Auditoria de control interno
1.
Definición:
Es la
evaluación del control interno integrado, con el propósito de determinar la
calidad de los mismos, e nivel de confianza que se les puede otorgar y si son
eficaces y eficientes en el cumplimiento de sus objetivos. Esta evaluación
tendrá el alcance necesario para dictaminar sobre el control interno y por lo
tanto, no se limita a determinar el grado de confianza que pueda conferírsele para
otros propósitos.
En una
auditoria de control interno practicada con el objeto de emitir una opinión
sobre el mismo, se debe utilizar una metodología que cubra lo siguiente:
•
Planeación.
• Pruebas
de Controles
•
Comunicación de los resultados.
2. Planeación:
La etapa
de planeación de la Auditoria del Control Interno es la comprensión del negocio
de la entidad, su entorno y los componentes del control interno.
A los procedimientos de auditoria dirigidos a obtener
tal entendimiento se les conoce como “procedimientos de valoración de riesgos”
dado que alguna de la información obtenida mediante el desarrollo de tales
procedimientos puede ser usada por el auditor como evidencia de auditoria.
Para
obtener un entendimiento de la entidad, su entorno y los componentes de control
interno, el auditor debe desarrollar los siguientes procedimientos de
valoración:
•
Indagaciones a la administración y a otros al interior de la entidad.
•
Procedimientos analíticos.
•
Observación e inspección.
• Otros
procedimientos de auditoria que sean apropiados.
El
entendimiento de la entidad y su entrono incluye el conocimiento de:
Control
interno
El
auditor debe desarrollar procedimientos de valoración de riesgos para obtener
un entendimiento de los componentes del control interno. Para identificar los
tipos de declaraciones equivocadas potenciales, considerar los factores que
afectan los riesgos de declaración equivocada importante, y diseñar la
naturaleza, oportunidad, y extensión de los procedimientos de auditoria
adicionales.
La
evaluación del diseño de un control incluye considerar sí el control es capaz
de prevenir efectivamente, o de detectar y corregir, declaraciones equivocadas
importantes.
La
obtención de evidencia de auditoria sobre el diseño e implementación de los
controles relevantes puede implicar indagar al personal de la entidad, observar
la aplicación de controles específicos, inspeccionar documentos e informes, y
rastrear transacciones a través del sistema de información relevante para la presentación
de informes financieros.
a)
Controles relevantes para la auditoria.
Los
objetivos de una entidad y los controles que implementa para proveer seguridad
razonable sobre su logro, se relacionan con la presentación de informes
financieros, las operaciones y el cumplimiento con cada una de las unidades de
operación y de los procesos de negocio de la entidad.
b) Efecto
de la tecnología de la información en el control interno.
El uso de
la tecnología de la información puede afectar cualquiera de los cinco
componentes de control interno relevantes para el logro de los objetivos de
presentación de informes financieros, operaciones, o cumplimiento de la entidad
y sus unidades de operación o proceso de negocio.
El uso de
la tecnología de la información también afecta la manera como se inician,
registran, procesan y reportan las transacciones. En un sistema manual, una
entidad usa procedimientos manuales y registros en formato de papel.
Los
controles en tal sistema también son manuales y pueden incluir procedimientos
tales como aprobación y revisión de actividades, y conciliaciones y
seguimientos de conciliación de los elementos.
La
tecnología de la información provee beneficios potenciales de efectividad y
eficiencia para el control interno de una entidad dado que le permite:
• Aplicar
reglas de negocio predefinidas y desarrollar cálculos complejos en el
procesamiento de grandes volúmenes de transacciones o datos.
•
Enriquecer la oportunidad, disponibilidad y exactitud de la información.
• Reducir
el riesgo de que los controles serán eludidos.
c)
Limitaciones de control interno.
El
control interno, no importa qué tan bien esté diseñado y operado, puede proveer
a una entidad solamente seguridad razonable sobre el logro de los objetivos de
la entidad.
La
probabilidad del logro se afecta por limitaciones inherentes al control
interno. Esas limitaciones incluyen las realidades de que el juicio humano en
la toma de decisiones puede ser imperfeto y que pueden ocurrir rupturas en el
control interno a causa de fallas humanas, tales como errores o equivocaciones
simples.
3.
Pruebas de los controles:
En las
pruebas de los controles que soportan la auditoria de control interno se debe
tener claro que el auditor debe identificar los procedimientos aplicables en
las circunstancias para formarse una opinión sobre el control interno y diseñar
su programa de trabajo para llevar a cabo las pruebas necesarias.
El
auditor debe desarrollar pruebas de los controles para obtener evidencia de auditoria suficiente y apropiada
respecto de que los controles estuvieron operando efectivamente durante el
período sometido a auditoria.
Cuando se
desarrollan pruebas de la efectividad de la operación de los controles, el
auditor obtiene evidencia de auditoria de que los controles operan
efectivamente, esto incluye obtener evidencia de auditoría sobre cómo se
aplicaron los controles durante el período sujeto a auditoria, la consistencia
con la cual se aplicaron, y por quién y por qué medios fueron aplicados.
a)
Naturaleza de las pruebas de los controles.
El
auditor selecciona los procedimientos de auditoria para obtener seguridad sobre
la efectividad de la operación de los controles. A sola indagación no proveerá
evidencia de auditoria suficiente y apropiada para probar la efectividad de la
operación de controles. Las pruebas de la efectividad de la operación de los
controles ordinariamente incluyen aquellos procedimientos usados para evaluar
el diseño de los controles y para determinar si han sido implementados, y
también el redesempeño de la aplicación del control por parte del auditor.
b)
Oportunidad de las pruebas de los controles.
La
oportunidad de las pruebas de los controles depende del objetivo del auditor y
determina el periodo de confianza en esos controles. Sí el auditor prueba los
controles en un tiempo particular, el auditor solamente obtiene evidencia de
auditoria de que los controles operaron efectivamente en ese tiempo. Sin
embargo, si prueba los controles a través del período, el auditor obtiene
evidencia de auditoria sobre la efectividad de la operación de los controles
durante el período.
Sí el
auditor requiere evidencia de auditoria respecto de la efectividad de un
control durante un período, la evidencia de auditoria que se relaciona
solamente con un punto del tiempo puede no ser suficiente y el auditor
complementa esas pruebas con otra pruebas de controles que sean capaces de proveer
evidencia de auditoria de que el control operó efectivamente en los tiempos
relevantes durante el período sometido a auditoria.
Donde
existe una cantidad de controles para los cuales el auditor determina que es
apropiado usar la evidencia de auditoria obtenida en auditorias anteriores, el
auditor debe probar la efectividad de operación de algunos controles en cada
auditoria.
El
propósito de este requerimiento es evitar la posibilidad de que el auditor
pueda seguir el enfoque de las pruebas al menos cada tercera auditoria, para
que todos los controles en los cuales el auditor se propone confiar, pero
probar solamente aquellos controles en un período único de auditoria sin prueba
de controles en los dos períodos subsecuentes de auditoria.
Además de
proveer evidencia de auditoria sobre la efectividad de operación de los
controles que se están probando en la auditoria actual, el desarrollo de tales
pruebas provee evidencia colateral sobre la efectividad continuada de ambiente
de control y por consiguiente contribuye a la decisión sobre si es apropiado
confiar en la evidencia de auditoria obtenida en las auditorias anteriores.
c)
Extensión de las pruebas de los controles.
A mayor
confianza del auditor sobre la efectividad de operación de los controles en el
riesgo valorado, mayor es la extensión de las pruebas de los controles que
realiza el auditor (porque se reducirán las pruebas sustantivas). Además, en la
medida en que se incrementa la tasa de la desviación operada de un atributo
particular, el auditor incrementa la extensión de las pruebas de los controles.
Sin
embargo, dada la consistencia inherente del procesamiento de la tecnología de
la información, el auditor puede no requerir incrementar la extensión de la
prueba de un control de la tecnología de la información. Un control de
aplicación programado debe funcionar consistentemente a menos que se cambie el
programa.
d)
Enfoque de las pruebas de los controles.
Un
enfoque de auditoria efectivo para las pruebas de los controles en los trabajos
donde se requiera informar u opinar sobre el control interno, como sería el
caso de la auditoria integral es el de los ciclos de auditoria. El enfoque para efectuar la
auditoria mediante una revisión más analítica y profunda del control interno,
requiere que se agrupen en forma ordenada las transacciones características de
cada negocio. El estudio de este concepto requiere como base fundamental, que
se definan dichas transacciones y la forma como pueden agruparse.
Aunque
las empresas tienen diferentes clases de transacciones según sus
características, para efectos prácticos pueden organizarse de acuerdo con el
desarrollo normal de las mismas y presentarse en los siguientes ciclos típicos
aplicables en general a la mayoría de los negocios:
– Ciclo
de Ingresos: Venta de bienes y servicios a terceros.
– Ciclo
de Compras: Adquisición de activos de capital, mano de obra, servicios
importantes a cambio de efectivo.
– Ciclo
de Nómina o Personal: Erogaciones y transacciones de los RR.HH.
– Ciclo
de Tesorería: Manejo de los fondos de la empresa; comienza con el
reconocimiento de los ingresos, incluye la distribución del efectivo en las
operaciones corrientes y otros usos y termina con el retorno de éste a los
inversionistas y acreedores.
– Ciclo
de Producción: Transformación de los activos adquiridos en bienes y servicios
para la venta.
– Ciclo
de Información Financiera: Preparación de estados financieros que resumen el
resultado de las actividades del negocio a una fecha o por un período
determinado.
Cada
ciclo comprende una o más funciones, las cuales son tareas o segmentos de un
sistema que procesa de manera lógica las transacciones. En cada ciclo se
utilizan ciertos asientos contables, documentos y archivos. A continuación se
relacionan las funciones, asientos contables y documentos típicos de los ciclos
descritos, los cuales pueden variar según la clase de empresa.
4.
Comunicación de los resultados:
a)
Dictamen u opinión sobre el control interno.
El
auditor deberá comunicar los asuntos de auditoria que surjan de la auditoria
del control interno a los encargados de la dirección de la entidad.
El
auditor deberá comunicar oportunamente los asuntos de auditoria de interés de
la administración; esto hace posible tomas las acciones apropiadas.
El
auditor deberá comunicar a la dirección cualquier debilidad importante que
encuentre en el control interno que hay llegado a conocimiento de éste, como
resultado de la realización de la auditoria.
Cuando el
auditor haya identificado debilidades significativas en el control interno,
éste deberá comunicar a la dirección las debilidades importantes encontradas. Debido a las graves
implicaciones de las debilidades importantes en el control interno, es,
igualmente, importante que tales deficiencias sean puestas en conocimiento de
aquellos encargados de la gestión.
El
objetivo principal del informe es inducir a la entidad examinada que adopte las
medidas necesarias para la corrección de las deficiencias y el fortalecimiento
del control interno.
La
comunicación de los resultados de las pruebas de los controles s debe hacer
oportunamente. En las comunicaciones se deben incluir los objetivos y alcance
del trabajo así como las conclusiones y recomendaciones correspondientes.
Se
recomienda comunicar los resultado al concluir la prueba de un ciclo sí se
adopta la revisión por ciclos. De lo contrario hacer las comunicaciones en la
medida en que se desarrollan pruebas importantes sobre los controles.
Cuando se
descubran en el curso del trabajo incumplimientos de normas, la comunicación de
los resultados debe exponer:
• La
norma objeto del incumplimiento.
• Las
razones del incumplimiento.
• El
impacto del incumplimiento en los controles y en el informe final de la
auditoria integral, si hubiere alguno.
b)
Dictamen u opinión sobre le control interno.
Sí el
auditor adquiere el compromiso de presentar un dictamen independiente sobre el
control interno, debe presentarlo de acuerdo con los elementos del informe
señalados en la normativa vigente.
No hay comentarios:
Publicar un comentario