CAPÍTULO 5
CONTROL
INTERNO
NIA: 215
Ofrecer orientación sobre:
■ El control interno relevante;
■ El alcance del entendimiento que se requiere; y
■ Los niveles de control y los cinco componentes del
control interno.
El auditor debe obtener un
entendimiento del control interno relevante para la auditoría.
El auditor debe obtener un
entendimiento del ambiente de control.
El auditor debe obtener un
entendimiento de los procesos de la entidad para la identificación de los
riesgos de negocio que son relevantes para los objetivos de la información
financiera y decidir sobre las acciones para tratar esos riesgos, así como los
resultados consiguientes.
El auditor debe obtener un
entendimiento del sistema de información, incluyendo los procesos de negocio
relacionados, que es relevante para la información financiera, incluyendo las
siguientes áreas:
■ Las clases de transacciones, en las operaciones de
la entidad, que son significantes para los estados financieros.
■ Los procedimientos, dentro de los sistemas tanto de
TI como manuales, mediante los cuales esas transacciones se inician, registran,
procesan y reportan en los estados financieros.
■ Los registros de contabilidad relacionados, sean
electrónicos
o manuales, que respaldan la información, así como las cuentas específicas contenidas en los estados
financieros, con relación al inicio, registro, procesamiento y presentación de
informes de las transacciones.
■ Cómo
el sistema de información
captura los eventos y condiciones, diferentes a las clases de transacciones,
que son significantes para los estados financieros.
■ El proceso de información financiera usado para preparar los
estados financieros de la entidad, incluyendo los estimados y revelaciones de
contabilidad significantes.
El auditor debe entender cómo la
entidad comunica los roles y las responsabilidades de la información
financiera, así como los asuntos significantes relacionados con la información
financiera.
Para valorar los riesgos de
representación errónea de importancia relativa a nivel de aserción y para
diseñar los procedimientos adicionales de auditoría que son respuesta a los
riesgos valorados, el auditor debe obtener un entendimiento suficiente de las
actividades de control.
El auditor debe obtener un
entendimiento de cómo la entidad ha respondido a los riesgos que surgen de la
TI.
El auditor debe obtener un
entendimiento de los principales tipos de actividades que la entidad usa para
monitorear el control interno sobre la información financiera, incluyendo los
relacionados con las actividades de control que son relevantes para la
auditoría, y de cómo la entidad inicia las acciones correctivas para sus
controles.
5.1
Entendimiento requerido del control interno
Se requiere que los auditores obtengan
un entendimiento suficiente del control interno (relevante para la auditoría)
para:
■ Identificar los controles específicos que prevendrán que ocurran representaciones erróneas de importancia relativa o que
detectarán
y corregirán
las declaraciones equivocadas luego que hayan ocurrido);
■ Valorar los riesgos de representación errónea de importancia relativa a nivel de estado
financiero y a nivel de aserción;
y
■ Permitir el diseño de procedimientos de auditoría adicionales que sean respuesta a los
riesgos valorados.
La valoración del control interno
conlleva identificar los riesgos de representación errónea de importancia
relativa (riesgos de negocio y de fraude) y luego determinar lo que la entidad
está haciendo para abordarlos. Esto se puede lograr mediante discusiones con la
administración seguidas por observación e inspección de cualquier control
interno identificado.
La sola indagación no es suficiente
para evaluar el diseño de un control que sea relevante para la auditoría y para
determinar si ha sido implementado.
El entendimiento del auditor
relacionado con el control interno incluye:
■ Evaluar el diseño del control interno. ¿Los procedimientos de control interno,
individualmente o en combinación
con los otros procedimientos de control interno, son capaces de prevenir efectivamente,
o de detectar y corregir, las representaciones erróneas de importancia
relativa?
■ Determinar la implementación del control interno. ¿Existe el control interno y la entidad
lo está
usando?
5.2 Procedimientos de
valoración del riesgo
Los procedimientos de valoración del
riesgo que son usados para realizar este trabajo pueden incluir:
■ Indagación del personal de la entidad;
■ Observación de la aplicación de controles específicos e inspección de documentos y informes; y
Rastrear las transacciones a través del
sistema de información relevante para la información financiera.
Si el control interno está diseñado de
manera impropia, no es necesario determinar su implementación.
En lugar de ello, el auditor debe
considerar si representa una debilidad material en el control interno de la
entidad. Si ello es así, se le debe comunicar a la administración y a quienes
tengan a cargo la administración (gobierno).
5.3 Limitaciones del
control interno
El control interno (independiente de
qué tan bien esté diseñado e implementado) solamente puede dar seguridad
razonable sobre el logro de los objetivos de la información financiera. Las
principales limitaciones incluyen:
■ Los juicios humanos requeridos en cualquier sistema
y las fallas humanas simples tales como errores o equivocaciones;
■ Elusión del control interno por la colusión de dos o más personas; y
■ Eludir inapropiado del control interno por parte de
la administración,
tal como revisar los términos
de un contrato de venta o exceder el límite de crédito de un cliente.
5.4 Punto a
considerar
El enfoque del auditor para entender el
control interno debe ser de arriba-hacia-abajo. El entendimiento sólido de los
controles a nivel de entidad ofrece una base importante para valorar los
controles relevantes sobre la información financiera a nivel de procesos de
negocio. Por ejemplo, si a nivel de entidad hay controles pobres sobre la
integridad de los datos, esto impactará la confiabilidad de toda la información
producida por sistemas tales como compras, ventas y nómina.
Los controles a nivel de entidad
usualmente son más subjetivos de evaluar que los controles de los procesos de
negocio. Por ejemplo, preguntar "¿antes qUe se autorice el pago las
órdenes de compra son cotejadas con los bienes recibidos?" es respondida
muy fácilmente con "sí" o "no". Sin embargo, preguntar
"¿la administración es competente?" requiere algún análisis subjetivo
antes que se pueda resolver.
5.5 Controles relevantes
No todos los controles son relevantes
para la auditoría. El control interno que es relevante para la auditoría se
relaciona con:
■ El objetivo que tiene la entidad en relación con la preparación de estados financieros para propósitos externos; y
■ La administración de los riesgos que podrían resultar en una
representación errónea de importancia relativa contenida en esos estados
financieros.
Esto significa que normalmente ciertos
tipos de controles se pueden sacar del alcance de la consideración de la
auditoría. Son controles que:
■ No abordan la información financiera
(tales como los controles operacionales y los controles que se refieren al
cumplimiento con las regulaciones); y
Es improbable que resulten en una
representación errónea de importancia relativa contenida en los estados
financieros.
IMAGEN :
En algunos casos, puede haber
sobre-posición entre los controles financieros y los controles relacionados con
los objetivos de las operaciones y el cumplimiento. Ejemplos incluyen controles
que corresponden a los datos que el auditor evalúa o usa en la aplicación de
otros procedimientos de auditoría tales como:
■ Datos requeridos para los procedimientos analíticos, por ejemplo, estadísticas de
producción;
■ Controles que detectan el no-cumplimiento con leyes
y regulaciones.
■ Controles de la salvaguarda de activos que
corresponden a la información
financiera; y
■ Controles sobre la completitud y exactitud de la
información
producida y que puede constituir la base para calcular las medidas clave del
desempeño.
El juicio profesional se requiere para
determinar si el control interno, individualmente o en combinación con otros,
es, de hecho, relevante.
■ La determinación de la relevancia de los controles se debe basar
en factores tales como:
En algunos casos, puede haber
sobre-posición entre los controles financieros y los controles relacionados con
los objetivos de las operaciones y el cumplimiento. Ejemplos incluyen controles
que corresponden a los datos que el auditor evalúa o usa en la aplicación de
otros procedimientos de auditoría tales como:
■ Datos requeridos para los procedimientos analíticos, por ejemplo, estadísticas de producción;
■ Controles que detectan el no-cumplimiento con leyes
y regulaciones.
■ Controles de la salvaguarda de activos que
corresponden a la información
financiera; y
■ Controles sobre la completitud y exactitud de la
información
producida y que puede constituir la base para calcular las medidas clave del
desempeño.
El juicio profesional se requiere para
determinar si el control interno, individualmente o en combinación con otros,
es, de hecho, relevante.
Naturaleza del control interno
a) Vista de conjunto
b) Definición de control interno
c) Objetivos del control interno
d) Componentes del control interno
Los cinco componentes del control interno
e) ambiente de control
Ofrecer una vista de conjunto del control interno sobre la información financiera
y de los cinco componente del control interno que se deben abordar en la
auditoría
a) vista de conjunto.
NIA 315 establece:
41. El auditor debe obtener un entendimiento del control interno, que
sea relevante para la auditoría.
El control interno es diseñado e implementado por la administración para
tratar los riesgos de negocio y de fraude identificados que amenazan el logro
de los objetivos establecidos, tales como la confiabilidad de la información
financiera.
b) definición de control interno.
Control interno es un proceso:
Diseñado y efectuado por quienes tienen a cargo la administración
(gobierno), la administración y otro personal; y
Que tiene la intención de dar seguridad razonable sobre el logro de los
objetivos de la entidad con relación a la confiabilidad de la información
financiera, la efectividad y la eficiencia de las operaciones, y el
cumplimiento con las leyes y regulaciones aplicables.
c) objetivos de control interno.
Hay una relación directa entre los objetivos de la entidad y el control
interno que la entidad implementa para asegurar el logro de tales objetivos.
Una vez que se establecen los objetivos, es posible identificar y valorar los
eventos (riesgos) potenciales que impedirían el logro de los objetivos. Con base
en esta información, la administración puede desarrollar respuestas apropiadas,
las cuales incluirán el diseño del control interno.
El control interno puede ser diseñado en primer lugar para prevenir que
ocurran debilidades materiales potenciales o para detectar y corregir las
debilidades materiales luego que hayan ocurrido.
Los objetivos de la entidad, y por consiguiente su control interno,
pueden ser agrupados ampliamente en cuatro categorías:
■
Metas estratégicas, de alto nivel, que
respaldan la misión de la entidad;
■ Información financiera (control
interno sobre la información financiera);
■ Operaciones (controles
operacionales); y
■ Cumplimiento con leyes y
regulaciones.
El control interno que es relevante para la auditoría corresponde
principalmente a la información financiera. Éste aborda los objetivos que tiene
la entidad en la preparación de estados financieros para propósitos externos.
Los controles operacionales, tales como la programación de la producción y del
personal, el control de calidad, el cumplimiento de los empleados con los
requerimientos de salud y seguridad, normalmente no serían relevantes para la
auditoría, excepto cuando:
■ La información producida es
usada para desarrollar un procedimiento analítico;
■ La información es requerida
para revelación en los estados financieros.
Por ejemplo, si las estadísticas de la producción se usaron como base
para un procedimiento analítico, serían relevantes los controles para asegurar
la exactitud de tales datos. Si el no-cumplimiento con ciertas leyes y
regulaciones tienen un efecto directo y material sobre los estados financieros,
serían relevantes los controles para detectar y reportar sobre el
no-cumplimiento.
d) componentes de control interno.
En NIA 315, el término "control interno" abarca los cinco
componentes del control interno, los cuales son:
■ El ambiente de control;
■ El proceso de valoración del
riesgo de la entidad;
■ El sistema de información,
incluyendo los procesos de negocio relacionados, relevantes para la información
financiera, y la comunicación;
■ Las actividades de
control; y
■ El monitoreo del
control interno.
e) ambiente de control
NIA
315 establece:
67.
El auditor debe obtener un entendimiento del ambiente de control.
El ambiente de control es el fundamento para el control interno
efectivo, proveyendo disciplina y estructura para la entidad. Establece el tono
de la organización, influyendo en el conocimiento o en la conciencia de su
gente.
El ambiente de control incluye las funciones de
gobierno y administración, así como las actitudes, conciencia y acciones de
quienes tienen a cargo la administración (gobierno) y la administración en lo
que concierne al control interno de la entidad y su importancia en la entidad.
No hay comentarios:
Publicar un comentario