un proceso de evaluacin para
determinar la calidad del control interno a travs del tiempo, considerando si los
controles estn operando para lo que fueron diseados y asegurando que son
modificados apropiadamente por condiciones cambiantes. Esto implica evaluar el
diseo y la operacin de los controles con regularidad, tomando las acciones
correctivas necesarias. Este proceso se logra mediante actividades sobre la marcha y
evaluaciones separadas, o combinaciones de ambas.

Para comprender el proceso de monitoreo a nivel de empresa, el equipo a cargo del

proyecto debe tener presente factores tales como:
1 Si se llevan a cabo evaluaciones peridicas del control Interno
2 Grado en que el personal, en el desarrollo de sus funciones regulares, obtiene
evidencia de que el sistema de control interno contina funcionando
3 Grado en que las comunicaciones de partes externas corroboran la informacin
generada internamente o indican problemas
4 Si la gerencia sigue las recomendaciones que le hacen los auditores internos y los
auditores independientes
5 Enfoque de la gerencia para corregir oportunamente
las condiciones informales conocidas
6 Enfoque de la gerencia para manejar los reportes y recomendaciones provenientes
de autoridades reguladoras

www.auditoriapractica.com

10

7 Existencia de una funcin de la auditora interna que la gerencia usa para ayudarse
en el monitoreo, la cual incluye factores tales como:
Independencia (autoridad y relaciones de reporte)
Lneas de reporte (se reporta directamente a la junta directiva y/o al comit de
auditora, o se tiene acceso ilimitado a la junta directiva y/o al comit de auditora)
Idoneidad en la asignacin de personal, entrenamiento y existencia de destrezas
especializadas de acuerdo con el entorno (e.g., uso de auditores de sistemas de
informacin experimentados, adiestrados en entornos complejos y altamente
automatizados)
Cumplimiento con las normas profesionales aplicables
Alcance de actividades (un balance entre auditorias financieras y operacionales,
cobertura y rotacin de operaciones descentralizadas )
Idoneidad de la planeacin, evaluacin de riesgos y documentacin del trabajo
ejecutado y las
conclusiones alcanzadas
Inexistencia de responsabilidades operativas

El equipo a cargo del proyecto debe evaluar si el sistema de control interno est
sujeto a auto-monitoreo y si incluye mecanismos apropiados para asegurar que
cualesquier deficiencias observadas son corregidas. En el caso de que los mtodos
de auto-monitoreo y correccin de deficiencias sean evaluados como inadecuados, el
equipo debe proponer recomendaciones especficas para mejorar el sistema.

5. Entender y Evaluar el Control Interno en Procesos y Transacciones

1 Identificar y Evaluar las Clases Mayores de Transacciones
2 Otras Consideraciones de Control
3Efectos de la Tecnologa de Informacin

Despus de terminar una evaluacin de control interno a nivel de empresa, el

sistema de contabilidad de una organizacin se convierte en el foco primario para la
evaluacin del control interno sobre la informacin financiera. Para este propsito, el
sistema de contabilidad est representado por los procesos que son bsicos para la
informacin financiera de la Compaa (i.e., los procesos de negocios y/o actividades
contables).
www.auditoriapractica.com

11

Determinar las Cuentas Significativas

El punto de partida para identificar cules son los procesos importantes, que
empieza con la identificacin de las cuentas o grupos de cuentas
significativas a nivel de revelacin en los rubros o las notas de los estados
financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que
pueden tener un efecto material sobre los estados financieros u otros asuntos
legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales,
aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa
con sus clientes, accionistas o el pblico si estos asuntos quedaran sin ser
detectados.
La importancia de una cuenta son su tamao y composicin, y su
susceptibilidad a manipulacin o prdida; su naturaleza; el volumen de la
actividad, tamao, complejidad y homogeneidad de las transacciones
individuales procesadas a travs de la cuenta y la subjetividad en la
determinacin del saldo de la cuenta (i.e., el alcance en que la cuenta es afectada
por juicios).
Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o
grupo de cuentas tambin es algo que se debe tener presente. Generalmente, una
empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de crecimiento,
mercados, productos, personal, tecnologa) tendr ms situaciones de incertidumbre
y de riesgo que compaas con estabilidad.
1. Identificar y Evaluar las Clases Mayores de Transacciones
Identificar las cuentas significativas
El punto de partida para identificar cules son los procesos importantes, que
empieza con la identificacin de las cuentas o grupos de cuentas
significativas a nivel de revelacin en los rubros o las notas de los estados
financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que
pueden tener un efecto material sobre los estados financieros u otros asuntos
legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales,
aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa
con sus clientes, accionistas o el pblico si estos asuntos quedaran sin ser
detectados.

www.auditoriapractica.com

12

La importancia de una cuenta son su tamao y composicin, y su

susceptibilidad a manipulacin o prdida; su naturaleza; el volumen de la
actividad, tamao, complejidad y homogeneidad de las transacciones
individuales procesadas a travs de la cuenta.
Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o
grupo de cuentas tambin es algo que se debe tener presente. Generalmente, una
empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de crecimiento,
mercados, productos, personal, tecnologa) tendr ms situaciones de incertidumbre
y de riesgo que compaas con estabilidad.
Identificar y evaluar transacciones importantes
Esta identificacin representa el enlace entre la identificacin de cuentas o
grupo de cuentas significativas y la comprensin y evaluacin de los
procesos y controles relacionados.
Las transacciones mayores incluyen todas las clases de transacciones que afectan en
forma material las cuentas o grupos de cuentas significativas, sea directamente a
travs de asientos en el mayor general, o indirectamente mediante la creacin de
derechos u obligaciones que no pueden ser registrados en el libro mayor.
Los procesos comprenden clases de transacciones que pueden calificarse como:
a) rutinarias,
b) no rutinarias o
c) de estimacin
Es importante distinguir entre estas clases mayores de transacciones porque los
componentes y riesgos en cada clase son diferentes y, como resultado, la
probabilidad de errores de importancia que surgen de los procesos correspondientes
tambin difiere.
Transacciones Rutinarias
Son los datos financieros registrados en los libros y los registros o datos no
financieros usados para administrar el negocio.
Por ejemplo, una empresa podra tener las siguientes transacciones rutinarias:
Ventas y cuentas por cobrar
Ingresos en efectivo
Compras y cuentas por pagar
Egresos en efectivo
Nmina
Inventarios y costo de ventas
www.auditoriapractica.com

13

Algunas empresas tendrn ms de un solo proceso para transacciones similares. Por

ejemplo, puede haber procesos separados para ventas domsticas y de exportacin;
la nmina puede ser diferente para aquellos con salario fijo y los que ganan en base
a horas trabajadas.
Transacciones No Rutinarias
Estas son transacciones que se llevan en forma peridica, generalmente en conjunto
con los estados financieros. Cualquier clase mayor de transacciones que no cumpla
fcilmente con la definicin de transaccin rutinaria o transaccin de estimacin se
puede ver como transaccin no rutinaria. Transacciones tpicas no rutinarias
incluyen:
Clculo del gasto por impuesto sobre la renta
Conteo y valuacin de inventarios
Determinacin de gastos pagados por adelantado
Transacciones de Estimacin
Estas son transacciones que reflejan los numerosos juicios, decisiones y alternativas
en la preparacin de estados financieros (Ej: Estimacin para cuentas por
cobrar).
Es importante tener presente que las transacciones rutinarias generalmente
estn sujetas a un sistema de control ms formal, debido a que hay mayor
objetividad en los datos y en el volumen de informacin procesada.
Por el contrario, debido a que las transacciones no rutinarias y las de
estimacin frecuentemente son ms subjetivas o menos frecuentes, sus controles
son menos formales. En consecuencia, el riesgo de errores potenciales puede ser
mayor.
Entender el Flujo de Transacciones
Una vez identificado las principales clases de transacciones, es necesario
obtener detalle de los procesos para comprender el flujo de cada clase
mayor de transacciones.
El objetivo de este paso es la identificacin de los registros, documentos y
procedimientos bsicos en uso para identificar en dnde pueden ocurrir
errores.

www.auditoriapractica.com

14

La mayora de los procesos involucran una serie de actividades tales como la

validacin y edicin de entrada de datos, clculos, actualizacin de archivos
maestros y de transacciones y resumen e informacin de datos.
Los procedimientos de proceso ms importantes y que son necesarios para efectos
de identificar dnde pueden ocurrir errores son las actividades que se requieren
para iniciar; registrar; procesar o reportar las clases mayores de
transacciones. Estos incluyen procedimientos para corregir y reprocesar
transacciones previamente rechazadas y procedimientos para corregir transacciones
errneas mediante asientos de ajuste.
Debemos comprender el flujo y la naturaleza de la informacin; analizar los tipos
de errores que pueden ocurrir en la iniciacin, registro, proceso y reporte de
las transacciones y considerar las polticas y procedimientos de control
interno relevantes.
Si bien la documentacin de la comprensin y evaluacin variar segn la categora
de la transaccin, Ej: usar papeles de trabajo para documentar procesos para
transacciones rutinarias y memorandos para documentar procesos para
transacciones no rutinarias y de estimacin, los objetivos de registrar
informacin contable son consistentes.
Proceso de Reporte de Informacin Financiera
Se debe incluir en su comprensin y evaluacin del control interno el proceso para
producir reportes financieros. La comprensin de los procesos significativos de la
empresa y su interrelacin con el proceso especfico de producir informacin
financiera proporcionar una base para conocer la informacin requerida para el
proceso de informacin financiera. Tpicamente ste incluir:
a. Los procedimientos para registrar los totales de las transacciones en el mayo r
general.
b. Los procedimientos para iniciar, registrar y procesar asientos de diario en el
mayor general.
c. Otros procedimientos usados para registrar ajustes
recurrentes en los estados financieros y reclasificaciones.

recurrentes

y no-

d. Procedimientos para preparar proyectos de estados financieros y notas a los

estados financieros.
e. Preparacin del anlisis de la gerencia en cuanto a logros financieros y
operativos del negocio.

www.auditoriapractica.com

15

Evaluar los Controles Diseados

Pruebas de controles
El auditor deber disear y desempear pruebas de controles para obtener
suficiente evidencia apropiada de auditora en cuanto a la efectividad operativa de
los controles relevantes si:
a) La evaluacin del auditor de los riesgos de representacin errnea de
importancia relativa a nivel aseveracin incluye una expectativa de que los
controles estn operando de manera efectiva (es decir, el auditor piensa
apoyarse en la efectividad operativa de los controles para determinar la
naturaleza, oportunidad y extensin de los procedimientos sustantivos); o
b) Los procedimientos sustantivos solos no pueden proporcionar suficiente
evidencia apropiada de auditora a nivel aseveracin.

Al disear y desempear las pruebas de controles, el auditor deber obtener

evidencia de auditora ms persuasiva, mientras mayor sea el grado de dependencia
del auditor de la efectividad de un control.
Naturaleza y extensin de las pruebas de controles
Al disear y desempear las pruebas de controles, el auditor deber:
a) Desempear otros procedimientos de auditora en combinacin con la
investigacin, para obtener evidencia de auditora sobre la efectividad operativa de
los controles, incluyendo:
i) Cmo se aplicaron los controles en momentos relevantes durante
el periodo bajo auditora;
ii) La consistencia con que se aplicaron; y
iii) Por quin y por qu medios se aplicaron.
b) Determinar si los controles por probar dependen de otros controles (controles
indirectos) y, de ser as, si es necesario obtener evidencia de auditora que soporte
la operacin efectiva de dichos controles indirectos.
Oportunidad de las pruebas de controles
El auditor deber poner a prueba los controles por el tiempo particular, o durante el
perodo, por el cual piensa el auditor apoyarse en dichos controles, para dar una
base apropiada para el soporte pensado por el auditor.

www.auditoriapractica.com

16

Uso de evidencia de auditora obtenida durante un perodo provisional

Si el auditor obtiene evidencia de auditora sobre la efectividad operativa de
los controles durante un periodo provisional, el auditor deber:
a) Obtener evidencia de auditora sobre cambios importantes a dichos
controles posteriores al periodo provisional; y
b) Determinar la evidencia adicional de auditora que se debe obtener por el
perodo restante
Uso de evidencia de auditora obtenida en auditoras previas
Al determinar si es apropiado usar evidencia de auditora sobre la efectividad
operativa de los controles obtenida en auditoras previas, y, si es as, la duracin del
periodo que puede pasar antes de volver a someter a prueba un control, el auditor
deber considerar lo siguiente:

a) La efectividad de otros elementos de control interno, incluyendo el entorno del

control, el monitoreo de controles por la entidad, y el proceso de evaluacin del
riesgo de la entidad;
b) Los riesgos que se originen de las caractersticas del control, incluyendo si es
manual o automatizado;
c) La efectividad de los controles generales de TI;
d) La efectividad del control y su aplicacin por la entidad, incluyendo la naturaleza y
extensin de las desviaciones en la aplicacin del control que se observaron en
auditoras previas, y si ha habido cambios de personal que afecten de manera
importante la aplicacin del control;
e) Si la falta de un cambio de un control particular plantea un ri esgo debido a las
circunstancias cambiantes; y Los riesgos de representacin errnea de importancia
relativa y el grado de dependencia del control
f) Los riesgos de representacin errnea de importancia relativa y el grado de
dependencia del control

Si el auditor planea usar evidencia de auditora de una auditora previa sobre la

efectividad operativa de controles especficos, el auditor deber establecer la
relevancia continua de dicha evidencia, obteniendo evidencia de auditora sobre si
han ocurrido cambios importantes en dichos controles posteriores a la auditora
previa.
www.auditoriapractica.com

17

La efectividad de otros elementos de control interno, incluyendo el entorno del

control, el monitoreo de controles por la entidad, y el proceso de evaluacin del
riesgo de la entidad; Los riesgos que se originen de las caractersticas del control,
incluyendo si es manual o automatizado; La efectividad de los controles generales de
TI; La efectividad del control y su aplicacin por la entidad, incluyendo la naturaleza
y extensin de las desviaciones en la aplicacin del cont rol que se observaron en
auditoras previas, y si ha habido cambios de personal que afecten de manera
importante la aplicacin del control; Si la falta de un cambio de un control particular
plantea un riesgo debido a las circunstancias cambiantes; y Los ri esgos de
representacin errnea de importancia relativa y el grado de dependencia del
control.

a) Si ha habido cambios que afecten la relevancia continua de la evidencia de

auditora de la auditora previa, el auditor deber someter a prueba los
controles en la auditora.

b) Si no ha habido esos cambios, el auditor deber poner a prueba los controles

cuando menos una vez cada tercer auditora, y deber poner a prueba algunos
controles cada auditora, para evitar la posibilidad de poner a prueba todos los
controles sobre los que piensa apoyarse el auditor en un solo periodo de
auditora, sin poner a prueba controles en los dos periodos de auditora
posteriores.

Controles sobre riesgos importantes

Si el auditor planea apoyarse en los controles sobre un riesgo que el auditor ha
determinado que es un riesgo importante, el auditor deber poner a prueba esos
controles en el periodo actual.
Evaluacin de la efectividad operativa de los controles
Cuando evala la efectividad operativa de los controles relevantes, el auditor deber
evaluar si las representaciones errneas que se han detectado con procedimientos
sustantivos indican que los controles no estn operando de manera efectiva. Sin
embargo, la ausencia de representaciones errneas detectadas con procedimientos
sustantivos, no da evidencia de auditora de que son efectivos los controles
relacionados con la aseveracin que se pone a prueba.
Si se detectan desviaciones de los controles en los que el auditor piensa apoyarse,
el auditor deber hacer investigaciones especficas para entender estos asuntos y
sus consecuencias potenciales, y deber determinar si:
a) Las pruebas de controles que se han desempeado proporcionan una
base apropiada para confiar en los controles;
www.auditoriapractica.com

18

b) Son necesarias pruebas adicionales de controles; o

c) Necesitan tratarse los riesgos potenciales de representacin errnea
usando procedimientos sustantivos.
La determinacin si los controles tal como fueron diseados, son eficaces, deben
probarse mediante las pruebas de auditora. Al hacer esta evaluacin, el auditor
debe considerar:
a. Caractersticas de las cuentas relacionadas (tamao, susceptibilidad a
errores o manipulacin).
b. Eficacia del control interno a nivel de empresa.
c. Conclusiones relacionadas
informacin (IT).

con

los

procesos

de

tecnologa

de

d. El diseo de control implementado por la empresa.

e. Riesgos del control.
f. Polticas y procedimientos en relacin con autorizacin, custodia de activos,
control confiable de los activos y segregacin de funciones.

Determinar si los controles logran un objetivo especfico (e.g., con respecto a

los objetivos de reporte de informacin financiera o cules errores de importancia no
ocurren) requiere con frecuencia de juicio considerable.
La pregunta clave es si los controles esenciales podran prevenir y/o detectar un
error material relacionado con cada una de las aseveraciones pertinentes en los
estados financieros.
Si los controles existentes no son eficaces para ese propsito (o no hay controles),
podra ser necesario establecer controles adicionales ya sean programados o
manuales. Sin embargo, antes de instalar procedimientos nuevos, la empresa
debera llevar a cabo un estudio de costo-beneficio.
Determinar Si los Controles Funcionan Tal Como se Disearon
La gerencia debe tener una seguridad razonable que los controles funcionan tal
como se disearon.

www.auditoriapractica.com

19

Un paso inicial en ese proceso es que el auditor ejecute el recorrido de una

transaccin para verificar que lo que l entiende sobre el funcionamiento
deseado del proceso y de sus controles es correcto.
Despus que este recorrido ha sido ejecutado, puede comenzar la prueba de la
eficacia de los controles.
Las pruebas para verificar si los controles funcionan tal como se disearon, pueden
hacerse mediante:
a. Indagacin a las personas responsables del control y
b. Examen de la evidencia (e.g. revisin de las conciliaciones bancarias)
de que el control fue ejecutado y fue eficaz.
c. Analizar una transaccin y repite la operacin (por ejemplo los
clculos en una factura usada como muestra).
d. En otros casos se puede obtener una seguridad del buen
funcionamiento de un control, observando a los empleados mientras
llevan a cabo sus funciones, y mediante entrevistas con el personal
para determinar si entienden lo que deben hacer si se identifica un
error durante la ejecucin de sus funciones.

En los casos de transacciones procesadas por el sistema IT, adems de seguir el

flujo fsico de documentos y formas, el auditor tambin sigue el flujo de datos y de
informacin de archivos a travs de procesos automatizados en la aplicacin (a nivel
de sistema y no a nivel de lgica detallada).
Esto puede involucrar procedimientos tales como preguntas a personal
independiente pero con conocimiento de la materia, revisin de manuales deusuario,
observacin de un usuario cuando procesa transacciones en una terminal, en el caso
de una aplicacin on line, y revisin de documentacin tal como reportes de salida
(output).
Al concluir esta tarea, el auditor debe documentar si los controles manuales
y programados funcionan conforme a lo diseado e incluir cualesquier otros
comentarios pertinentes que puedan ayudar al auditor para evaluar
procesos claves.
En un ambiente de negocio dinmico, los controles requieren una modificacin cada
cierto tiempo. Ciertos sistemas pueden requerir mejoras en sus controles para
responder a nuevos productos en el mercado o debido a riesgos emergentes. La
automatizacin de algunos controles manuales puede mejorar la eficiencia y el
cumplimiento con las polticas de la gerencia. En otras reas la evaluacin puede
www.auditoriapractica.com

20

indicar controles redundantes u otros procedimientos que ya no son necesarios. En

tales casos la compaa puede mantener un nivel aceptable de controles y mejorar
sus resultados mediante los cambios apropiados.
En el caso de que se identifiquen reas en donde los controles son insuficientes para
producir una seguridad razonable de que el riesgo de errores disminuye a un nivel
aceptable, el equipo a cargo del proyecto debe recomendar mejoras. En todas las
recomendaciones hay que tener presente el concepto de seguridad razonable.
Tanto los textos de auditora como el informe COSO enfatizan en que el control
interno no tiene que estar completamente libre de riesgos si la eliminacin total de
stos tuviese un costo superior al beneficio esperado. Por lo tanto, cuando el revisor
o el equipo a cargo del proyecto identifican un riesgo, es necesario tomar una
decisin de costo-beneficio respecto a si los costos de instalacin y mantenimiento de un
control que reduzca o elimine el riesgo exceden los beneficios esperados.
Generalmente, los controles solamente pueden reducir, no eliminar por completo, un
riesgo. Adems, se pueden usar los anlisis de costo-beneficio para determinar si los
controles existentes deben conservarse.
Todos los aspectos de control interno estn sujetos al juicio procedimientos
rutinarios (e.g., comparando facturas con reportes de recibo)Monitoreo peridico
(e.g., pruebas de controles, verificacin de porciones del siste ma, actualizacin de
estudios anteriores sobre costo-beneficio). Esto incluye decisiones sobre el tipo de
monitoreo (e.g., por auditores internos) y la frecuencia del monitoreo (e.g.,
trimestral, anual, etc.)

Documentacin relacionada con:

Transacciones
Sistema de control
Actividades de monitoreo
Decisiones costo-beneficio
Polticas y prcticas para reportar:
- Funcionamiento
inadecuado
de
controles
o
controles circunvenidos
- Cambios en las circunstancias que originan riesgos
adicionales o nuevos, o reducen o eliminan riesgos existentes
- Polticas y prcticas para tomar oportunamente acciones correctivas
En muchos casos, o posiblemente en la mayora de ellos, un anlisis formal de costobeneficio sera difcil o costoso e innecesario. Por ejemplo, las personas que efectan
el anlisis, despus del segundo paso pueden reconocer que el costo exceder los
beneficios. Por otra parte, quienes llevan a cabo el anlisis pue den llegar a la
www.auditoriapractica.com

21

conclusin de que el costo de reducir el riesgo ser mnimo y que puede ser prctico
instalar el control.
Sin embargo, en aquellos casos donde tiene sentido un anlisis formal de costo beneficio, puede ser til tomar en consideracin lo siguiente:
1. Listar todas las alternativas razonables (incluyendo controles) que puedan
adoptarse para reducir o eliminar los riesgos y si stas no han sido identificadas
listar todos los riesgos que podran ser reducidos o eliminados con cada alternativa.
2. Listar o identificar las partidas relevantes de costo a incurrir en cada alternativa.
3. Determinar los costos y riesgos que son cuantificables.
4. Cuantificar esos costos y riesgos.
5. Estimar la probabilidad de que una prdida ocurrir por falta de corregir la
debilidad, y con qu frecuencia puede ocurrir ese evento.
6. Para estimar en cada alternativa la probabilidad (si existe) de que pueda ocurrir
una prdida si el control es instalado, y con cuanta frecuencia podra ocurri r (si es el
caso).
7. Desarrollar la mejor estimacin de los beneficios que podra haber al eliminar o reducir el
riesgo (e.g.,, multiplicando en cada alternativa el riesgo cuantificado por la reduccin
en la probabilidad de que una prdida pudiera ocurrir y luego por la reduccin en la
frecuencia de ocurrencias).
8. Decidir si los costos por corregir la debilidad podran exceder los beneficios, o
viceversa, con base en una comparacin de costos (cuantificables y no
cuantificables) con los beneficios (cuantificables y no cuantificables).
Monitoreo
Finalmente, como se mencion anteriormente, el control interno debera ser auto
monitoreable y autocorregible. Quiere decir que una empresa debe establecer
mecanismos para monitorear continuamente y mantener el sistema de control
interno y tomar la accin correctiva oportunamente, cuando sea necesario.
Generalmente, La responsabilidad para convertir el sistema de control interno en
auto-monitoreable y autocorregible no debe ser asignada exclusivamente a un solo
grupo. En un sentido amplio, el sistema de control interno es integral y completo.
Involucra a personal de toda la organizacin, incluyendo a muchas personas que no
se consideran con responsabilidades contables o de control.

www.auditoriapractica.com

22

Fuentes para documentar procesos

Las siguientes son las fuentes en donde el Auditor puede encontrar informacin para
documentar los procesos:
- Organigramas que identifiquen los puestos y responsabilidades
- Entrevistas con los dueos de los procesos
- Manuales de procedimientos
- Polticas relacionadas con el proceso
- Observacin de las actividades del proceso
- Inspeccin de informacin producida por el proceso
- Informes de auditoras internas y/o externas (ayuda a que el Auditor
identifique debilidades y riesgos del proceso)
- Revisin de las cartas de recomendaciones del Auditor del ao anterior
Evaluar el proceso y transaccin
Para el logro de nuestro anlisis de los procesos, consideraremos el desarrollo de las
siguientes actividades, as:
a. Entendimiento del proceso
b. Identificacin de los riesgos y controles del proceso
c. Seleccin de los controles relevantes a los que se les realizarn las pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas de auditora relativas a la eficacia operativa de controles
a. Entendimiento del proceso
Es indispensable que el Auditor entienda y documente las actividades que inician,
procesan y registran las transacciones significativas. Ejemplo:
b. Identificacin de los riesgos y controles del proceso
Del buen entendimiento del proceso depender la identificacin de riesgos y los
controles que los mitigan. En la identificacin de riesgos es importante que considere
los factores que pueden incrementar los riesgos, tales como la calidad del personal,
experiencias pasadas en la obtencin de objetivos, complejidad de una actividad,
distribucin geogrfica de las actividades, entre otras.
Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los
riesgos de los procesos:
www.auditoriapractica.com

23

La vinculacin de personal, no competitivo frente a los retos de la organizacin,

as como la falta de efectividad de mtodos de entrenamiento y motivacin que
puedan influir en el nivel de conciencia del auto-control en la entidad
Fallas en el procesamiento de los sistemas de informacin, que afectan las
operaciones de la entidad
Cambios en las responsabilidades asignadas de la administracin, que afecten la
ejecucin de algunos controles
Indebida aplicacin de las polticas de la organizacin.
Identificacin de Controles
Los controles se clasifican en tres tipos:
Automtico: lo realiza de principio a fin un sistema de informacin.
Semiautomtico: es ejecutado de manera parcial por una persona, pero con la
colaboracin de un sistema de informacin.
Manual: lo ejerce en su totalidad una persona, sin la colaboracin de un sistema de
informacin.
Los controles pueden ser preventivos, detectivos o correctivos:
Control Preventivo: Su objetivo es anticiparse a los eventos no deseados,
actuando sobre las causas del riesgo, as como evitando la generacin de errores o
eventos fraudulentos.
Control Detectivo: Identifica todos aquellos eventos en el momento en que
ocurren, as como advierte sobre la presencia de riesgos.
Control Correctivo: Se orienta a la implementacin de las acciones correctivas una
vez se ha identificado un evento no deseado. Su implementacin se realiza cuando
los controles preventivos y detectivos no han funcionado, lo cual representa que su
implementacin sea ms costosa, pues actan cuando ya se han materializado
eventos de prdida para la organizacin.
2. Otras Consideraciones de Control
Las polticas y procedimientos en relacin con autorizacin, salvaguardia de activos,
responsabilidad sobre activos y segregacin de funciones son establecidos por la
gerencia para poder proveer una seguridad razonable de que:
a. Los activos son adquiridos, custodiados y usados, y los pasivos son incurridos
y liberados conforme a las decisiones de la gerencia.

www.auditoriapractica.com

24

b. La informacin financiera es mantenida correctamente en los libros y registros

con respecto a activos y pasivos resultantes de dichas decisiones.
Estas polticas y procedimientos son parte integral de un sistema de control interno y
se relacionan bsicamente con el control de la gerencia sobre la disposicin de los
activos y pasivos de la empresa y, nicamente de manera indirecta, con los
controles sobre el procesamiento de datos, los cuales se ocupan con la
contabilizacin correcta, puntual y completa de las transacciones. Sin embargo, la
ausencia de dichos controles podra incrementar el riesgo de errores de importancia
en la informacin financiera incluida en los libros y registros de la empresa.

En vista de que las polticas y procedimientos frecuentemente toman la forma de

controles, la ausencia de polticas y procedimientos adecuados sobre cualquiera de
estas reas puede afectar la forma en que el equipo a cargo del proyecto juzgue la
eficacia de controles especficos sobre los procesos.
Autorizacin: Los niveles general y especfico de autorizacin y aprobacin y los
procedimientos diseados para asegurar que las transacciones y actividades se
ejecutan de conformidad con las intenciones de la gerencia.
Salvaguardia de los activos: Restricciones, diseadas para evitar la prdida de
activos, al acceso y uso de activos y registros, incluyendo el acceso fsico y acceso
indirecto mediante la preparacin y procesamiento de datos que autoricen o faciliten
el uso o disposicin de activos
Responsabilidad sobre activos:
Procedimientos para comparar los activos registrados con los activos en existencia
fsica y para tomar las acciones apropiadas cuando se identifican diferencias. Tales
procedimientos ayudan a establecer una seguridad razonable de que se siguen los
procedimientos relativos a autorizacin de uso y acceso a los activos.
Segregacin de funciones: La prevencin que una sola persona lleve a cabo
funciones que no son compatibles o que una aplicacin de Tecnologa de Informacin
permita acceso inapropiado o excesivo de los usuarios a las funciones. Por ejemplo,
si una persona est en posicin de cometer errores y a la vez esconderlos dentro del
curso normal de sus propias funciones.
3. Efectos de la Tecnologa de Informacin
En ms aplicaciones complejas automatizadas, los controles identificados por la
gerencia muchas veces pueden involucrar tecnologa de informacin (IT). Los
controles de IT incluyen controles de aplicacin y controles generales de IT. Estos
controles ayudan a proveer una seguridad razonable de que las transacciones son
vlidas y estn debidamente autorizadas y procesadas de manera completa y precisa
para dar confiabilidad.
www.auditoriapractica.com

25

Controles de Aplicacin
Los controles de aplicacin corresponden al procesamiento de transacciones
individuales y pueden consistir en procedimientos programados (e.g., programas
especficos para procesar o editar una transaccin) o controles no programados
(e.g., balanceo manual de informacin producida por IT). Existen frecuentemente
controles programados, que pueden ser procedimientos de control programados (e.g.,
editar, comparar o conciliar) o procesos de IT (e.g., clculos, asientos on line o interfaces
automticas entre sistemas) en los cuales la gerencia confa para asegurar la
exactitud e integridad de la informacin generada por las aplicaciones
automatizadas. Por ejemplo, para asegurar que los precios en todas las facturas a
los clientes son correctos, la gerencia puede confiar en una informacin
automatizada para identificar transacciones de fijacin de precios que no cumplen
con los criterios establecidos en combinacin con un software de control de acceso
para restringir el acceso al archivo maestro de precios. En forma similar, la gerencia
puede otorgar confianza a un proceso de IT como la extensin automatizada de las
facturas de venta para asegurarse de que todas las ventas han sido valuadas
apropiadamente.
Se pueden encontrar controles programados a diferentes niveles de procesamiento
de datos. Los siguientes son algunos ejemplos:
Entradas (input): Existen controles para asegurar la validez e integridad de los datos
de entrada (input) (e.g., resumen de las transacciones generadas en las sucursales).
Puede haber varias validaciones para evitar la entrada (input) de datos errneos.
Procesamiento: Tambin existen controles para proporcionar valuacin y
contabilizacin correctas. Los procesos pueden ejecutar clculos sencillos o
complejos (e.g., de precios de productos, de valuacin de opciones). La
administracin del procesamiento de instrucciones y parmetros tambin constituye
un asunto clave de control.
Salidas (output): Controles especiales pueden estar en funcionamiento cuando las
salidas de datos generan pagos (e.g., la validacin de la identificacin de
proveedores antes de procesar el pago).
Un control programado por si mismo no puede ser suficiente para asegurar que la
aplicacin previene la ocurrencia de errores o para detectar y corregir errores que
hayan ocurrido durante el procesamiento. Sin embargo, un control programado, en
combinacin con controles generales eficaces de IT puede proporcionar el nivel de
control deseado.

www.auditoriapractica.com

26

Controles Generales de IT
Se refieren a controles fundamentales sobre la adquisicin y mantenimiento de
software de aplicaciones y sistemas, seguridad de accesos y segregacin de
funciones que operan para asegurar la eficacia de los controles programados.
Tpicamente los controles generales de IT estn diseados para asegurar que:
Todos los cambios en las aplicaciones han sido autorizados, sujetos a prueba y
aprobados antes de su implantacin.
Unicamente personas y aplicaciones autorizadas tienen acceso a los datos y
solamente para ejecutar funciones definidas especficamente (e.g., indagar, ejecutar
o actualizar).
Si, tomando en consideracin las preguntas sobre lo que pudo fallar, el equipo a
cargo del proyecto determina que la gerencia est otorgando confianza a controles
programados o que el control identificado depende de datos generados por IT,
entonces debe hacerse una segunda pregunta: Cmo sabe la gerencia si los controles
programados operan eficazmente? La respuesta puede ser que: (1) los procedimientos del
usuario verifican la exactitud del procesamiento (e.g., recalculando manualmente los
clculos complejos, o conciliando los reportes de IT con los totales de partidas
manuales) y/o (2) la gerencia depende de los sistemas de IT para ejecutar
eficazmente el control o producir los datos. En el caso de la respuesta (2), el efecto
de los controles generales de IT (i.e., modificaciones a programas y/o acceso a
archivos de datos, incluyendo los controles generales dentro de entornos integrados
de aplicaciones tales como arreglos clave y segregacin de funciones entre los
usuarios que afectan la aplicacin completa) debe tomarse en cuenta al hacer la
evaluacin preliminar de la eficacia de todos los controles que dependen del sistema
de IT o de datos generados por IT.
Muchas empresas usan organizaciones de servicio externas para procesar
transacciones. En ese caso, adems de evaluar los controles dentro de la empresa,
la gerencia tiene que desarrollar un conocimiento de la importancia que el
procesamiento en la organizacin de servicio tiene para el sistema contable y los
controles de la empresa. Con base en el grado de importancia, la gerencia puede
necesitar hacer una evaluacin de los controles establecidos en la organizacin de
servicio. Con frecuencia el auditor de la organizacin de servicio prepara un reporte
sobre estos controles, el cual ser til para la evaluacin de los mismos por parte de
la gerencia.
Lic. Victor Jurez
Contacto: victorauditor@gmail.com
www.auditoriapractica.com
Fuente: Normas Int ernacionales de Auditora emitidas por la IFA C www.ifac.org
Fuente: Artculos de Auditora de Internet

www.auditoriapractica.com

27