Boletín 3050: Estudio y evaluación del control interno en auditoría

Generalidades del Control Interno

El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la norma de ejecución del trabajo que requiere que: "El auditor debe efectuar un estudio y evaluación adecuado del control interno existente, que le sirva de base para determinar el grado de confianza que va a depositar en él y le permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoría". El conocimiento y evaluación del control interno deben permitir al auditor establecer una relación específica entre la calidad del control interno de la entidad y la naturaleza, alcance y oportunidad de las pruebas de auditoría. Por otra parte, el auditor deberá comunicar las debilidades o desviaciones al control interno del cliente que son definidas en este boletín como situaciones a informar.Alcance y limitaciones . Este Boletín trata sobre el estudio y evaluación del control interno que el auditor efectua; en una revisión de estados financieros practicada conforme a las Normas de Auditoría Generalmente Aceptadas, y se refiere a la opinión que el auditor emite sobre el control interno contable existente en una entidad la cual es tratada en el Boletín 7030 de esta misma, Comisión (Sustituyo al boletín 4100) (1/mar/2007).

Objetivo del Boletín

· El objetivo de este Boletín es definir los elementos de la estructura del control interno y establecer los pronunciamientos normativos aplicables a su estudio y evaluación, como un aspecto fundamental diseñar la estrategia de auditoría, así como señalar los lineamientos que deben seguirse al informar sobre debilidades o desviaciones al control interno.Definición y elementos de la estructura del control interno La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad razonable de poder lograr los objetivos específicos de la entidad. Dicha estructura consiste en los siguientes elementos:

• a) .- El ambiente de control.
• b) .- La evaluación de riesgos.
• c) .- Los sistemas de información, y comunicación.
• d) .- Los procedimientos de control.
• e) .- La vigilancia.

Consideraciones Generales del Control Interno

Los factores específicos del ambiente de control, la evaluación de riesgos, los sistemas de información y comunicación, los procedimientos de control y la vigilancia deben considerar los siguientes aspectos:

1. - Tamaño de la entidad.
2. .- Características de la actividad económica en la que opera.
3. .- Organización de la entidad.
4. .- Naturaleza del sistema de contabilidad y de las técnicas de control establecidas.
5. - Problemas: específicos del negocio.
6. .- Requisitos legales aplicables.

· Por ejemplo, una estructura de organización con una delegación formal de autoridad, podrá influir favorablemente de modo importante en el ambiente de control de una entidad grande. . Sin embargo, una entidad pequeña, con participación efectiva del dueño-gerente, normalmente no requiere de procedimientos contables extensos ni de registros contables sofisticados o procedimientos de controles formales, tales como políticas escritas, seguridad de la información o procedimientos, para obtener cotizaciones competitivas.· El establecimiento y mantenimiento de una estructura de control interno representa, una importante responsabilidad. La Administración, para proporcionar una seguridad razonable de que se logran los objetivos de una entidad. La gerencia, deberá vigilar de modo constante la estructura de control interno, para determinar si ésta opera debidamente y si se modifica oportunamente, de acuerdo con los cambios en las condiciones existentes. · El concepto de seguridad razonable, reconoce que el costo de la estructura de control interno de una entidad, no deberá exceder los beneficios esperados al establecerla. · La efectividad de la estructura de control interno está sujeta a las limitaciones inherentes, tales como malos entendidos de instrucciones, errores de juicio, descuido, distracción o fatiga personales, colusión entre personas dentro y fuera de la entidad y omisiones de la gerencia a ciertas políticas y procedimientos.. Para tener una mejor comprensión de las políticas y procedimientos, el auditor deberá obtener conocimiento suficiente sobre cada uno de los elementos de la estructura del control interno, a través de experiencias anteriores con la entidad y de averiguaciones con el personal apropiado, inspección de documentos y registros y observación de las actividades y operaciones. La naturaleza y alcance de los procedimientos, suele variar de una entidad a otra_y se ven afectados por el tamaño y complejidad de la misma, experiencias anteriores, naturaleza de la política o procedimiento en particular y la documentación existente. . El auditor deberá documentar su conocimiento y comprensión de la estructura de control interno, como parte del proceso de planeación de la auditoría. La forma y alcance de esta documentación se verán influidos por el tamaño y complejidad de la entidad y la naturaleza de la estructura del control interno de la misma. Por ejemplo, la documentación de una entidad grande y compleja, podrá incluir diagramas de flujo, cuestionarios o árboles de decisiones. En cambio en una entidad pequeña, la documentación en forma de memorándum, podrá ser suficiente.

Evaluación Preliminar del Riesgo

En esta etapa, el auditor efectúa un análisis general del riesgo implícito en el trabajo que va a realizar, con objeto de considerado en el diseño de sus programas de trabajo de auditoría y para identificar gradualmente las actividades y características específicas de la entidad. El Boletín 3030, Importancia relativa y riesgo de auditoría de esta Comisión define los tipos de riesgo y el efecto que tienen éstos en la planeación y desarrollo de una auditoría de estados financieros. Aun cuando en esta etapa no se han probado los controles internos y, por lo tanto, cualquier decisión preliminar, el auditor deberá primeramente:

• . a) .- Comprender el ambiente de control establecido por la Administración para detectar errores potenciales.
• · b) .- Describir y verificar su comprensión de los procedimientos de control de la Administración, incluyendo aquellos relativos a la evaluación de riesgos.
• ·
• · e) .- Evaluar el diseño de los sistemas de control en los procesos de mayor riesgo, para determinar si es probable que sean eficaces para prevenir o detectar y corregir los errores potenciales identificados.
• · d) .- Conocer los procesos de mayor riesgo de la entidad y evaluar su importancia.
• · e) .- Formarse un juicio sobre la confianza que podrá depositarse en el control que será evaluado.

Una vez que el auditor ha adquirido un conocimiento general de la estructura de control interno, estará capacitado para decidir el grado de confianza que depositará en los controles existentes, para la prevención y detección de errores potenciales importantes, o bien, definir si directamente los objetivos de auditoría se pueden alcanzar de manera más eficiente y efectiva a través de la aplicación de pruebas sustantivas. La evaluación final de los procedimientos de control seleccionados, se hará después de llevar a cabo las pruebas de cumplimiento de dichos controles.

Procesamiento Electrónico de Datos (PED)

· Por la importancia que han adquirido los sistemas de PED en la información contable, por el volumen de operaciones procesadas en ellos, así como por la pérdida de huellas visibles y concentración de funciones contables que frecuentemente se dan en un ambiente de este tipo, e/ auditor debe conocer, evaluar y, en su caso, probar el sistema de PED, como parte fundamental del estudio y evaluación del control interno y documentar adecua- damente sus conclusiones sobre su efecto en la información financiera y el grado de confianza que depositará en los controles. Los lineamientos para llevar a cabo esta revisión se establecen en el Boletín 5080 de esta Comisión.

Pruebas de Cumplimiento y Evaluación Final

. La finalidad de las pruebas de cumplimiento es reunir evidencia suficiente para concluir si los sistemas de control establecidos por la Administración prevendrán, detectarán y corregirán errores potenciales que pudieran tener un efecto importante en los estados financieros. Esta conclusión permite confiar en el control como fuente de seguridad general de auditoría y disminuir el alcance de las pruebas sustantivas. . Las pruebas de cumplimiento, están diseñadas para respaldar la evaluación de la aparente confiabilidad de procedimientos específicos de control. La evaluación se hará determinando si los procedimientos de control están funcionando de manera efectiva, según se diseñaron, durante todo el periodo. Estas pruebas pueden implicar el examen de documentación de transacciones para buscar la presencia o ausencia de atributos específicos (controles detectivos). · Al efectuar una prueba de cumplimiento en una muestra de transacciones seleccionadas, se puede determinar una tasa máxima estimada de desviaciones y así llegar a una conclusión sobre la eficacia de los procedimientos de control durante el periodo examinando. · Además de las pruebas que se describen, es necesario establecer por indagación y observación e inspección de documentación, la forma en que la Administración se ha asegurado que el sistema de control continúa operando efectivamente, a pesar de posibles cambios en el medio ambiente. . Los procedimientos de auditoría podría variar, si como resultado de las pruebas de cumplimiento presentan debilidades o desviaciones a los procedimientos de control. COMPETITIVIDAD

Comunicación de Situaciones a Informar

En virtud de que las expectativas de los usuarios con respecto a la responsabilidad del auditor para informar por escrito sobre debilidades o desviaciones relacionadas con la estructura del control interno se han incrementado, ha sido necesario definir las situa- ciones a informar, así como la forma y contenido de dicho informe. Durante el curso de su trabajo, el auditor debe estar al tanto de los asuntos relacionados con el control interno que puedan ser de interés para el cliente, los cuales se identifican como "situaciones a informar". Estas situaciones son asuntos que llaman la atención del auditor y que en su opinión deben comunicarse al cliente, ya que representan deficiencias importantes en el diseño u operación de la estructura del control interno, que podrían afectar negativamente la capacidad de la organización para registrar, procesar, resumir y reportar información financiera, uniforme con las afirmaciones de la Administración en los estados financieros. Tales deficiencias pueden incluir diferentes aspectos del control interno. Esta comunicación se debe hacer con personas de alto nivel de autoridad y responsabilidad, tales como el consejo de administración, el dueño de la entidad o con quienes haya contratado al auditor, preferentemente por escrito, y deberá ser documentada en los papeles de trabajo.