CONTROL INTERNO

CAPÍTULO  5                      CONTROL INTERNO

NIA:   215

Ofrecer orientación sobre:

■    El control interno relevante;

■    El alcance del entendimiento que se requiere; y

■    Los niveles de control y los cinco componentes del control interno.

El auditor debe obtener un entendimiento del control interno relevante para la auditoría.

El auditor debe obtener un entendimiento del ambiente de control.

El auditor debe obtener un entendimiento de los procesos de la entidad para la identificación de los riesgos de negocio que son relevantes para los objetivos de la información financiera y decidir sobre las acciones para tratar esos riesgos, así como los resultados consiguientes.

El auditor debe obtener un entendimiento del sistema de información, incluyendo los procesos de negocio relacionados, que es relevante para la información financiera, incluyendo las siguientes áreas:

      ■          Las clases de transacciones, en las operaciones de la entidad, que son significantes para los estados financieros.

    ■       Los procedimientos, dentro de los sistemas tanto de TI como manuales, mediante los cuales esas transacciones se inician, registran, procesan y reportan en los estados financieros.

      ■          Los registros de contabilidad relacionados, sean electrónicos o manuales, que respaldan la información, así como las cuentas específicas contenidas en los estados financieros, con relación al inicio, registro, procesamiento y presentación de informes de las transacciones.

     ■          Cómo el sistema de información captura los eventos y condiciones, diferentes a las clases de transacciones, que son significantes para los estados financieros.

      ■         El proceso de información financiera usado para preparar los estados financieros de la entidad, incluyendo los estimados y revelaciones de contabilidad significantes.

El auditor debe entender cómo la entidad comunica los roles y las responsabilidades de la información financiera, así como los asuntos significantes relacionados con la información financiera.

Para valorar los riesgos de representación errónea de importancia relativa a nivel de aserción y para diseñar los procedimientos adicionales de auditoría que son respuesta a los riesgos valorados, el auditor debe obtener un entendimiento suficiente de las actividades de control.

El auditor debe obtener un entendimiento de cómo la entidad ha respondido a los riesgos que surgen de la TI.

El auditor debe obtener un entendimiento de los principales tipos de actividades que la entidad usa para monitorear el control interno sobre la información financiera, incluyendo los relacionados con las actividades de control que son relevantes para la auditoría, y de cómo la entidad inicia las acciones correctivas para sus controles.

5.1     Entendimiento requerido del control interno

Se requiere que los auditores obtengan un entendimiento suficiente del control interno (relevante para la auditoría) para:

■ Identificar los controles específicos que prevendrán que ocurran representaciones erróneas de importancia relativa o que detectarán y corregirán las declaraciones equivocadas luego que hayan ocurrido);

■  Valorar los riesgos de representación errónea de importancia relativa a nivel de estado financiero y a nivel de aserción; y

■  Permitir el diseño de procedimientos de auditoría adicionales que sean respuesta a los riesgos valorados.

La valoración del control interno conlleva identificar los riesgos de representación errónea de importancia relativa (riesgos de negocio y de fraude) y luego determinar lo que la entidad está haciendo para abordarlos. Esto se puede lograr mediante discusiones con la administración seguidas por observación e inspección de cualquier control interno identificado.

La sola indagación no es suficiente para evaluar el diseño de un control que sea relevante para la auditoría y para determinar si ha sido implementado.

El entendimiento del auditor relacionado con el control interno incluye:

■  Evaluar el diseño del control interno. ¿Los procedimientos de control interno, individualmente o en combinación con los otros procedimientos de control interno, son capaces de prevenir efectivamente, o de detectar y corregir, las representaciones erróneas de importancia relativa?

■  Determinar la implementación del control interno. ¿Existe el control interno y la entidad lo está usando?

5.2   Procedimientos de valoración del riesgo

Los procedimientos de valoración del riesgo que son usados para realizar este trabajo pueden incluir:

■   Indagación del personal de la entidad;

■   Observación de la aplicación de controles específicos e inspección de documentos y informes; y

Rastrear las transacciones a través del sistema de información relevante para la información financiera.

Si el control interno está diseñado de manera impropia, no es necesario determinar su implementación.

En lugar de ello, el auditor debe considerar si representa una debilidad material en el control interno de la entidad. Si ello es así, se le debe comunicar a la administración y a quienes tengan a cargo la administración (gobierno).

5.3    Limitaciones del control interno

El control interno (independiente de qué tan bien esté diseñado e implementado) solamente puede dar seguridad razonable sobre el logro de los objetivos de la información financiera. Las principales limitaciones incluyen:

■   Los juicios humanos requeridos en cualquier sistema y las fallas humanas simples tales como errores o equivocaciones;

■     Elusión del control interno por la colusión de dos o más personas; y

■    Eludir inapropiado del control interno por parte de la administración, tal como revisar los términos de un contrato de venta o exceder el límite de crédito de un cliente.

5.4    Punto a considerar

El enfoque del auditor para entender el control interno debe ser de arriba-hacia-abajo. El entendimiento sólido de los controles a nivel de entidad ofrece una base importante para valorar los controles relevantes sobre la información financiera a nivel de procesos de negocio. Por ejemplo, si a nivel de entidad hay controles pobres sobre la integridad de los datos, esto impactará la confiabilidad de toda la información producida por sistemas tales como compras, ventas y nómina.

Los controles a nivel de entidad usualmente son más subjetivos de evaluar que los controles de los procesos de negocio. Por ejemplo, preguntar "¿antes qUe se autorice el pago las órdenes de compra son cotejadas con los bienes recibidos?" es respondida muy fácilmente con "sí" o "no". Sin embargo, preguntar "¿la administración es competente?" requiere algún análisis subjetivo antes que se pueda resolver.

5.5   Controles relevantes

No todos los controles son relevantes para la auditoría. El control interno que es relevante para la auditoría se relaciona con:

■   El objetivo que tiene la entidad en relación con la preparación de estados financieros para propósitos externos; y

■   La administración de los riesgos que podrían resultar en una representación errónea de importancia relativa contenida en esos estados financieros.

Esto significa que normalmente ciertos tipos de controles se pueden sacar del alcance de la consideración de la auditoría. Son controles que:

■ No abordan la información financiera (tales como los controles operacionales y los controles que se refieren al cumplimiento con las regulaciones); y

Es improbable que resulten en una representación errónea de importancia relativa contenida en los estados financieros.

IMAGEN :

En algunos casos, puede haber sobre-posición entre los controles financieros y los controles relacionados con los objetivos de las operaciones y el cumplimiento. Ejemplos incluyen controles que corresponden a los datos que el auditor evalúa o usa en la aplicación de otros procedimientos de auditoría tales como:

■  Datos requeridos para los procedimientos analíticos, por ejemplo, estadísticas de producción;

■   Controles que detectan el no-cumplimiento con leyes y regulaciones.

■   Controles de la salvaguarda de activos que corresponden a la información financiera; y

■   Controles sobre la completitud y exactitud de la información producida y que puede constituir la base para calcular las medidas clave del desempeño.

El juicio profesional se requiere para determinar si el control interno, individualmente o en combinación con otros, es, de hecho, relevante.

■    La determinación de la relevancia de los controles se debe basar en factores tales como:

En algunos casos, puede haber sobre-posición entre los controles financieros y los controles relacionados con los objetivos de las operaciones y el cumplimiento. Ejemplos incluyen controles que corresponden a los datos que el auditor evalúa o usa en la aplicación de otros procedimientos de auditoría tales como:

■   Datos requeridos para los procedimientos analíticos, por ejemplo, estadísticas de producción;

■    Controles que detectan el no-cumplimiento con leyes y regulaciones.

■    Controles de la salvaguarda de activos que corresponden a la información financiera; y

■  Controles sobre la completitud y exactitud de la información producida y que puede constituir la base para calcular las medidas clave del desempeño.

El juicio profesional se requiere para determinar si el control interno, individualmente o en combinación con otros, es, de hecho, relevante.

Naturaleza del control interno

a)    Vista de conjunto

b)    Definición de control interno

c)    Objetivos del control interno

d)   Componentes del control interno

Los cinco componentes del control interno

e)   ambiente de control

Ofrecer una vista de conjunto del control interno sobre la información financiera y de los cinco componente del control interno que se deben abordar en la auditoría

a)  vista de conjunto.

NIA 315 establece:

41. El auditor debe obtener un entendimiento del control interno, que sea relevante para la auditoría.

El control interno es diseñado e implementado por la administración para tratar los riesgos de negocio y de fraude identificados que amenazan el logro de los objetivos establecidos, tales como la confiabilidad de la información financiera.

b) definición de control interno.

Control interno es un proceso:

Diseñado y efectuado por quienes tienen a cargo la administración (gobierno), la administración y otro personal; y

Que tiene la intención de dar seguridad razonable sobre el logro de los objetivos de la entidad con relación a la confiabilidad de la información financiera, la efectividad y la eficiencia de las operaciones, y el cumplimiento con las leyes y regulaciones aplicables.

c)   objetivos de control interno.

Hay una relación directa entre los objetivos de la entidad y el control interno que la entidad implementa para asegurar el logro de tales objetivos. Una vez que se establecen los objetivos, es posible identificar y valorar los eventos (riesgos) potenciales que impedirían el logro de los objetivos. Con base en esta información, la administración puede desarrollar respuestas apropiadas, las cuales incluirán el diseño del control interno.

El control interno puede ser diseñado en primer lugar para prevenir que ocurran debilidades materiales potenciales o para detectar y corregir las debilidades materiales luego que hayan ocurrido.

Los objetivos de la entidad, y por consiguiente su control interno, pueden ser agrupados ampliamente en cuatro categorías:

■       Metas estratégicas, de alto nivel, que respaldan la misión de la entidad;

■       Información financiera (control interno sobre la información financiera);

■       Operaciones (controles operacionales); y

■        Cumplimiento con leyes y regulaciones.

El control interno que es relevante para la auditoría corresponde principalmente a la información financiera. Éste aborda los objetivos que tiene la entidad en la preparación de estados financieros para propósitos externos. Los controles operacionales, tales como la programación de la producción y del personal, el control de calidad, el cumplimiento de los empleados con los requerimientos de salud y seguridad, normalmente no serían relevantes para la auditoría, excepto cuando:

■        La información producida es usada para desarrollar un procedimiento analítico;

■        La información es requerida para revelación en los estados financieros.

Por ejemplo, si las estadísticas de la producción se usaron como base para un procedimiento analítico, serían relevantes los controles para asegurar la exactitud de tales datos. Si el no-cumplimiento con ciertas leyes y regulaciones tienen un efecto directo y material sobre los estados financieros, serían relevantes los controles para detectar y reportar sobre el no-cumplimiento.

d)  componentes de control interno.

En NIA 315, el término "control interno" abarca los cinco componentes del control interno, los cuales son:

■        El ambiente de control;

■        El proceso de valoración del riesgo de la entidad;

■       El sistema de información, incluyendo los procesos de negocio relacionados, relevantes para la información financiera, y la comunicación;

■         Las actividades de control; y

■         El monitoreo del control interno.

e)   ambiente de control

            NIA 315 establece:

                     67. El auditor debe obtener un entendimiento del ambiente de control.

El ambiente de control es el fundamento para el control interno efectivo, proveyendo disciplina y estructura para la entidad. Establece el tono de la organización, influyendo en el conocimiento o en la conciencia de su gente.

El ambiente de control incluye las funciones de gobierno y administración, así como las actitudes, conciencia y acciones de quienes tienen a cargo la administración (gobierno) y la administración en lo que concierne al control interno de la entidad y su importancia en la entidad.