INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN UNIDAD TEPEPAN
SEMINARIO:
PRINCIPALES AUDITORIA QUE REALIZA EL CONTADOR PUBLICO
TEMA:
EL CONTROL INTERNO Y LA AUDITORIA INTEGRADA
INFORME FINAL PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PRESENTAN:
IRMA GALICIA MORALES CLAUDIA ISABEL GARZON MARTINEZ
SOL INES NAVA HERNANDEZ ARMANDO GIOVANNI ROSALES SANCHEZ
LUIS FERNANDO VILLA VARGAS
CONDUCTOR DEL SEMINARIO:
C. P. CARLOS ALARCON FLORES
MEXICO, D.F. MARZO, 2007.
2
AGRADECIMIENTOS:
AL INSTITUTO POLITECNICO NACIONAL
POR SER UNO DE LOS PRINCIPALES ENTES DEDICADOS A LA EXCELENCIA EN LA ENSEÑANZA ACADEMICA Y CREADOR DE PROFESIONISTAS ESPECIALIZADOS EN LA TECNICA AL SERVICIO DE LA PATRIA. POR SER UN INSTITUTO PUBLICO, LAICO Y QUE CONTRIBUYE A LAS CLASES MAS MODESTAS DEL PAIS A SOBRESALIR Y SALIR AVANTES EN SUS EXPECTATIVAS DE VIDA. POR APORTAR CIENCIA Y TECNICA DE VANGUARDIA CAPAZ DE SOBRESALIR ENTRE LAS MEJORES DEL PAIS Y DEL MUNDO.
A LA ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACION - TEPEPAN
POR SER SEMILLERO DE ESPECIALISTAS EN MATERIAS SOCIALES Y ADMINISTRATIVAS CAPACES DE APORTAR EN GRAN MEDIDA AL DESARROLLO ECONOMICO DEL PAIS, DE LAS EMPRESAS Y ORGANIZACIONES Y DE SUS PROPIAS FAMILIAS. POR CREAR AMISTAD Y HERMANDAD ENTRE SUS EGRESADOS. POR SER UNA ESCUELA CAPAZ DE CREAR LA EXCELENCIA ENTRE TODA SU COMUNIDAD.
A LOS PROFESORES
POR INSPIRAR CONFIANZA ENTRE SUS ALUMNOS. POR ENSEÑAR LA ESCUELA DE LA VIDA PROFESIONAL Y LABORAL, POR NO GUARDAR NINGUN CONOCIMIENTO QUE PUDIERA CONTRIBUIR AL DESARROLLO HUMANO Y DE CARRERA, POR LA AMISTAD BRINDADA Y EL APOYO INCONDICIONAL QUE SIEMPRE NOS MOSTRARON
3
INDICE
AUDITORIA INTEGRADA
INTRODUCCION………....6
ANTECEDENTES DE LA LEY SARBANES OXLEY……….7
CAPITULO I VISION GENERAL DE LA AUDITORIA INTEGRADA 1.1 Enfoque de una Auditoria Integrada………..8
1.2 Definición de Control Interno………...10
1.3 Definición de Deficiencias………...11
1.4 Visión General de la Evaluación de Controles……….12
CAPITULO II ALCANCE 2.1 Visión General………..14
2.2 Responsabilidades de la Gerencia para realizar una evaluación………..15
2.3 Analizando el Proceso de Evaluación de la Gerencia………..15
2.4 Identificando Cuentas Significativas………16
2.5 Aseveraciones de Estados Financieros……….19
2.6 Consideraciones de Pruebas en Múltiples Localidades………22
2.7 Identificando Procesos Significativos………..27
2.8 Uso de Organizaciones de Servicio………...28
2.9 Uso de Especialistas o Expertos………...30
2.10 Equipos integrados con especialistas en sistemas………31
CAPITULO III ENTENDIMIENTO Y EVALUACION 3.1 Evaluación de la Efectividad del Diseño………...32
3.2 Marco de Control Interno y Referencias COSO………..34
3.3 Controles a Nivel Compañía………38
3.4 Evaluar y Validar Controles……….39
3.5 Criterios y Evaluación del Diseño………...42
4
3.6 Objetivos de Procesamiento de Información………...43
3.7 Objetivos de Procesamiento de Información contra las Aseveraciones del Estado financiero………...44
3.8 Mapeo de los Objetivos del Procesamiento de Información con las Aseveraciones………...45
3.9 Identificar controles a probar………...46
3.10 Matriz de Control, Cuentas Significativas y Aseveraciones Relevantes……….49
3.11 Matrices de Control del Proceso del Negocio Genéricas y de Industria………..49
3.12 Controles Generales de Computo………50
CAPITULO IV VALIDACION 3.1 Probar y Evaluar la Efectividad Operativa………...51
4.2 Diferenciación de Pruebas de Control y Pruebas Sustantivas………51
4.3 Naturaleza de Pruebas de Controles………...52
4.4 Tiempo de las Pruebas de Controles………...52
4.5 Alcance de las Pruebas de Controles………..55
4.6 Tratando Excepciones de las Pruebas……….57
4.7 Probar controles corregidos………59
4.8 Utilizando el trabajo de otros………..60
4.9 Volver a realizar el trabajo de otros………64
4.10 Validar Controles Generales de Computo………...………...65
CAPITULO V AREAS ESPECIALES DE UNA AUDITORIA DE CONTROLES 5.1 Efectividad del comité de auditoria………..………67
5.2 Programas y Controles Antifraude………68
5.3 Asientos de Diario……….69
5.4 Información de Fin del Periodo………70
5.5 Requerimientos de Documentación………..77
5.6 Documentación de la Gerencia……….84
5.7 Actualización de Comunicaciones del Comité de Auditoria………85
5.8 Comunicaciones con la Gerencia………..86
5
CAPITULO VI
PRUEBAS DE CUMPLIMIENTO
6.1 Naturaleza de las pruebas de cumplimiento………90
6.2 Periodo en que se desarrollan las pruebas de cumplimiento y su extensión ………...…91
6.3 Evaluación del sistema de control interno………92
CAPITURLO VII PRUEBAS SUSTANTIVAS 7.1 Realizando Pruebas Sustantivas………..95
7.2 Conciliando Estados Financieros con los Registros Contables………...96
7.3 Efecto de deficiencias de Control en el trabajo sustantivo………..97
7.4 Efectos de los Procedimientos Sustantivos en la Conclusión del Auditor sobre la efectividad operativa de los Controles………98
CAPITULO VIII TERMINACION E INFORMACION 8.1 Resumen de Confort………99
8.2 Evaluar Deficiencias………99
8.3 Evaluar el Informe de la Gerencia sobre el Control Interno……….106
8.4 Opinión del auditor………106
8.5 Informe Final Generalidades………...107
CASO PRACTICO………...…116
CONCLUSION………....122
GLOSARIO………..123
BIBLIOGRAFIA……….………….125
6
INTRODUCCIÓN
El año 2004 marca un nuevo capítulo en la historia de los mercados financieros. Las regulaciones alrededor de la información financiera han sufrido un cambio abrupto en cuanto a la complejidad, impactando los mercados de capitales y a todos nosotros en la profesión contable. Un nuevo regulador, nuevas reglas, nueva responsabilidad y un nuevo vocabulario, todo inspirado por la legislación Sarbanes-Oxley, que posiblemente se extienda a todo el mundo-.
La Auditoria de controles refleja esta nueva realidad, proporciona una guía práctica y herramientas para llevar a cabo la Auditoria Integrada, bajo las normas establecidas por el Consejo de Vigilancia de la Contabilidad de compañías Públicas.
Los cambios que ocurren en el mercado y en nuestra profesión tienen un mismo objetivo común: mejorar la información financiera para que los interesados puedan tomar decisiones con información suficiente.
Las nuevas regulaciones ayudan a lograr ese objetivo con un mayor enfoque en los controles de la gerencia, transparencia en la información financiera y mayores responsabilidades del Auditor Externo, la Gerencia y el Comité de Auditoria.
Lograr la calidad consistente, que buscamos en una Auditoria Integrada, requiere que cada uno de nosotros adoptemos las siguientes conductas dirigidas y con énfasis en la calidad y más allá:…escepticismo profesional.... convicción de ser escuchado ... independencia y objetividad desinteresadas... desarrollo de equipo ... disposición a consultar ... orgullo en la auditoria ... supervisión... atender el asunto ... disposición para confrontar ... curiosidad intelectual valor ...“Hacerlo bien” en una Auditoria Integrada significa realizar nuestras auditorias con un equipo interdisciplinario, con un enfoque de colaboración en las decisiones que tomamos, hacer equipo con especialistas, utilizando y compartiendo las mejores prácticas, y aplicando nuestras herramientas de auditoria y metodologías consistentemente en todas las asignaciones.
7
ANTECEDENTES DE LA LEY SARBANES-OXLEY
La Ley Sarbanes-Oxley (SoX), aprobada en julio de 2002 se originó por las fallas financieras catastróficas y traiciones a los inversionistas de Enron, Worldcom, Adelphia, entre otros. Aunque la SoX tiene pronunciamientos implementados con éxito, la Sección 404 (404) sigue generando la mayoría de quejas hoy en día.
Recuerdese que la 404 requiere que las emisoras incluyan en sus informes anuales dos reportes sobre la efectividad de los controles internos, una evaluación de la administración y una certificación del auditor independiente.
El cumplimiento de la 404 ha sido más costoso que lo anticipado y ha generado una gran controversia. No obstante ha demostrado tener un alto valor para los inversionistas al mejorar la confiabilidad de la información financiera. La SEC ha comunicado repetidamente su compromiso de realizar todo lo necesario para que la implementación sea más eficiente y continúe funcionando correctamente en las diferentes etapas.
A diferencia de la Ley SoX en general, la 404 no ordenó a la SEC ningún deadline específico para su implementación. Conociendo la importancia de la 404, la SEC emitió su primera implementación en junio de 2003. Las compañías públicas grandes de Estados Unidos ("accelerated filers" y "large accelerated filers", las que cuentan con acciones en la bolsa por $75 millones de dólares o más), estan obligadas a cumplir con los requerimientos de la 404 desde los años terminados en o después del 15 de noviembre de 2004.
Varias extensiones en las fechas de cumplimiento otorgadas por la SEC han generado que las FPI, "Foreign Private Issuers" (emisoras extranjeras en Estados Unidos) que son "large accelerated filers" tengan que cumplir para los años que terminaron en o después del 15 de julio de 2006. Las FPI que son "accelerated filers" (con acciones en la bolsa entre $75 y $700 millones, pero que no son "large accelerated filers", deben proporcionar solamente la evaluación de la administración referente a los años que terminaron en o después del 15 de julio de 2006. Sus primeros reportes de certificación no son requeridos hasta un año después. La diferenciación entre las fechas de cumplimiento para las FPI "accelerated filers" y las "large accelerated filers" es el resultado de una extensión adicional proporcionada por la SEC el 9 de agosto de 2006, complicando más los calendarios mentales. 1
8
CAPITULO I VISION GENERAL DE LA AUDITORÍA INTEGRADA
1.1 ENFOQUE DE UNA AUDITORÍA INTEGRADA
El enfoque de una auditoría integrada combina procedimiento a realizar para la auditoría de los controles internos establecidos para el proceso de la información financiera y una auditoría financiera con una planeación suficiente.
La auditoría Integrada es el resultado de los requerimientos adicionales de información regulados por la Sección 404 de la Ley Sarbanes-Oxley. Las nuevas reglas requieren que las auditorías de las compañías públicas informen sobre la presentación razonable de los estados financieros de una compañía y la efectividad de los controles internos establecidos en la compañía.
9
Los objetivos de la Auditoría Integrada son:
• Expresar una opinión sobre la evaluación que la gerencia efectúa sobre la efectividad del control interno establecido para el proceso de la información financiera de la compañía y una opinión sobre la efectividad de los controles internos establecidos, utilizados al planear y realizar la auditoría, para obtener la seguridad razonable sobre si la compañía mantuvo, en todos los aspectos materiales, un control interno efectivo sobre el proceso de la información financiera en la fecha específica de la evaluación de la gerencia.
• Expresar una opinión sobre si los estados financieros de la compañía están presentados razonablemente de conformidad con las normas de información financiera.
Con respecto a la auditoría del control interno sobre la información financiera, el auditor debe planear y realizar la auditoría para obtener una seguridad razonable de que las deficiencias que representarían debilidades materiales en lo individual y en lo agregado sean identificadas. De esta manera, la auditoría no está diseñada para detectar deficiencias en el control interno establecido para el proceso de la información financiera que, en lo individual o en lo agregado, son menos severas que una debilidad material.
En la Auditoría Integrada, el auditor no puede auditar los controles internos sin auditar también los estados financieros, como se requiere en la Sección 404 de la Ley Sarbanes Oxley.
El nuevo enfoque incorpora los siguientes cambios:
Antes, el auditor debería... Hoy, el auditor debe…
Entender cómo la gerencia controla su negocio. Evaluar el análisis de la gerencia sobre la efectividad del control interno.
Obtener un entendimiento del diseño y operación de los controles internos para determinar la naturaleza, duración y alcance de
los procedimientos sustantivos.
Obtener el conocimiento del diseño de los controles internos al realizar un seguimiento de los mismos, incluyendo los controles relacionados con el fraude, para expresar una opinión sobre la efectividad del control interno y para determinar le naturaleza, duración y alcance de los procedimientos sustantivos.
Probar y evaluar la operación de los controles internos sólo cuando el auditor pretendía depositar confianza en
Probar controles para expresar una opinión sobre la efectividad del control interno establecido para
10
ellos. el proceso de la información Financiera. Si podemos
depositar confianza en ellos para la auditoría de los estados financieros o no.
Completar la documentación del auditor para soportar la opinión sobre los estados financieros.
Completar la documentación del auditor para soportar la opinión sobre los estados financieros; sobre la evaluación de la gerencia respecto a la efectividad del control interno sobre la información financiera y sobre la efectividad del control interno sobre el proceso de la información financiera.
1.2 DEFINICIÓN DE CONTROL INTERNO
Bajo esta norma y para los fines de la evaluación de la gerencia y la auditoría del control interno establecido para el proceso de la información financiera, éste es definido como sigue:
Un proceso diseñado por, o bajo la supervisión del presidente y principales ejecutivos financieros de la compañía, o personas que realizan funciones similares, y efectuadas por el consejo de administración, gerencia y otro personal, para proporcionar una seguridad razonable referente a la confiabilidad de la información financiera y la preparación de estados financieros para propósitos externos, de conformidad con las Normas de Información Financiera e incluye aquellas políticas y procedimientos que:
• Corresponden al mantenimiento de los registros que, con detalle razonable, reflejen las transacciones y disposiciones de los activos de la compañía.
• Proporcionen una seguridad razonable sobre si las transacciones son registradas conforme es necesario para permitir la preparación de estados financieros de conformidad con las normas de información financiera, y que los recibos y gastos de la compañía están siendo procesados de acuerdo con la autorización de la gerencia y directores de la compañía.
• Proporcionen una seguridad razonable referente a la prevención o detección oportuna de la adquisición, uso o disposición no autorizada de los activos de la compañía que podrían tener un efecto material en los estados financieros.
11
1.3 DEFINICIÓN DE DEFICIENCIAS
Una deficiencia de control existe cuando el diseño u operación de un control no permite a la gerencia o a los empleados, en el curso normal de sus funciones asignadas, prevenir o detectar errores oportunamente.
DEFICIENCIAS RAZÓN
DISEÑO Un control necesario para cubrir el objetivo de control
está faltando, O
Un control existente no está diseñado adecuadamente para que, aún si los controles operan, el objetivo de control no siempre es cubierto.
OPERACIÓN Un control diseñado adecuadamente no opera como se
supone, O
La persona que realiza el control no posee la autoridad necesaria o la calidad para realizar el control de manera efectiva.
• Una deficiencia significativa es una deficiencia de control que afecta de manera adversa la capacidad de la compañía para iniciar, autorizar, registrar, procesar o informar datos financieros externos de manera confiable conforme a los principios de contabilidad generalmente aceptados. Una deficiencia significativa podría ser una sola deficiencia, o una combinación de deficiencias que resulta más que una posibilidad remota de que un error de los estados financieros anuales o interinos que es más que insignificante en cantidad no será prevenida o detectada.
• Una debilidad material es una deficiencia significativa, o una combinación de deficiencias significativas, que genera una posibilidad más que remota que un error material de los estados financieros anuales o interinos no será prevenido o detectado.
• Un error es insignificante si una persona razonable concluye, después de considerar la posibilidad de otros errores no detectados, que el error, ya sea individualmente o al ser agregado a otros errores,
“claramente sería inmaterial para los estados financieros”. Si una persona razonable no puede llegar a una conclusión referente a un error particular, que el error es más que insignificante.
12
• El término “posibilidad remota” tiene el mismo significado que el Boletín No.5 de las Normas de Contabilidad Financiera, el cual define el término remoto como “la oportunidad ligera de que eventos futuros ocurran”.
1.4 VISIÓN GENERAL DE LA EVALUACIÓN DE CONTROLES
13
EVALUANDO LOS CONTROLES EN LA AUDITORIA INTEGRADA
RIESGOS Y CONTROLES
Identificar y evaluar la efectividad de los controles depende de nuestra habilidad para evaluar adecuadamente los riesgos de un error material donde los controles de la gerencia son necesarios. Es decir debemos de formar nuestro propio punto de vista sobre el riesgo, el cual es absolutamente crítico para la efectividad de nuestro enfoque de auditoría. Es necesario el realizar un análisis del negocio de la compañía a auditar, hacia como ver el confort que de este resulte.
14
CAPITULO II ALCANCE
2.1 VISIÓN GENERAL
En una auditoría de control interno sobre la información financiera, el auditor debe obtener evidencia suficiente sobre el diseño y la efectividad operativa de los controles para todas las aseveraciones del estado financiero, relacionadas con todas las cuentas significativas y revelaciones en los estados financieros. Para determinar el alcance de la auditoría de los controles internos, la gerencia y el auditor necesitan identificar:
• Cuentas: todas las cuentas significativas y sus aseveraciones relevantes.
• Localidades: localidades o unidades del negocio significativas (importantes).
• Procesos: procesos significativos sobre transacciones importantes .
15
2.2 RESPONSABILIDAD DE LA GERENCIA PARA REALIZAR UNA EVALUACIÓN
Si concluimos que la gerencia no ha cumplido sus responsabilidades, debemos comunicar, por escrito, a la gerencia y al Comité de Auditoría que la auditoría del control interno establecido para el proceso de la información financiera no puede ser completada de manera satisfactoria, y que se requiere que el auditor emita una opinión negativa al respecto.
2.3 ANALIZANDO EL PROCESO DE EVALUACIÓN DE LA GERENCIA
El auditor debe entender y evaluar el proceso de la gerencia para probar la efectividad del control interno de la compañía sobre la información financiera. Cuando analizamos la evaluación de la gerencia, necesitamos abordar las siguientes cuatro áreas:
La gerencia no puede utilizar los procedimientos del auditor como parte de su base para la evaluación de la efectividad del control interno establecido para el proceso de la información financiera.
La gerencia debe retener la documentación que soporte su evaluación del control interno. Un “concentrado” de esta documentación “a la fecha” debe ser retenido. Para recordar a la compañía sobre su obligación respecto a la
16
retención de documentación, es bueno incluir esta notificación en la carta compromiso y carta de declaración.
La documentación inadecuada del diseño de los controles sobre aseveraciones relevantes relacionadas con cuentas y revelaciones significativas es una deficiencia en el control interno de la compañía sobre la información financiera.
La documentación inadecuada también puede causar que el auditor concluya que existe una limitación en el alcance de la asignación. Debemos comunicar asuntos de documentación sub estándar a la gerencia para buscar remediación.
2.4 IDENTIFICANDO CUENTAS SIGNIFICATIVAS
Debemos determinar la materialidad, para identificar cuentas significativas desde los puntos de vista cuantitativo y cualitativo.
El auditor debe aplicar el concepto de materialidad en una auditoría de control interno establecido para el proceso de la información financiera tanto a nivel de los estados financieros en su conjunto como a nivel individual del saldo de las cuentas contables.
17
Es necesario considerar planear la materialidad en la Auditoría Integrada con el propósito de identificar cuentas contables significativas, por lo que, para determinar una estimación de la cantidad de errores conocidos y estimados a través de las cuentas contables y para la detección de riesgos (el riesgo que nuestros procedimientos de auditoría fallen en detectar un error material), utilizamos una cantidad menor a la materialidad general con el propósito de preparar la planeación de la auditoría, es decir, la “materialidad específica de revisión” se ubicará entre el 50% y 75% de la materialidad general.
Por ejemplo:
Materialidad general $10.0 m
Materialidad específica de revisión $7.5 m
Cuentas por Cobrar $9.0 m
Conforme a lo anterior, las cuentas por cobrar serían una cuenta significativa al exceder la materialidad específica de revisión.
Para determinar el porcentaje apropiado (entre 50% y 75%) para determinar la materialidad específica de revisión, se debe considerar diversos factores, los cuales reducirían la materialidad específica de revisión y documentar su razonamiento:
18
• Auditorías del primer año.
• Debilidades materiales en controles.
• Industrias de alto riesgo.
• Cambio de personal significativo en la gerencia.
• Altas presiones del mercado.
• Problemas de negocio en marcha.
Identificación Cualitativa de Cuentas Significativas
Cualitativamente, podemos considerar que las cuentas son significativas porque son impactadas por riesgos inherentes y de fraude que tienen más que una posibilidad remota de que resulten en un error material, ya sea individualmente o en lo agregado.
La cuenta o componente de una cuenta se considera significativa si…
• Existe más que una posibilidad remota de que una cuenta o revelación contenga errores materiales que individualmente, o al ser agregados con otros, podrían tener un efecto material en los estados financieros, considerando el riesgo de una sobreestimación o sub-estimación (análisis cuantitativo).
• Otras cuentas pueden ser significativas sobre una base cualitativa basadas en las expectativas de un usuario de la información contable.
• Componentes del saldo de una cuenta sujetos a riesgos diferidos (inherentes y de control) o diferentes controles que deben ser considerados por separado como cuentas significativas potenciales.
• Componentes separados de una cuenta pueden ser una cuenta significativa debido a la complejidad de la estructura organizacional de la compañía.
• La cuenta al ser considerada conjuntamente con otras cuentas de naturaleza similar es significativa (análisis cuantitativo). Debe considerarse si la acumulación de esas cuentas puede tener un efecto material en los estados financieros.
• La cuenta o revelación representa una medida importante de desempeño en una industria particular.
19
• La cuenta individualmente o revelación representa una exposición sobre obligaciones no reconocidas en la contabilidad (como reservas de garantía o programas de auto seguro) que tienen un alto riesgo de subestimación. Otras cuentas pueden ser significativas sobre una base cualitativa, basadas en las expectativas de un usuario de la información financiera.
• La cuenta es considerada material en la auditoría de los estados financieros individualmente.
• La cuenta es:
Susceptible a pérdidas debido a errores o fraudes.
Compleja, o tiene un alto volumen de transacciones con partes relacionadas.
• Existen complejidades contables y de información asociadas con la cuenta.
• Existen cambios a partir del periodo previo en las características de la cuenta.
Existen diferentes consideraciones en el alcance de cuentas significativas para la auditoría de controles internos sobre la información financiera comparadas con la auditoría de los estados financieros, como se ilustra en el siguiente ejemplo:
2.5 ASEVERACIONES DE ESTADOS FINANCIEROS
Una aseveración es una confirmación positiva o afirmación de que una declaración o conjunto de declaraciones son verdaderas.
Naturaleza de las Aseveraciones
20
La gerencia es responsable de la presentación razonable de los estados financieros. Al afirmar que los estados financieros son reales y están presentados razonablemente, en todos los aspectos materiales, de conformidad con el marco de información financiera aplicable, la gerencia de manera implícita hace ciertas aseveraciones.
Evaluamos los riesgos de error material a nivel de las aseveraciones al considerar los diferentes tipos de errores materiales que pueden ocurrir y después de diseñar procedimientos de auditoría que respondan a dichos riesgos.
Las aseveraciones son declaraciones de la gerencia que están contenidas en los componentes de los estados financieros. Pueden ser explícitas o implícitas y están clasificados por el PCAOB Public Company Accounting Oversight Borrad de acuerdo con las siguientes categorías:
Al determinar si una aseveración particular es relevante para una cuenta significativa o revelación, debemos analizar:
21
• La naturaleza de la aseveración.
• El volumen de las transacciones o datos relacionados con la aseveración.
La naturaleza y complejidad de los sistemas, incluyendo el uso de sistemas de información y la tecnología utilizada por medio de las cuales una entidad procesa y controla la información que soporta la aseveración.
Para cada cuenta significativa, el auditor debe determinar la relevancia de cada aseveración del estado financiero de la Norma del PCAOB. Las aseveraciones relevantes son aseveraciones que tienen una relación importante sobre si la cuenta está presentada razonablemente. Para identificar aseveraciones relevantes, el auditor debe determinar la fuente de errores potenciales en cada cuenta significativa.
Las aseveraciones de estados financieros incluidas en la Norma del PCAOB son categorías más amplias que aquellas aseveraciones de las Normas Internacionales de Auditoría (ISA 500); la lista de aseveraciones del PCAOB pretende manejar todas las aseveraciones que están especificadas en el ISA 500. Por ejemplo, debemos asegurar que la precisión, corte, clasificación y entendimiento (todas aseveraciones ISA 500) sean incluidos en nuestro trabajo de auditoría.
La tabla que se presenta a continuación mapea las aseveraciones del PCAOB con las aseveraciones en ISA 500:
A continuación se presenta un ejemplo de una práctica que resume las aseveraciones por cuenta:
22
2.6 CONSIDERACIONES DE PRUEBAS EN MULTIPLES LOCALIDADES
Para determinar las localidades o unidades del negocio que deben evaluarse para realizar procedimientos de auditoría, el auditor debe analizar su importancia financiera relativa y el riesgo de error material que surge de las mismas.
Una localidad o unidad del negocio puede ser definida bajo cualquiera de los siguientes aspectos:
País Planta Región de Ventas
Entidad Legal Unidad de Información Oficina de Ventas
Territorio Unidad de Negocio Segmento
Por lo tanto, necesitamos un claro entendimiento de cómo el negocio es manejado para determinar qué
“localidades” deben ser consideradas.
23
Flujograma de consideraciones de pruebas en múltiples localidades
Debe utilizarse el flujograma de decisiones para identificar las localidades donde la prueba de controles debe ser realizada. La importancia de la localidad determinará los tipos de controles a ser probados todos los controles significativos, los controles sobre riesgos específicos y/o controles a nivel compañía.
Localidades Individualmente Importantes o Unidades de Negocio
Para determinar qué localidades o unidades del negocio son individualmente importantes seleccione del balance general y de una métrica de pérdidas y ganancias, considerando lo siguiente:
Localidades > 5% del total de activos.
Localidades > 5% del capital.
24
Localidades > 5% de ingresos anuales.
Localidades > 5% de la utilidad (pérdida) antes de impuestos.
Al comparar las métricas de cada “localidad” con las métricas seleccionadas, resultan aquellas que son consideradas localidades importantes individualmente al exceder las métricas. El auditor, por tanto, debe probar todos los controles significativos sobre todas las cuentas significativas en estas localidades.
Localidades con Riesgos Significativos Específicos
Además de las localidades importantes individualmente, deben seleccionarse aquellas localidades que involucran riesgos específicos que, por sí solos, crearían un error material. El auditor debe probar los controles sobre los riesgos específicos en estas localidades.
Desde la selección de localidades individualmente importantes y de riesgo significativo específico debe obtenerse una cobertura con una gran porción (60-70%) de los resultados y situación financiera; esta evaluación debe ser realizada en este nivel general, no al nivel de la cuenta significativa.
Si no logra el 60-70% de cobertura de resultados y situación financiera de su selección inicial de riesgos individualmente importantes y significativos específicos (incluya únicamente cuentas significativas relacionadas con los controles probados en la cobertura), usted debe: 1) volver a evaluar para asegurarse que ha incluido todas las localidades de riesgo significativo específico: 2) volver a evaluar y reducir potencialmente las métricas financieras utilizadas para definir localidades individualmente importantes, o 3) continuar agregando localidades hasta que satisfaga el objetivo del 60-70%.
Localidades que son Significativas Sólo en el Agregado
Al determinar la naturaleza, duración y alcance de las pruebas, el auditor debe determinar si la gerencia ha documentado y puesto en operación los controles a nivel compañía sobre localidades y unidades del negocio que no son importantes en lo individual pero que, al ser agregados con otras localidades o unidades del negocio, pueden tener un alto nivel de importancia financiera.
El auditor debe realizar pruebas de controles a nivel compañía para determinar si dichos controles están operando efectivamente. El auditor puede concluir que no puede evaluar la efectividad operativa de dichos controles sin visitar algunas o todas las localidades o unidades del negocio.
Si la gerencia no tiene controles a nivel compañía operando en estas localidades y unidades del negocio, el auditor debe determinar la naturaleza, tiempo y alcance de los procedimientos a ser realizados en cada localidad, unidad del negocio o combinación de localidades y unidades del negocio. Al determinar las
25
localidades o unidades del negocio a ser visitadas y los controles a ser probados, el auditor debe evaluar los siguientes factores:
• La importancia financiera relativa de cada localidad o unidad del negocio.
• El riesgo de error material que surge de cada localidad o unidad del negocio.
• La similitud de las operaciones del negocio y control interno establecido para el proceso de la información financiera en las diversas localidades o unidades del negocio.
• El grado de centralización de los procesos y aplicaciones de la información financiera.
• La efectividad del ambiente de control, particularmente el control directo de la gerencia sobre el ejercicio de la autoridad delegada a otros y su habilidad de supervisar efectivamente las actividades en las diversas localidades o unidades del negocio. Un ambiente de control no efectivo sobre las localidades o unidades del negocio pueden constituir una debilidad material.
• La naturaleza y cantidad de transacciones ejecutadas y activos relacionados en las diversas localidades o unidades del negocio.
• El potencial para obligaciones materiales no reconocidas que existan en una localidad o unidad del negocio y el grado al cual la localidad o unidad podría crear una obligación por parte de la compañía.
• El proceso de evaluación de riesgo de la gerencia y el análisis para excluir una localidad o unidad del negocio de su evaluación de control interno sobre la información financiera.
Las métricas para la cobertura de múltiples localidades de operaciones y situación financiera pueden ilustrarse como sigue:
26
El siguiente flujograma también ilustra esta cobertura:
27
2.7 IDENTIFICANDO PROCESOS SIGNIFICATIVOS
El auditor debe identificar cada proceso significativo sobre cada clase importante de transacciones que afectan las cuentas significativas o grupos de cuentas.
Proceso de Negocio:
Cualquier secuencia de transacciones que ocurra para realizar el trabajo y lograr los objetivos del negocio. La mayoría de los procesos involucran una serie de tareas, tales como capturar datos de entrada, clasificar y fusionar datos, hacer cálculos, actualizar transacciones y archivos maestros, generar transacciones y resumir y desplegar o reportar datos. Los procedimientos de procesamiento relevantes para el auditor para entender el flujo de las transacciones generalmente son aquellas actividades requeridas para iniciar, autorizar, registrar, procesar y reportar transacciones.
Los procesos de negocio pueden clasificarse, en orden de complejidad, desde un simple procedimiento, por ejemplo, pagar una factura a un elemento clave de las operaciones de negocio, como el sistema de distribución y administración del inventario de un mayorista, a funcional, o mantener los registros financieros de una organización, a funcional cruzado, por ejemplo, aplicación de recursos humanos.
Sub-proceso:
Un grupo de transacciones para las cuales ciertos procedimientos y controles contables específicos son establecidos por la gerencia de una entidad. Por ejemplo, un proceso de negocio de ingresos y cuentas por cobrar puede incluir sub-procesos, tales como entrada de pedidos, ventas de bienes y servicios y recibos del cliente.
Transacción:
En el contexto de un sub-proceso, un evento manual o automatizado que cambie los datos o su estatus, ya sea al agregar o cambiar la información, o al aplicar un control o juicio sobre los datos.
Clases importantes de transacciones:
“Las clases importantes de transacciones son aquellas que son significativas para los estados financieros de la compañía.”
El proceso de información financiera de fin del período es siempre un proceso importante por su relevancia para
28
la información financiera y para nuestras opiniones de control interno establecido para el proceso de la información financiera y los estados financieros.
Por lo tanto, este proceso debe ser incluido en la selección de procesos a ser evaluados.
Al identificar los procesos del negocio para pruebas de los controles internos sobre la información financiera, pueden haber algunos procesos que ocurran en organizaciones de servicio o que son impactados por el uso de especialistas o expertos.
2.8 USO DE ORGANIZACIONES DE SERVICIO
Si una compañía utiliza una organización de servicios externos para realizar el procesamiento de su información u otras actividades que podrían impactar la información financiera de manera significativa, “el auditor puede aplicar los conceptos relevantes descritos en AU 324 para la auditoría del control interno sobre la información financiera. Cuando los servicios de la organización de servicio son parte del control interno de la compañía sobre la información financiera, la gerencia debe considerar las actividades de la organización de servicio al realizar su evaluación del control interno sobre la información financiera, y el auditor debe considerar las actividades de la organización de servicio al determinar la evidencia requerida para soportar su opinión.
La evidencia de que los controles que son relevantes para la evaluación de la gerencia y la opinión del auditor están operando efectivamente pueden ser obtenidas al seguir los procedimientos descritos en el párrafo .12 de AU 324.
Estos procedimientos incluyen:
(1) Realizar pruebas de los controles de la organización del usuario sobre las actividades de las organizaciones de servicio.
(2) Realizar pruebas de controles en las organizaciones de servicio.
(3) Obtener un informe del auditor de la organización de servicio sobre los controles puestos en operación y pruebas de efectividad operativa, o un informe sobre la aplicación de procedimientos acordados que describe las pruebas de controles relevantes.
El siguiente árbol de decisiones puede ser utilizado para determinar cómo evaluar la relación de una organización de servicio y la relevancia del informe de un auditor de servicio para la gerencia.
29
ARBOL DE DECISIÓN
30
2.9 USO DE EXPECIALISTAS Y EXPERTOS
La gerencia puede emplear a un especialista o experto que tenga un conocimiento especializado o posea habilidades para proporcionar servicios, incluyendo:
• Valuación - por ejemplo complejos instrumentos financieros, bienes raíces, valores restringidos, obras de arte y contingencias ambientales;
• Determinación de las características físicas relacionadas con la cantidad o condición por ejemplo, cantidad o condición de minerales;
• Determinación de las cantidades derivadas por utilizar técnicas o métodos especializados por ejemplo, determinaciones actuariales para las obligaciones de los beneficios de los empleados y sus revelaciones, y la determinación de reservas de pérdidas para seguros;
• Interpretación de requerimientos técnicos, regulaciones o acuerdos por ejemplo, la importancia potencial de los contratos.
31
La gerencia también debe tener controles de entrada y salida sobre la información proporcionada por los expertos y los datos devueltos.
2.10 EQUIPOS INTEGRADOS CON ESPECIALISTAS DE SISTEMAS
Los especialistas de Sistemas y procesos deben participar de una manera significativa en la planeación y realización de nuestra evaluación del control interno establecido para el proceso de la información financiera.
El líder de Sistemas y procesos, para cada asignación debe:
• Participar en las juntas, en las cuales el enfoque en los controles es analizado.
• Acordar el plan de pruebas y asignación de recursos para controles generales de cómputo, controles automatizados de aplicaciones y cálculos automatizados y procedimientos contables.
A continuación se resumen las circunstancias en las que el equipo de especialistas en sistemas y procesos debe de estar involucrado:
*El personal debe ser utilizado si existe incertidumbre sobre el nivel de complejidad y el enfoque a adoptar o si la asistencia es requerida para documentar, evaluar y probar controles.
32
CAPITULO III. ENTENDIMIENTO Y EVALUACION
Una vez que el equipo de auditoría ha identificado las cuentas, localidades y procesos a ser incluidos en el alcance de nuestras pruebas de controles internos, debemos obtener un entendimiento de los controles de la gerencia sobre los riesgos relevantes en cada cuenta significativa, localidad o proceso. La Norma requiere que confirmemos este entendimiento por medio de cada tipo de transacción significativa, la cual también nos permite evaluar la efectividad del diseño. En este punto, comenzamos a utilizar la documentación de la gerencia de los controles y continuamos formando nuestra opinión sobre la efectividad de su proceso de evaluación.
3.1 EVALUACION DE LA EFECTIVIDAD DEL DISEÑO
El control interno establecido para el proceso de la información financiera es diseñado efectivamente cuando los controles previenen o detectan errores o fraude que podría resultar en errores materiales en los estados financieros.
El auditor debería determinar si la compañía tiene controles para cubrir los objetivos del criterio de control al:
• Identificar los objetivos de control en cada área;
• Identificar los controles que satisfacen cada objetivo;
• Determinar si los controles, si son operados adecuadamente, pueden prevenir o detectar errores o fraude de manera efectiva, que podrían generar errores materiales en los estados financieros.
Procedimientos que el auditor realiza para probar y evaluar la efectividad del diseño incluyen indagación, observación, inspección de documentación relevante y una evaluación específica si los controles podrían prevenir o detectar errores o fraudes que podría generar errores si son operados como se indica por personas calificadas. Estos procedimientos también pueden proporcionar evidencia sobre la efectividad operativa. La indagación por sí sola no es suficiente.
El siguiente proceso de siete pasos ilustra los procedimientos que debemos realizar al probar y evaluar la efectividad del diseño:
33
34
3.2 MARCO DE CONTROL INTERNO DE REFERENCIAS COSO
El cual proporciona un marco adecuado y disponible para propósitos de la evaluación de la gerencia. Otros marcos apropiados han sido publicados en otros países y pueden ser desarrollados en el futuro. Estos otros marcos pueden ser utilizados en una auditoría de control interno sobre la información financiera
Objetivos Principales
“El marco de referencia identifica tres objetivos principales del control interno: eficiencia y efectividad de las operaciones, información financiera, y cumplimiento de las leyes y regulaciones.
La perspectiva en el control interno establecido para el proceso de la información financiera no incluye los objetivos del control interno sobre la efectividad y la eficiencia de las operaciones y el cumplimiento de las leyes y regulaciones. Sin embargo, los controles que diseña e implementa la gerencia pueden lograr más de un objetivo.
35
Componentes de Control
Un marco de control interno de la entidad consta de cinco componentes interrelacionados que pueden ser aplicados en cualquier nivel de la organización (por ejemplo, a nivel de la compañía, unidad gerencial y/o a nivel de proceso del negocio). Estos componentes son:
• Ambiente de control –
Establece el nivel de una organización, influenciando la conciencia de control en su gente. Es la base para todos los demás componentes del control interno, proporcionando disciplina y estructura.
36
Evaluación de Riesgos
El proceso de la entidad para identificar, analizar y administrar riesgos relevantes.
Actividades de control
Políticas y procedimientos que ayudan a asegurar que las instrucciones de la gerencia sean llevadas a cabo.
37
Información y Comunicación.
Los sistemas soportan la identificación, captura e intercambio de información en una forma y tiempo que permiten que las personas lleven a cabo sus responsabilidades de manera oportuna..
Monitoreo de los controles - Proceso que evalúa la calidad del desempeño de los controles internos en el tiempo.
Esto se consigue a través de actividades de monitoreo constantes, evaluaciones separadas (monitoreo periódico) o una combinación de ambos
38
3.3 CONTROLES A NIVEL COMPAÑIA
Los controles que existen a nivel compañía a menudo tienen un impacto penetrante en los controles a nivel proceso, transacción o aplicación. Por esa razón, como una consideración práctica, puede ser conveniente que el auditor pruebe y evalúe la efectividad del diseño de los controles a nivel compañía primero, ya que los resultados de ese trabajo pueden afectar la forma en que el auditor evalúa los otros aspectos del control interno establecido para el proceso de la información financiera.
Los controles a nivel compañía incluyen:
39
3.4 EVALUAR Y VALIDAR CONTROLES
Nos referimos a los componentes del Ambiente de Control, Evaluación de Riesgo, Información Comunicación y Monitoreo de Controles, ya que estos controles pueden tener menos factores tangibles no implica que estos componentes sean menos importantes que las actividades de control.
Los equipos de auditoría deberían considerar el impacto de las debilidades en el ambiente de control, la evaluación de riesgos, la información y comunicación y el monitoreo de las actividades de control sobre la extensión de las pruebas de los controles, así como en nuestra opinión sobre el control interno, y tan pronto como sea posible en el proceso de auditoría
40
41
Entendimiento y Evaluación
La siguiente tabla ofrece una guía para considerar la evaluación de la efectividad del diseño y para desarrollar un plan de pruebas para evaluar la efectividad operativa. No pretende ser exhaustiva.
Un código de conducta efectivo, un buzón de quejas y sugerencias, un programa de auto-evaluación y un programa de recursos humanos puede incluir los siguientes elementos:
42
3.5 CRITERIOS Y EVALUACION DEL DISEÑO
43
Evaluando el diseño de los controles
Al entender y evaluar el diseño de los controles, buscamos determinar si el control está cumpliendo su objetivo de proporcionar una seguridad razonable referente a la confiabilidad de la información financiera, incluyendo la prevención o detección oportuna de adquisiciones no autorizadas, uso o disposición de los activos de la compañía que podrían tener un efecto material en los estados financieros.
Para evaluar el diseño adecuado, usted debe asegurarse de que los controles logren objetivos de Procesamiento de Información dentro de un proceso o sub-proceso.
3.6 OBJETIVOS DE PROCESAMIENTO DE INFORMACION
Integridad, Exactitud, Validez y Acceso Restringido
• Se refiere a los Objetivos de Procesamiento de Información para los controles de una entidad relacionadas con las transacciones de negocio que están siendo procesadas. Estos objetivos a nivel transacción abarcan cuatro áreas:
• Integridad - Todas las transacciones que ocurrieron son ingresadas y aceptadas para ser procesadas;
• Exactitud - Las transacciones son registradas con la cantidad correcta, en la cuenta adecuada y oportunamente (en el período adecuado);
• Validez - Todas las transacciones registradas realmente ocurrieron (son reales), se relacionan con la organización y fueron aprobadas por personal designado, y
• Acceso Restringido - Los datos están protegidos contra modificaciones no autorizadas, su confidencialidad es asegurada y los activos físicos son protegidos.
44
3.7 OBJETIVOS DE PROCESAMIENTO DE INFORMACION CONTRAS LAS ASEVERACIONES DEL ESTADO FINANCIERO
Aunque los Objetivos de Procesamiento de Información parecen similares a las aseveraciones del estado financiero, los dos son utilizados para diferentes propósitos, y no existe una relación uno a uno. Los Objetivos de Procesamiento de Información son utilizados para evaluar la efectividad del diseño de los controles, particularmente controles de aplicación, dentro de un proceso de negocio; mientras que las aseveraciones son declaraciones realizadas por la gerencia en cuanto a la presentación razonable de los estados financieros.
Cuando resumimos nuestro confort relacionado con una cuenta del estado financiero, debemos determinar el control que hemos obtenido al validar controles que soportan cada aseveración relevante. Estos controles son parte del proceso de negocio que procesa las transacciones y genera el saldo de la cuenta contable.
Sólo podemos obtener confort de los controles dentro de un proceso cuando todos los Objetivos de Procesamiento de Información han sido alcanzados para cada sub-proceso: cuando todos los Objetivos de Procesamiento de Información han sido logrados para cada sub-proceso, en el proceso general. Esto significa que los controles que satisfacen los objetivos de integridad, exactitud, validez y acceso restringido están en su sitio en cuanto a la iniciación, autorización, registro, procesamiento e información de cuentas y revelaciones
45
significativas. Cuando ese es el caso, podemos utilizar los controles para obtener confort a nivel de la aseveración
Por ejemplo, para determinar que la integridad sobre las ventas ha sido lograda (aseveración del estado financiero), debemos evaluar los controles en varios sub-procesos: pedidos de venta, envíos y facturación y devoluciones. Sin embargo, para confiar en los datos que resultan de estos sub-procesos y en su control, buscamos los Objetivos de Procesamiento de Información para evaluar el diseño adecuado de los controles.
En el caso de pedidos de ventas, debemos asegurarnos no sólo de que todos los pedidos hayan sido registrados (integridad), sino también debemos asegurarnos de que ningún pedido no autorizado haya sido registrado (validez y acceso restringido).
Esto es importante porque puede existir un control en la integridad, tal como una comprobación uno a uno que podría ser negado por la falta de acceso restringido a los datos de pedidos de ventas. Por eso no podemos simplemente tomar y elegir controles en un proceso de negocios particular para que nos proporcione confort sobre una aseveración del estado financiero sino que debemos entender cómo los Objetivos de Procesamiento de Información son logrados en los sub-procesos relevantes.
Además, debemos entender cómo el funcionamiento efectivo de estos controles es impactado por los controles generales de cómputo y otras actividades de control.
Para que un proceso o sub-proceso sea controlado efectivamente, los cuatro objetivos del procesamiento de información (Integridad, Exactitud, Validez y Acceso Restringido) deben ser alcanzados por los controles en el proceso o sub-proceso.
3.8 MAPEO DE LOS OBJETIVOS DEL PROCESAMIENTO DE INFORMACION CON LAS ASEVERACIONES
Aunque las actividades de control que logran los objetivos de procesamiento de información no siempre nos proporcionan confort directo sobre las aseveraciones en el estado financiero, la tabla que a continuación se presenta puede ser útil para relacionar nuestro trabajo de controles con las aseveraciones del estado financiero, asumiendo que el proceso/sub-proceso de negocio con el que se relacionan los controles está diseñado efectivamente:
46
3.9 IDENTIFICAR CONTROLES A PROBAR
La documentación de la gerencia junto con nuestros controles a probar identificará varios tipos de controles establecidos para el proceso de la información financiera y para todas las aseveraciones relevantes relacionadas con todas las cuentas significativas y revelaciones, tales como:
• Controles a nivel compañía;
• Controles sobre transacciones significativas que no son de rutina y no sistemáticas;
• Controles sobre el inicio, autorización, procesamiento y reportes;
• Programas y controles antifraude;
• Controles sobre la selección y aplicación de políticas contables;
• Controles sobre otros controles que son dependientes, incluyendo controles generales de tecnología de información.
Guía para Identificar Controles a Probar
Debemos obtener evidencia sobre la efectividad de los controles para todas las aseveraciones relevantes relacionadas con todas las cuentas significativas y revelaciones en los estados financieros
Para identificar los controles a ser probados debemos evaluar:
• Los puntos en los que los errores o fraude pueden ocurrir.
47
• La importancia de cada control para lograr los objetivos de los criterios de control y si más de un control logra un objetivo particular o si es necesario para lograr un objetivo particular.
• La naturaleza de los controles implementados por la gerencia.
• El riesgo de que los controles no estén operando efectivamente. Véase abajo algunos factores a ser considerados cuando identificamos controles a probar:
Al determinar los controles a probar, debemos considerar lo siguiente:
Los controles relevantes para la auditoría generalmente serán aquellos relacionados con los objetivos de la información financiera de la entidad, por ejemplo, relacionados con la autorización, la segregación de tareas, los controles en los registros, la comprobación de totales, la salvaguarda y contabilidad de activos (incluyendo
48
conciliaciones del libro mayor con los registros detallados para cuentas significativas). Los controles relacionados con las operaciones y objetivos de cumplimiento, incluyendo los controles no financieros, pueden ser relevantes para la auditoría si se relacionan con los datos que impactan las transacciones registradas o los datos que son evaluados o utilizados en la preparación de los estados financieros. Por ejemplo, los procedimientos de aseguramiento de calidad (o cumplimiento) en una organización de procesamiento de alimentos o farmacéutica serán efectivos para prevenir, o detectar y corregir errores en la producción y almacenamiento de inventarios y pueden, por lo tanto, indirectamente tratar riesgos relacionados con la valuación de saldos del inventario.
• Los controles pueden ser preventivos o de detección y una combinación de ambos es preferible.
• Debemos considerar el conocimiento obtenido de nuestro entendimiento de los otros componentes del control interno. Por ejemplo:
• Nuestro entendimiento del ambiente de control puede llevarnos a concluir que las actividades de control posiblemente no sean efectivas. Si este es el caso, tan pronto como podamos validar que las actividades de control no son efectivas, debemos comunicar ese hecho a la gerencia, evaluar la deficiencia de control interno para conocer su magnitud y determinar el impacto de la deficiencia en nuestro plan de pruebas sustantivas.
• Nuestro entendimiento del proceso de evaluación de riesgo de la gerencia posiblemente identifique un número de actividades de control utilizadas por la gerencia para tratar los riesgos.
• Nuestro entendimiento de los controles generales de cómputo puede llevarnos a concluir que las actividades de control automatizadas posiblemente no sean efectivas.
Si este es el caso, debemos comunicarlo a la gerencia y evaluar el impacto en laspruebas de actividades de control manuales y pruebas sustantivas.
TIP: No es necesario probar todos los controles ni probar controles redundantes (esto es, controles que duplican otros controles que logran el mismo objetivo y ya han sido probados) a menos que la redundancia sea un objetivo de control, como en el caso de ciertos controles de cómputo.
49
3.10 MATRIZ DE CONTROL – RELACIONA CUENTAS SIGNIFICATIVAS, ASEVERACIONES RELEVANTES
La Matriz de Control es una herramienta opcional para documentar los controles a ser probados. La Matriz de Control es un step de control en el archivo (el entendimiento del control se arrastra año con año mientras que los resultados de las pruebas no). Usted también puede utilizar documentación preparada por el cliente si contiene la misma información relevante. La siguiente descripción de control será capturada y arrastrada de año en año en la parte superior del step de control.
3.11 MATRICES DE CONTROL DEL PROCESO DEL NEGOCIO GENERICAS Y DE INDUSTRIA
Para ayudar en el entendimiento de posibles controles clave que pueden existir en ciertos procesos de negocio, y para demostrar cómo los controles particulares cubren objetivos de procesamiento de información y aseveraciones del estado financiero, hemos desarrollado las siguientes matrices de control del proceso de negocio:
• Ingresos y Cuentas por Cobrar.
• Compras y Cuentas por Pagar.
• Tesorería.
• Inversiones.
• Inventario.
• Propiedad, Planta y Equipo.
• Nómina.
• Beneficios del Empleado.
• Impuesto sobre la Renta.
• Fusiones y Adquisiciones.
50
• Información Financiera de Fin de Período.
Es importante recordar que:
• Ya que la gerencia es responsable de diseñar e implementar un sistema de control interno, estas matrices no deben ser distribuidas a nuestros clientes.
• Nuestro trabajo debe estar basado en nuestro entendimiento de los procesos reales del cliente y no en un proceso genérico.
• Estas matrices no representan el nivel mínimo ni el máximo de controles clave que deben existir.
• Estas matrices no pretenden ser una lista exhaustiva de todos los controles clave que pueden existir en una entidad.
3.12 C ONTROLES GENERALES DE COMPUTO
Los controles generales de cómputo son controles utilizados para manejar y controlar las actividades del ambiente de control. Los procedimientos de control automatizados y los procedimientos de control de aplicación manual que utilizan información generada por la computadora, dependen de la efectividad de estos controles generales de cómputo.
Cuando los controles automatizados sean una parte importante de un proceso de negocio, debemos entender y evaluar la efectividad del diseño y probar los controles para cada uno de los cinco dominios de los controles generales de cómputo:
• Ambiente de control de sistemas .
• Desarrollo del programa.
• Cambios del programa.
• Operaciones de cómputo.
• Acceso a programas y datos.
La relación entre los controles de aplicación y los controles generales de cómputo radica en que los controles generales de cómputo son necesarios para soportar el funcionamiento de los controles de aplicación, y ambos son necesarios para asegurar completamente, de manera exacta y válida, el procesamiento de la información.
51
CAPITULO IV. VALIDACIÓN
4.1 PROBAR Y EVALUAR LA EFECTIVIDAD OPERATIVA
Un auditor debe evaluar la efectividad operativa de un control al determinar si está operando como fue diseñado y si la persona que realiza el control tiene la autoridad necesaria y calificaciones para realizar el control de manera efectiva.
4.2 DIFERENCIACIÓN DE PRUEBAS DE CONTROL Y PRUEBAS SUSTANTIVAS
Es importante entender la diferencia entre una prueba de control y una prueba sustantiva.
DIFERENCIACIÓN ENTRE LAS PRUEBAS DE CONTROL Y LAS PRUEBAS SUSTANTIVAS
52
No debemos concluir sobre un control basado en el resultado de un proceso tal como un informe de transacciones, saldos de cuentas o análisis. Los detalles en estos informes pueden ser cambiados o alterados, ya sea por error o fraude si los controles sobre la información no están adecuadamente diseñados u operando efectivamente. Por lo tanto, una prueba basada en el resultado de los procesos o transacciones en un momento dado no puede garantizar la efectividad operativa de un control. Por ejemplo, inspeccionar nombres de empleados en una lista de control de acceso al sistema no proporciona evidencia respecto a la validez de empleados quienes serán agregados o removidos de la lista en el futuro.
Las pruebas sustantivas consisten en procedimientos analíticos y pruebas de detalles de transacciones y saldos de cuentas. Su propósito es proporcionar al auditor evidencia que soporte las aseveraciones de la gerencia que son implícitas en los estados financieros o, por el contrario, descubrir errores en los estados financieros. Las pruebas de controles son realizadas para proporcionar al auditor evidencia sobre la efectividad de la operación del control interno.
4.3 NATURALEZA DE PRUEBAS DE CONTROLES
Existen cuatro técnicas básicas para probar controles: Indagación, Observación, Inspección y Reformulación.
El auditor debe utilizar la combinación de estas técnicas para probar la aplicación de un control. La indagación no proporciona suficiente evidencia para soportar la efectividad operativa de un control. El auditor debe realizar una mezcla de técnicas al probar controles para lograr un objetivo de auditoria.
4.4 TIEMPO DE LAS PRUEBAS DE CONTROLES
El auditor debe realizar pruebas de controles en un período de tiempo que sea adecuado para determinar si, a la fecha especificada en el informe de la gerencia, los controles necesarios para lograr los objetivos de los criterios de control están operando de manera efectiva. El período de tiempo en el que el auditor realiza pruebas de controles varía con la naturaleza de los controles que son probados y con la frecuencia con la que operan controles específicos y son aplicadas las políticas específicas.
53
El tiempo también debe tomar en cuenta el nivel de confiabilidad que se pretende colocar en los controles para la auditoría de los estados financieros. Las Normas de Auditoría Generalmente Aceptadas para la auditoría de los estados financieros requieren que las pruebas de controles sean expandidas durante el período bajo revisión, más que sólo para probar en o cerca de fin de año.
Ejemplo de tiempos en pruebas de controles:
La gerencia debe ir primero con su evaluación de efectividad operativa de los controles relacionada con una cuenta o proceso significativo. En unas cuantas situaciones podría ser necesario que se realicen pruebas de la efectividad operativa antes de o al mismo tiempo que las pruebas de la gerencia de la efectividad operativa debido a problemas de programación. En esas situaciones no se puede planear el trabajo basado en los resultados de las pruebas de la gerencia o hacer uso de las pruebas de la gerencia, y por lo tanto veríamos esto como un enfoque ineficiente. Creemos que dichas situaciones serán poco frecuentes. Además, no esperamos evaluar la efectividad del diseño antes de la terminación de la documentación de los controles de la gerencia y su evaluación de la efectividad del diseño.
Se deben de realizar las pruebas de controles durante el período, excepto por requerimientos especiales, para probar ciertas partidas cerca de la fecha del informe final. Las pruebas proporcionan evidencia de la efectividad operativa de los controles para la auditoría de controles y satisface los requerimientos para obtener confiabilidad en los controles en la auditoría de los estados financieros.
Se deben probar los controles generales de cómputo al inicio dada su importancia penetrante en los controles automatizados y para proporcionar suficiente tiempo para remediar o corregir, de ser necesario. Si probamos los controles generales de cómputo al final del período de la auditoría y tenemos deficiencias significativas o debilidades materiales, tendremos que considerar el impacto en las pruebas de controles ya realizadas; sin
54
mencionar el volver a considerar el alcance de nuestras pruebas sustantivas. Además, los componentes y los controles a nivel compañía deben ser parte de nuestras pruebas iniciales.
Pruebas Cercanas a, o en la Fecha Límite
Para los controles sobre n transacciones significativas que no son de rutina, los controles sobre cuentas o procesos con un alto nivel de subjetividad o juicio a la medida, o controles sobre el registro de ajustes de fin del período, el auditor debe realizar pruebas de controles cerca o en la fecha límite más que en una fecha interina. Sin embargo, el auditor debe balancear la realización de las pruebas de controles cerca de la fecha límite con la necesidad de obtener suficiente evidencia de efectividad operativa.
Actualizar las Pruebas Realizadas Anteriormente
Si los controles han sido probados en una fecha interina, debemos realizar una actualización de pruebas para el resto del período hasta la fecha límite en cada localidad individualmente importante. Esto incluye obtener evidencia adicional de operación de los controles para el período restante y generalmente debe incluir trabajo en el sitio en cada localidad individualmente importante. El alcance de los procedimientos de actualización será un asunto de juicio profesional.
Debemos evaluar:
• Los resultados de las pruebas de controles antes de la fecha límite.
• Evidencia obtenida hasta el momento.
• Duración del período restante (mientras más tiempo sin probar, más fuertes deben ser las pruebas).
• Posibilidad de cambios significativos La actualización de procedimientos incluye una combinación de suficientes pruebas.
• Indagaciones.
• Procesos Adicionales.
55
• Escaneo de conciliaciones usadas en el proceso.
• Seleccionar controles más importantes para hacer pruebas independientes (por ejemplo, que cubren múltiples aseveraciones o monitoreo de controles o controles manuales que son más propensos a la falla, controles acumulativos como editar informes cuando los controles permanecen en el informe hasta ser resueltos).
• Revisar copias de informes y/o dar seguimiento a las comunicaciones.
La indagación por sí sola no es una actualización suficiente. La Norma proporciona ejemplos útiles sobre la naturaleza y alcance de los procedimientos de actualización que debemos realizar. Debemos poder usar el trabajo de otros para obtener evidencia de que los controles previamente probados no han cambiado de manera significativa. Sin embargo, como mínimo normalmente debemos realizar nuestra propia actualización de pruebas independientes de controles que probamos de manera independiente en una fecha interina.
Pruebas Finales - Pruebas de Controles que Ocurrieron después de Fin de Periodo
Algunos controles del proceso de información financiera de fin de periodo normalmente operan sólo después de la fecha límite, por ejemplo, los controles sobre la preparación de notas o revisiones finales de los estados financieros. Los controles deben ser probados cuando ocurren aunque operen después de la fecha límite.
Informes sobre Información Trimestral
Debemos probar los controles de información trimestral para al menos un trimestre durante el año si son similares al proceso de revisión de información de fin de año. Si existen controles de información trimestral del proceso de fin de año, deben ser probados dos trimestres para satisfacer nuestros requerimientos de pruebas.
4.5 ALCANCE DE LAS PRUEBAS DE CONTROLES
Cada año el auditor debe obtener suficiente evidencia sobre si el control interno de la compañía de la información financiera, incluyendo los controles para todos los componentes de control interno, están operando de manera efectiva. Esto significa que cada año el auditor debe obtener evidencia sobre la
