CONTROL INTERNO Definición · El control interno en cualquier organización, reviste mucha...

Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 1

CONTROL INTERNO

Definición

Es un proceso efectuado por la dirección, gerencia, y otro personal calificado, diseñado para

proporcionar un aseguramiento razonable respecto al logro de los objetivos relacionados con las

operaciones, los informes y el cumplimiento de:

en las categorías de:

1) Orientación al logro de los objetivos

2) Actividades y tareas continuas

3) Efectuado por personas

4) Eficacia y eficiencia de las operaciones.

5) Confiabilidad de los informes financieros.

6) Cumplimiento de las leyes y regulaciones aplicables.

Importancia

El control interno en cualquier organización, reviste mucha importancia, tanto en la

conducción de la organización, como en el control e información de la operaciones, puesto que

permite el manejo adecuado de los bienes, funciones e información de una empresa determinada,

con el fin de generar una indicación confiable de su situación y sus operaciones en el mercado;

ayuda a que los recursos (humanos, materiales y financieros) disponibles, sean utilizados en forma

eficiente, bajo criterios técnicos que permitan asegurar su integridad, su custodia y registro

oportuno, en los sistemas respectivos.

Competencia profesional

Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les

permita comprender la importancia del desarrollo, implantación y mantenimiento de controles

internos apropiados. Tanto directivos como empleados deben:

• Contar con un nivel de competencia profesional ajustado a sus responsabilidades.

• Comprender suficientemente la importancia, objetivos y procedimientos del control

interno.

La Dirección debe especificar el nivel de competencia requerido para las distintas tareas y

traducirlo en requerimientos de conocimientos y habilidades.


Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de

preparación y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el

personal debe recibir la orientación, capacitación y adiestramiento necesarios en forma práctica y

metódica. El Sistema de Control Interno operará más eficazmente en la medida que exista

personal competente que comprenda los principios del mismo.

Tipos de Control Interno

Tomando en cuenta las áreas de funcionamientos, aunque no existe una separación radical

de los controles internos, porque como se dijo antes, el control interno es un todo integrado, y

más bien desde un punto de vista didáctico, se ha establecido la siguiente clasificación:

A) Control Interno Administrativo

Son los mecanismos, procedimientos y registros que conciernen a los procesos de decisión

que llevan a la autorización de transacciones o actividades por la administración, de manera que

fomenta la eficiencia de las operaciones, la observancia de la política prescrita y el cumplimiento

de los objetivos y metas programados.

Este tipo de control sienta las bases para evaluar el grado de efectividad, eficiencia y

economía de los procesos de decisión.

B) Control interno Financiero

Son los mecanismos, procedimientos y registros que conciernen a la salvaguarda de los

recursos y la verificación de la exactitud, veracidad y confiabilidad de los registros contables, y de

los estados e informes financieros que se produzcan, sobre los activos, pasivos, patrimonio y

demás derechos y obligaciones de la organización.

Este tipo de control sienta las bases para evaluar el grado de efectividad, eficiencia y

economía con que se han manejado y utilizado los recursos financieros a través de los

presupuestos respectivos.

C) Control interno previo

Son los procedimientos que se aplican antes de la ejecución de las operaciones o de que sus

actos causen efectos; verifica el cumplimiento de las normas que lo regulan y los hechos que las

respaldan, y asegura su conveniencia y oportunidad en función de los fines y programas de la

organización.


D) Control interno concomitante

Son los procedimientos que permiten verificar y evaluar las acciones en el mismo momento

de su ejecución, lo cual está relacionado básicamente con el control de calidad.

E) Control interno Posterior

Es el examen posterior de las operaciones financieras y administrativas y se practica por

medio de la Auditoría Gubernamental; por su aplicación se clasifica en:

E.1) Control Posterior Interno es el examen posterior de las operaciones financieras y

administrativas y se practica por medio de la Auditoría Interna de cada organización.

E.2) Control posterior externo es el examen posterior de las operaciones financieras y

administrativas y es responsabilidad exclusiva del Organismo Superior de Control, a través de la

Auditoría Gubernamental.

Documentación del Control Interno

El control interno se encuentra en todos los niveles, en todas las acciones y funciones, por lo

tanto, debe estar respaldado por toda la legislación, sistemas, documentación de soporte,

información y demás criterios utilizados en las operaciones, creando los archivos que las

necesidades ameriten, de acuerdo a la tecnología existente.

A nivel Interno: deben existir los manuales de normas y procedimientos, manual de cargos y

funciones y otros reglamentos que se ameriten.

A nivel externo: deben cumplir con las normas externas (DNA), manuales de auditoria, las

leyes y reglamentos vigentes aplicables a la entidad.

Sistema de Control Interno

El sistema de control interno es el conjunto de todos los elementos en donde lo principal

son las personas, los sistemas de información, la supervisión y los procedimientos. Este es de vital

importancia, ya que promueve la eficiencia, asegura la efectividad, previene que se violen las

normas y los principios contables de general aceptación. Los directivos de las organizaciones

deben crear un ambiente de control, un conjunto de procedimientos de control directo y las

limitaciones del control interno.


El COSO (Comité de Organizaciones Patrocinantes de la Comisión Treadway) (Committee

of Sponsoring Organizations of the Treadway Commission)

En 1985 se formó la comisión nacional para emisión de informes fraudulentos, para

identificar la causa de la proliferación de los mismos. En 1987, dicha comisión solicitó realizar un

estudio para desarrollar una definición común del control interno marco conceptual.

En 1992 se publica el informe del Marco Conceptual Integrado de Control Interno (Estudio

COSO I). Para el 2013 se publicó el Marco Integrado de Control Interno COSO 2013, con la

participación de más de 700 interesados.

Definición:

El informe como tal es un medio para alcanzar un fin y no un fin por si. No es un evento o

circunstancia sino una serie de acciones que permean las actividades de una organización. Es una

cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los

demás procesos básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión.


Componentes del COSO:

De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados

entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en

el proceso de dirección. Los componentes serán los mismos para todas las organizaciones

(públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos.

Los componentes son los siguientes:

1.-Ambiente de Control.

2.-Evaluación de Riesgos.

3.-Actividades de Control.

4.-Información y Comunicación.

5.-Supervisión y Monitoreo.


Ambiente de Control

El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando

disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será

fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno.

Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus

funcionarios.

Evaluación de Riesgos

Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados.

Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos

niveles, los cuales deberán estar vinculados entre sí.

La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes

para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados.

A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de

mecanismos para identificar y afrontar los riesgos asociados al cambio.

En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente

definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran

oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y,

que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.

Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores

Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación

de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal

utilizadas.

Actividades de Control

Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y

mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el

proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos

por ella.


Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las

etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado

en el punto anterior.

En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron

establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas

son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.

Información y Comunicación

Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que

permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una

comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los

ámbitos de la Unidad, de forma descendente como ascendente.

La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario

dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender

cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están

relacionadas con el trabajo del resto.

Supervisión y Monitoreo

Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un

proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra

mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de

ambas.


Evaluación del control interno

Consiste en la revisión y análisis de todos los procedimientos que han sido incorporados al

ambiente y estructura del control interno, así como a los sistemas que mantiene la organización

para el control e información de las operaciones y sus resultados, con el fin de determinar si éstos

concuerdan con los objetivos institucionales, para el uso y control de los recursos, así como la

determinación de la consistencia del rol que juega en el sector que se desarrolla.


Evaluar un sistema de Control Interno, es hacer una operación objetiva del mismo. Esta

evaluación se hace a través de la interpretación de los resultados de algunas pruebas efectuadas,

las cuales tienen por finalidad establecer si se están realizando correctamente y aplicando los

métodos, políticas y procedimientos establecidos por la dirección de la empresa para salvaguardar

sus activos y para hacer eficientes sus operaciones.

La evaluación que se haga del Control Interno, es de primordial importancia pues por su

medio se conocerá si las políticas implantadas se están cumpliendo a cabalidad y si en general se

están desarrollando correctamente. Dependiendo de la evaluación que se tenga, así será el

alcance y el tipo de pruebas sustantivas que se practiquen en el examen de los estados

financieros.

La evaluación del Control Interno puede efectuarse por los siguientes métodos:

1.- Método Descriptivo: Consiste en hacer una descripción por escrito de las características

del control de actividades y operaciones que se realizan y relacionan a departamentos, personas,

operaciones, registros contables y la información financiera. El método narrativo, es ideal para

aplicarlo a pequeñas entidades.

2.- Método de Cuestionario: en este procedimiento se elaboran previamente una serie de

preguntas en forma técnica y por áreas de operaciones. Estas preguntas deben ser redactadas en

una forma clara y sencilla para que sean comprensibles por las personas a quienes se les solicitará

que las respondan. Una respuesta negativa advierte debilidades en el control interno.

3.- Diagrama de Flujo: el diagrama de flujo de sistemas es un diagrama, una representación

simbólica de un sistema o serie de procedimientos en que éstos se muestran en secuencia, al

lector le da una imagen clara del sistema: muestra la naturaleza y la secuencia de los

procedimientos, la división de responsabilidades, las fuentes y distribución de documentos, los

tipos y ubicación de los registros y archivos contables. Tiene como base la esquematización de las

operaciones, mediante el empleo de dibujos (flecha, cuadros, figuras geométricas, etc.); en dichos

dibujos se representan departamentos, formas y archivos, por medio de ellos se indican y explican

el desarrollo de las operaciones. Este método se utiliza en la actualidad a través de computadoras

NIAS Aplicables en Auditoría con Relación al Control Interno:

Manual de Pronunciamientos Internacionales de Control de Calidad, Auditoría, Revisión,

Otros Encargos de Aseguramiento, y Servicios Relacionados. Edición 2013 Parte I


Evaluación del Control Interno a Través de la:

Norma Internacional de Auditoría (NIA 315)

Identificación y Valoración de los Riesgos de Incorrección Material Mediante el

Conocimiento de la Entidad y de su Entorno.

El control interno de la entidad

12. El auditor obtendrá conocimiento del control interno relevante para la auditoría. Si bien

es probable que la mayoría de los controles relevantes para la auditoría estén relacionados con la

información financiera, no todos los controles relativos a la información financiera son relevantes

para la auditoría. El hecho de que un control, considerado individualmente o en combinación con

otros, sea o no relevante para la auditoría es una cuestión de juicio profesional del auditor. (Ref:

Apartados A42-A65).

Naturaleza y extensión del conocimiento de los controles relevantes

13. Al obtener conocimiento de los controles relevantes para la auditoría, el auditor

evaluará el diseño de dichos controles y determinará si se han implementado, mediante la

aplicación de procedimientos adicionales a la indagación realizada entre el personal de la entidad.

(Ref: Apartados A66-A68).

Componentes del control interno

Entorno de control

14. El auditor obtendrá conocimiento del entorno de control. Como parte de este

conocimiento, el auditor evaluará si:

(a) la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha

establecido y mantenido una cultura de honestidad y de comportamiento ético; y si

(b) los puntos fuertes de los elementos del entorno de control proporcionan colectivamente

una base adecuada para los demás componentes del control interno y si estos otros componentes

no están menoscabados como consecuencia de deficiencias en el entorno de control. (Ref:

Apartados A69-A78.


El control interno de la entidad (Ref: Apartado 12)

A42. El conocimiento del control interno facilita al auditor la identificación de tipos de

incorrecciones potenciales y de factores que afectan a los riesgos de incorrección material, así

como el diseño de la naturaleza, momento de realización y extensión de los procedimientos de

auditoría posteriores.

A43. La guía de aplicación siguiente relativa al control interno se divide en cuatro secciones:

1.- Naturaleza general y características del control interno.

2.-Controles relevantes para la auditoría.

3.-Naturaleza y extensión del conocimiento de los controles relevantes.

4.-Componentes del control interno.

Naturaleza general y características del control interno

Finalidad del control interno

A44. El control interno se diseña, implementa y mantiene con el fin de responder a los

riesgos de negocio identificados que amenazan la consecución de cualquiera de los objetivos de la

entidad referidos a:

la fiabilidad de la información financiera de la entidad;

la eficacia y eficiencia de sus operaciones; y

el cumplimiento de las disposiciones legales y reglamentarias aplicables.

La manera en que se diseña, implementa y mantiene el control interno varía según la

dimensión y la complejidad de la entidad.

Consideraciones específicas para entidades de pequeña dimensión

A45. Es posible que las entidades de pequeña dimensión utilicen medios menos

estructurados, así como procesos y procedimientos más sencillos para alcanzar sus objetivos.

Limitaciones del control interno

A46. El control interno, por muy eficaz que sea, sólo puede proporcionar a la entidad una

seguridad razonable del cumplimiento de sus objetivos de información financiera. La probabilidad


de que se cumplan se ve afectada por las limitaciones inherentes al control interno. Estas incluyen

el hecho de que los juicios humanos a la hora de tomar decisiones pueden ser erróneos y de que el

control interno puede dejar de funcionar debido al error humano. Por ejemplo, puede haber un

error en el diseño o el cambio de un control interno. Del mismo modo, el funcionamiento de un

control puede no ser eficaz, como sucede en el caso de que la información producida para los fines

del control interno (por ejemplo, un informe de excepciones) no se utilice de manera eficaz

porque la persona responsable de la revisión de la información no comprenda su finalidad o no

adopte las medidas adecuadas.

A47. Además, se pueden sortear los controles por colusión entre dos o más personas o por

la inadecuada elusión del control interno por la dirección. Por ejemplo, la dirección puede suscribir

acuerdos paralelos con clientes que alteren los términos y condiciones de los contratos de venta

estándar de la entidad, lo que puede dar lugar a un reconocimiento de ingresos incorrecto.

Asimismo, se pueden eludir o invalidar filtros de un programa informático diseñados para

identificar e informar sobre transacciones que superen determinados límites de crédito.

A48. Por otro lado, en el diseño e implementación de los controles, la dirección puede

realizar juicios sobre la naturaleza y extensión de los controles que decide implementar y sobre la

naturaleza y extensión de los riesgos que decide asumir.


A49. Las entidades de pequeña dimensión suelen tener menos empleados, lo que puede

limitar en la práctica la posibilidad de segregación de funciones. Sin embargo, en una entidad

pequeña dirigida por el propietario, es posible que el propietario-gerente sea capaz de ejercer una

supervisión más eficaz que en una entidad de gran dimensión. Dicha supervisión puede compensar

la menor capacidad de establecer una segregación de funciones.

A50. Por otro lado, el propietario-gerente puede tener más posibilidades de eludir los

controles porque el sistema de control interno está menos estructurado. El auditor tiene en

cuenta lo anterior en la identificación de los riesgos de incorrección material debida a fraude.

División del control interno en componentes


A51. La división del control interno en los cinco componentes siguientes, a efectos de las

NIA, proporciona un marco útil para que los auditores consideren el modo en que distintos

aspectos del control interno de una entidad pueden afectar a la auditoría.

(a) el entorno de control;

(b) el proceso de valoración del riesgo por la entidad;

(c) el sistema de información, incluidos los procesos de negocio relacionados, relevantes

para la información financiera, y la comunicación;

(d) actividades de control; y

(e) seguimiento de los controles

Esta división no refleja necesariamente el modo en que una entidad diseña, implementa y

mantiene el control interno, o el modo en que puede clasificar un determinado componente. Los

auditores pueden utilizar una terminología o marcos distintos de los que se utilizan en la presente

NIA para describir los diversos aspectos del control interno y su efecto en la auditoría, siempre que

se traten todos los componentes descritos en esta NIA.

A52. En los apartados A69-A104 se recoge la guía de aplicación relativa a los cinco

componentes del control interno y su relación con la auditoría de estados financieros. En el anexo

1 se proporciona una explicación adicional de dichos componentes del control interno.

Características de los elementos manuales y automatizados del control interno relevantes

para la valoración del riesgo por el auditor

A53. El sistema de control interno de una entidad comprende elementos manuales y, a

menudo, elementos automatizados. Las características de los elementos manuales o

automatizados son relevantes para la valoración del riesgo por el auditor y para los

procedimientos de auditoría posteriores basados en dicha valoración.

A54. La utilización de elementos manuales o automatizados en el control interno también

afecta al modo en que se inician, registran y procesan las transacciones y se informa sobre ellas:

1.- Los controles en un sistema manual pueden comprender procedimientos tales como

aprobaciones y revisiones de transacciones, así como conciliaciones y seguimiento de las partidas

en conciliación. De forma alternativa, es posible que la entidad emplee procedimientos


automatizados para iniciar, registrar y procesar transacciones e informar sobre ellas, en cuyo caso

los documentos en papel se sustituyen por registros en formato electrónico.

2.- Los controles en los sistemas de TI consisten en una combinación de controles

automatizados (por ejemplo, controles integrados en programas informáticos) y de controles

manuales. Además, los controles manuales pueden ser independientes de las TI, pueden utilizar

información producida por las TI, o pueden limitarse al seguimiento del funcionamiento efectivo

de las TI y de los controles automatizados, así como al tratamiento de las excepciones. Cuando se

utilizan las TI para iniciar, registrar, procesar o notificar transacciones u otros datos financieros,

para su inclusión en los estados financieros, los sistemas y programas pueden incluir controles

relacionados con las correspondientes afirmaciones en el caso de cuentas materiales o pueden ser

decisivos para un funcionamiento eficaz de los controles manuales que dependen de las TI. La

combinación por la entidad de elementos manuales y automatizados en su control interno varía

según la naturaleza y complejidad de la utilización de las TI por la entidad.

A55. Por lo general, las TI son beneficiosas para el control interno de la entidad, al

permitirle:

1.-aplicar de manera congruente las normas de actuación predefinidas y realizar cálculos

complejos en el procesamiento de grandes volúmenes de transacciones o de datos;

2.- mejorar la oportunidad, disponibilidad y exactitud de la información;

3.- facilitar un análisis adicional de la información;

4.- mejorar la capacidad para hacer un seguimiento del resultado de las actividades de la

entidad y de sus políticas y procedimientos;

5.- reducir el riesgo de que los controles se sorteen; y

6.- mejorar la capacidad de lograr una segregación de funciones efectiva mediante la

implementación de controles de seguridad en las aplicaciones, bases de datos y sistemas

operativos;

A56. Las TI también originan riesgos específicos para el control interno de la entidad,

incluidos, por ejemplo: La confianza en sistemas o programas que procesan datos de manera

inexacta, que procesan datos inexactos, o ambos. Accesos no autorizados a los datos que pueden


tener como resultado la destrucción de datos o cambios indebidos de ellos, incluido el registro de

transacciones no autorizadas o inexistentes, o un registro inexacto de las transacciones.

Pueden producirse riesgos específicos cuando múltiples usuarios acceden a una misma base

de datos.

1.- La posibilidad de que el personal del departamento de TI obtenga permisos de acceso

más allá de los necesarios para realizar sus tareas, dejando así de funcionar la segregación de

funciones.

2.- Cambios no autorizados en los datos de los archivos maestros.

3.- Cambios no autorizados en los sistemas o programas.

4.- No realizar cambios necesarios en los sistemas o programas.

5.- Intervención manual inadecuada.

6.- Pérdida potencial de datos o incapacidad de acceder a los datos del modo requerido.

A57. Los elementos manuales en el control interno pueden ser más adecuados cuando se

requiera hacer uso de juicio y de discrecionalidad, como, por ejemplo, en las siguientes

circunstancias:

1.- Transacciones importantes, inusuales o no recurrentes.

2.- Circunstancias en las que los errores son difíciles de definir, anticipar o predecir.

3.- En circunstancias cambiantes que requieren una respuesta de control que está fuera

delalcance de un control automatizado existente.

4.- Al realizar el seguimiento de la eficacia de los controles automatizados.

A58. Los elementos manuales en el control interno pueden resultar menos fiables que los

elementos automatizados debido a que pueden ser más fácilmente evitados, ignorados o eludidos

y también a que están más expuestos a simples errores y equivocaciones. En consecuencia, no

puede asumirse que un elemento del control manual será aplicado de manera congruente. Los

controles manuales pueden resultar menos adecuados en las siguientes circunstancias:

1.- Un número elevado de transacciones o transacciones recurrentes, o bien en situaciones

en las que los errores que se puedan anticipar o predecir pueden prevenirse, o detectarse y

corregirse, mediante parámetros de control automatizados.

2.-Actividades de control en las que los modos específicos de realizar el control pueden

diseñarse y automatizarse adecuadamente.


A59. La extensión y la naturaleza de los riesgos para el control interno varían según la

naturaleza y las características del sistema de información de la entidad. La entidad responde a los

riesgos que surgen de la utilización de las TI o de la utilización de elementos manuales en el

control interno mediante el establecimiento de controles eficaces teniendo en cuenta las

características del sistema de información de la entidad.

Controles relevantes para la auditoría.

A60. Existe una relación directa entre los objetivos de una entidad y los controles que

implementa para proporcionar una seguridad razonable sobre su cumplimiento. Los objetivos de

la entidad, y por lo tanto los controles, están relacionados con la información financiera, las

operaciones y el cumplimiento de la normativa; sin embargo, no todos estos objetivos y controles

son relevantes para la valoración del riesgo por el auditor.

A61. Los factores relevantes para el auditor al enjuiciar si un control, de manera individual o

en combinación con otros, es relevante para la auditoría pueden incluir cuestiones como las

siguientes:

1.- Importancia relativa.

2.- La significatividad del riesgo relacionado.

3.- La dimensión de la entidad.

4.- La naturaleza de los negocios de la entidad, así como su organización y las características

de su propiedad.

5.- La diversidad y la complejidad de las operaciones de la entidad.

6.- Los requerimientos normativos aplicables.

7.- Las circunstancias y el correspondiente componente de control interno.

8.- La naturaleza y complejidad de los sistemas que forman parte del control interno de la

entidad, incluida la utilización de una organización de servicios.

9.- Si un determinado control, de manera individual o en combinación con otros, previene o

detecta y corrige una incorrección material, y el modo en que lo hace.

A62. Los controles sobre la integridad y exactitud de la información generada por la entidad

pueden ser relevantes para la auditoría si el auditor tiene previsto utilizar dicha información en el


diseño y aplicación de procedimientos de auditoría posteriores. Los controles relativos a los

objetivos operativos y de cumplimiento también pueden ser relevantes para la auditoría si están

relacionados con datos que el auditor evalúa o utiliza en la aplicación de procedimientos de

auditoría.

A63. El control interno sobre la salvaguarda de los activos contra la adquisición, utilización o

venta no autorizadas puede incluir controles relacionados tanto con la información financiera

como con los objetivos operativos. La consideración de dichos controles por el auditor se limita,

por lo general, a aquéllos que son relevantes para la fiabilidad de la información financiera.

A64. Por lo general, una entidad dispone de controles relacionados con objetivos que no son

relevantes para la auditoría y que, en consecuencia, no es necesario considerar. Por ejemplo, una

entidad puede contar con un sofisticado sistema de controles automatizados para garantizar un

funcionamiento eficiente y eficaz (como, por ejemplo, el sistema de controles automatizados de

una aerolínea para el mantenimiento de horarios de vuelos), pero normalmente dichos controles

no serían relevantes para la auditoría. Además, aunque el control interno se aplique a toda la

entidad o a cualquiera de sus unidades operativas o procesos de negocio, el conocimiento del

control interno relativo a cada una de las unidades operativas y procesos de negocio de la entidad

puede no ser relevante para la auditoría.

Componentes del control interno – El sistema de información, incluidos los procesos de

negocio relacionados, relevante para la preparación de la información financiera, y la

comunicación.

El sistema de información, incluidos los procesos de negocio relacionados, relevante para la

información financiera y la comunicación (Ref: Apartado 18).

A81. El sistema de información financiera relevante para los objetivos de la información

financiera, que incluye el sistema contable, comprende los procedimientos y registros diseñados y

establecidos para:


1.- iniciar, registrar y procesar las transacciones de la entidad (así como los hechos y

condiciones) e informar sobre ellas, así como para rendir cuentas sobre los activos, pasivos y

patrimonio neto correspondientes.

2.- resolver el procesamiento incorrecto de transacciones, por ejemplo, ficheros de espera

automatizados y procedimientos aplicados para reclasificar oportunamente las partidas

pendientes de aplicación.

3.- procesar y dar cuenta de elusiones del sistema o evitación de los controles.

4.- transferir información desde los sistemas de procesamiento de las transacciones al libro

mayor.

5.- capturar información relevante para la información financiera sobre los hechos y las

condiciones distintos de las transacciones, tales como la depreciación y la amortización de

activos, así como los cambios en la recuperabilidad de las cuentas a cobrar;

6.- y asegurar que se recoge, registra, procesa, resume e incluye adecuadamente en los

estados financieros la información que el marco de información financiera aplicable requiere que

se revele.

Asientos en el libro diario

A82. Habitualmente, el sistema de información de la entidad implica la utilización de

asientos estándar en el libro diario requeridos de manera recurrente para registrar las

transacciones. Los ejemplos pueden ser los asientos en el libro diario para registrar ventas,

compras y pagos en el libro mayor, o para registrar estimaciones contables realizadas

periódicamente por la dirección, tales como cambios en la estimación de las cuentas incobrables.

A83. El proceso de información financiera de la entidad también implica la utilización de

asientos no estándar en el libro diario para el registro de transacciones no recurrentes, inusuales o

de ajustes. Ejemplos de dichas anotaciones incluyen los ajustes de consolidación y los asientos de

una combinación de negocios o de la venta de un negocio o de estimaciones no recurrentes, como

el deterioro del valor de un activo. En los sistemas de libros mayores manuales, los asientos no

estándar en el libro diario pueden ser identificados mediante la inspección de los libros, diarios y

documentación de soporte. Cuando se utilizan procesos automatizados para la llevanza de los

libros y la preparación de los estados financieros, es posible que dichas anotaciones existan sólo


en formato electrónico y puedan ser por tanto más fácilmente identificadas mediante el uso de

técnicas de auditoría asistidas por ordenador. Procesos de negocio relacionados.

A84. Los procesos de negocio de una entidad son las actividades diseñadas para:

1.- el desarrollo, la adquisición, la producción, la venta y la distribución de los productos y

servicios de una entidad.

2.- asegurar el cumplimiento de las disposiciones legales y reglamentarias.

3.- registrar la información, incluida la información contable y financiera.

Los procesos de negocio tienen como resultado transacciones registradas, procesadas y

notificadas mediante el sistema de información. La obtención de conocimiento de los procesos de

negocio de la entidad, que incluyen el modo en que se originan las transacciones, facilita al auditor

la obtención de conocimiento del sistema de información de la entidad relevante para la

preparación de información financiera de un modo adecuado a las circunstancias de la entidad.


A85. Es probable que en las entidades de pequeña dimensión, los sistemas de información y

procesos de negocio relacionados relevantes para la información financiera sean menos

sofisticados que en las entidades de mayor dimensión, pero su papel es igualmente significativo.

Las entidades de pequeña dimensión que cuenten con una participación activa de la dirección

puede que no necesiten descripciones detalladas de procedimientos contables, registros contables

sofisticados o políticas escritas. El conocimiento de los sistemas y procesos de la entidad puede

por lo tanto ser más fácil en la auditoría de una entidad de pequeña dimensión, y puede basarse

más en la indagación que en la revisión de documentación. Sin embargo, la necesidad de obtener

conocimiento sigue siendo importante.

Comunicación (Ref: Apartado 19)

A86. La comunicación por la entidad de las funciones y responsabilidades y de las cuestiones

significativas relacionadas con la información financiera implica proporcionar conocimiento de las

funciones y responsabilidades individuales del control interno sobre la información financiera.

Comprende cuestiones tales como el grado de conocimiento que tiene el personal sobre el modo

en que sus actividades, en el sistema de información financiera, se relacionan con el trabajo de


otras personas, así como los medios para informar sobre las excepciones a un nivel superior

adecuado dentro de la entidad. La comunicación puede adoptar la forma de manuales de políticas

y de información financiera. La existencia de canales de comunicación abiertos ayuda a asegurar

que se informe sobre las excepciones y se actúe sobre ellas.


A87. En las entidades de pequeña dimensión, la comunicación puede estar menos

estructurada y puede ser más fácil de conseguir debido a la existencia de un menor número de

niveles de responsabilidad y a la mayor cercanía y disponibilidad de la dirección.

Componentes del control interno – Actividades de control (Ref: Apartado 20)

A88. Las actividades de control son las políticas y procedimientos que ayudan a asegurar

que se siguen las directrices de la dirección. Las actividades de control, tanto en los sistemas de TI

como manuales, tienen varios objetivos y se aplican a diferentes niveles organizativos y

funcionales. Ejemplos de actividades de control específicas incluyen las relacionadas con lo

siguiente:

Autorización.

Revisiones de actuación.

Proceso de la información.

Controles físicos.

Segregación de funciones.

A89. Las actividades de control relevantes para la auditoría son:

aquellas que es necesario tratar como tales, al ser actividades de control

relacionadas con riesgos significativos y aquellas que están relacionadas con riesgos

para los cuales aplicar solo procedimientos sustantivos no proporciona evidencia de

auditoría suficiente y adecuada, como requieren los apartados 29 y 30,

respectivamente.

Las que, a juicio del auditor, se consideran relevantes.


A90. El juicio del auditor sobre si una actividad de control es relevante para la auditoría se

ve influenciado por el riesgo, identificado por el auditor, que puede dar lugar a una incorrección

material y por la consideración, por parte del auditor, de que la realización de pruebas sobre la

eficacia operativa del control es probablemente adecuada para determinar la extensión de las

pruebas sustantivas.

A91. El auditor puede poner énfasis en la identificación y la obtención de conocimiento de

las actividades de control que tratan las áreas en las que el auditor considera más probable que

existan riesgos de incorrección material. Cuando múltiples actividades de control alcancen

individualmente el mismo objetivo, no es necesario obtener conocimiento de cada una de las

actividades de control relacionadas con dicho objetivo.

A92. El conocimiento del auditor acerca de la presencia o ausencia de actividades de

control, obtenido de su conocimiento de los demás componentes del control interno, le facilitan la

determinación de si es necesario dedicar atención adicional a la obtención de conocimiento de las

actividades de control.


A93. Los conceptos que subyacen en las actividades de control de las entidades de pequeña

dimensión probablemente sean similares a los de entidades de gran dimensión, pero pueden

diferir en cuanto al grado de formalización con el que funcionan. Además, las entidades de

pequeña dimensión pueden considerar innecesarios determinados tipos de actividades de control

debido a los controles aplicados por la dirección. Por ejemplo, el hecho de que únicamente la

dirección esté autorizada a conceder créditos a clientes o a aprobar compras significativas puede

proporcionar un control fuerte sobre saldos contables y transacciones importantes, reduciendo o

eliminando la necesidad de actividades de control más detalladas.

A94. Las actividades de control relevantes para la auditoría de una entidad de pequeña

dimensión probablemente estarán relacionadas con los ciclos de las principales transacciones tales

como ingresos ordinarios, compras y gastos de personal.


Riesgos derivados de las TI (Ref: Apartado 21)

A95. La utilización de TI afecta al modo en que se implementan las actividades de control.

Desde el punto de vista del auditor, los controles sobre los sistemas de las TI son eficaces cuando

mantienen la integridad de la información y la seguridad de los datos que procesan dichos

sistemas, e incluyen controles generales de las TI y controles de aplicaciones eficaces.

A96. Los controles generales de las TI son políticas y procedimientos vinculados a muchas

aplicaciones y favorecen un funcionamiento eficaz de los controles de las aplicaciones. Son

aplicables en entornos con unidades centrales, redes de trabajo y de usuarios finales. Los

controles generales de las TI que mantienen la integridad de la información y la seguridad de los

datos generalmente incluyen controles sobre lo siguiente:

Centros de datos y operaciones de redes.

Adquisición, reposición y mantenimiento de software de sistemas.

Cambios en los programas.

Seguridad de accesos.

Adquisición, desarrollo y mantenimiento de aplicaciones.

Se implementan por lo general para tratar los riesgos mencionados en el apartado

A56 anterior.

A97. Los controles de aplicaciones son procedimientos manuales o automatizados que

normalmente operan a nivel de procesos del negocio y que se aplican al procesamiento de las

transacciones mediante aplicaciones específicas. Los controles de aplicaciones pueden ser

preventivos o de detección y tienen como finalidad asegurar la integridad de los registros

contables. En consecuencia, los controles de aplicaciones están relacionados con los

procedimientos utilizados para iniciar y procesar transacciones y otros datos financieros, así como

para informar sobre ellos.

Estos controles ayudan a asegurar que las transacciones han ocurrido, están autorizadas y

se han registrado y procesado íntegra y exactamente. Como ejemplos pueden citarse los filtros de

datos de entrada y de secuencias numéricas con un seguimiento manual de los informes de

excepciones o la corrección en el punto de entrada de datos.


Componentes del control interno – Seguimiento de los controles (Ref: Apartado 22)

A98. El seguimiento de los controles es un proceso para valorar la eficacia del

funcionamiento del control interno a lo largo del tiempo. Conlleva la valoración oportuna de la

eficacia de los controles y la adopción de las medidas correctoras necesarias. La dirección lleva a

cabo el seguimiento de los controles mediante actividades continuas, evaluaciones puntuales o

una combinación de ambas. Las actividades de seguimiento continuas a menudo forman parte de

las actividades recurrentes normales de una entidad e incluyen actividades de gestión y

supervisión habituales.

A99. Las actividades de seguimiento por la dirección pueden incluir la utilización de

información procedente de comunicaciones de terceros externos tales como quejas de clientes y

comentarios de las autoridades reguladoras, que pueden ser indicativos de problemas o resaltar

áreas en las que se necesitan mejoras.


A100. El seguimiento del control por la dirección a menudo se consigue estrechando la

participación de la dirección o del propietario-gerente en las operaciones. Dicha participación

identificará, a menudo, las desviaciones significativas con respecto a las expectativas e

inexactitudes en datos financieros, conducentes a medidas correctoras sobre el control.

Comunicación de las Deficiencias del Control Interno a la Dirección de la Entidad:

Norma Internacional de Auditoría (NIA 265)

Deficiencias significativas en el control interno (Ref: Apartado 6(b), 8)

A5. La significatividad de una deficiencia o de un conjunto de deficiencias en el control

interno depende no sólo de si se ha producido realmente alguna incorrección, sino también de la

probabilidad de que se pueda producir y de la posible magnitud de la incorrección. En

consecuencia, pueden existir deficiencias significativas aunque el auditor no haya identificado

incorrecciones durante la realización de la auditoría.


A6. A la hora de determinar si una deficiencia o un conjunto de deficiencias en el control

interno constituye una deficiencia significativa, el auditor puede tener en cuenta cuestiones como

las siguientes:

• La probabilidad de que las deficiencias den lugar en el futuro a incorrecciones materiales

en los estados financieros.

• La exposición del activo o pasivo correspondiente a pérdida o fraude.

La subjetividad y complejidad a la hora de determinar cantidades estimadas, como, por

ejemplo, las estimaciones contables a valor razonable.

• Las cantidades en los estados financieros que podrían estar afectadas por las deficiencias.

• El movimiento que se ha producido o podría producirse en el saldo de las cuentas o los

tipos de transacciones que podrían estar afectados por la deficiencia o deficiencias.

• La importancia de los controles en relación con el proceso de información financiera; por

ejemplo: o Controles generales de seguimiento (como la supervisión de la dirección). o Controles

sobre la prevención y detección del fraude. o Controles sobre la selección y aplicación de políticas

contables significativas. o Controles sobre las transacciones significativas con partes vinculadas. o

Controles sobre las transacciones significativas ajenas al curso normal del negocio de la entidad. o

Controles sobre el proceso de información financiera al cierre del periodo (tales como controles

sobre asientos no recurrentes en el libro diario).

• La causa y frecuencia de las excepciones detectadas como consecuencia de las deficiencias

de los controles.

• La interacción de la deficiencia con otras deficiencias en el control interno.

A7. Son indicadores de deficiencias significativas en el control interno, por ejemplo:

• La evidencia de aspectos ineficaces del entorno de control, tales como: o Indicios de que

los responsables del gobierno de la entidad no están examinando adecuadamente transacciones

significativas en las que la dirección tiene intereses financieros. o o La identificación de fraude de

la dirección, sea o no material, que el control interno de la entidad no evitó. o La falta de

implementación por la dirección de medidas correctoras adecuadas en relación con deficiencias

significativas comunicadas con anterioridad.

• La ausencia de un proceso de valoración del riesgo dentro de la entidad, cuando

normalmente cabría esperar que se hubiera establecido dicho proceso.


• Evidencia de un proceso ineficaz de valoración del riesgo por la entidad, por ejemplo la

falta de identificación por la dirección de un riesgo de incorrección material que el auditor podría

esperar que hubiera sido identificado por el proceso de valoración del riesgo por la entidad.

• Evidencia de una respuesta ineficaz ante riesgos significativos identificados (por ejemplo,

ausencia de controles sobre dichos riesgos).

• Incorrecciones detectadas por los procedimientos del auditor que el control interno de la

entidad no evitó, o bien no detectó ni, por tanto, corrigió.

La reformulación de estados financieros publicados anteriormente con el fin de reflejar la

corrección de una incorrección material debida a error o fraude.

• Evidencia de que la dirección no es capaz de supervisar la preparación de los estados

financieros.

A8. Los controles se pueden diseñar para que funcionen de forma individual o en

combinación con otros con el fin de prevenir, o detectar y corregir, eficazmente las

incorrecciones.5 Por ejemplo, los controles sobre las cuentas a cobrar pueden consistir tanto en

controles automatizados como manuales, diseñados para operar conjuntamente con el fin de

prevenir, o detectar y corregir, incorrecciones en el saldo de la cuenta. Una deficiencia en el

control interno puede no tener suficiente importancia, por sí sola, para constituir una deficiencia

significativa. Sin embargo, un conjunto de deficiencias que afecten al mismo saldo contable o

información a revelar, afirmación relevante o componente del control interno puede aumentar los

riesgos de incorrección hasta el punto de dar lugar a una deficiencia significativa.

A9. Las disposiciones legales o reglamentarias de algunas jurisdicciones pueden requerir

(especialmente en auditorías de entidades cotizadas) que el auditor comunique a los responsables

del gobierno de la entidad o a otras partes relevantes (por ejemplo, las autoridades reguladoras)

uno o más tipos específicos de deficiencias en el control interno que haya identificado durante la

realización de la auditoría. Cuando las disposiciones legales o reglamentarias hayan establecido

términos y definiciones específicos para dichos tipos de deficiencias y requieran que el auditor

utilice dichos términos y definiciones a efectos de la comunicación, el auditor, empleará en ella

dichos términos y definiciones de conformidad con el requerimiento legal o reglamentario.


A10. Cuando la jurisdicción haya establecido términos específicos para la comunicación de

los tipos de deficiencias en el control interno, pero no haya definido dichos términos, es posible

que el auditor necesite aplicar su juicio para determinar las cuestiones que vayan a comunicarse

más allá del requerimiento legal o reglamentario. Al hacerlo, el auditor puede considerar

adecuado tener en cuenta los requerimientos y las orientaciones de esta NIA. Por ejemplo, si el

propósito del requerimiento normativo es llamar la atención de los responsables del gobierno de

la entidad sobre determinadas cuestiones de control interno que deberían conocer, puede ser

adecuado considerar que dichas cuestiones equivalen, en general, a las deficiencias significativas

que esta NIA exige que se comuniquen a los responsables del gobierno de la entidad.

A11. Los requerimientos de esta NIA siguen siendo aplicables con independencia de que las

disposiciones legales o reglamentarias requieran o no la utilización por el auditor de términos o

definiciones específicos.

Comunicación de deficiencias en el control interno

Comunicación de deficiencias significativas en el control interno a los responsables del

gobierno de la entidad (Ref: Apartado 9)

A12. La comunicación por escrito de las deficiencias significativas a los responsables del

gobierno de la entidad refleja la importancia de estas cuestiones y facilita a los responsables del

gobierno de la entidad el cumplimiento de sus responsabilidades de supervisión. La NIA 260

contiene consideraciones pertinentes sobre la comunicación con los responsables del gobierno de

la entidad cuando todos ellos participan en su dirección.6

A13. El auditor, para determinar el momento en que emitirá la comunicación escrita, puede

tener en cuenta si la recepción de dicha comunicación sería un factor importante para permitir a

los responsables del gobierno de la entidad cumplir sus responsabilidades de supervisión. Además,

para las entidades cotizadas de determinadas jurisdicciones, puede ser necesario que los

responsables del gobierno de la entidad reciban la comunicación escrita del auditor antes de la

fecha de aprobación de los estados financieros, con el fin de cumplir responsabilidades específicas

relativas al control interno a efectos normativos o de otro tipo. Para otras entidades, el auditor

puede emitir la comunicación escrita en una fecha posterior. Sin embargo, en este


último caso, como la comunicación escrita del auditor sobre deficiencias significativas forma

parte del archivo final de auditoría, dicha comunicación escrita está sujeta al requerimiento

fundamental7 de que el auditor finalice la compilación del archivo final de auditoría

oportunamente. La NIA 230 establece que un plazo adecuado para completar la compilación del

archivo final de auditoría normalmente no excede de 60 días desde la fecha del informe de

auditoría.

A14. Con independencia de la fecha prevista para la comunicación escrita de las deficiencias

significativas, el auditor puede, en primera instancia, comunicarlas verbalmente a la dirección y,

cuando proceda, a los responsables del gobierno de la entidad, con el fin de facilitarles la adopción

oportuna de medidas correctoras para minimizar los riesgos de incorrección material. Lo anterior,

sin embargo, no exime al auditor de la responsabilidad de comunicar las deficiencias significativas

por escrito, tal como la presente NIA requiere.

A15. El grado de detalle de la comunicación de las deficiencias significativas lo decidirá el

auditor, ejerciendo su juicio profesional, a la luz de las circunstancias que concurran. Entre los

factores que el auditor puede tener en cuenta para determinar el grado de detalle adecuado de la

comunicación están:

• La naturaleza de la entidad. Por ejemplo, el tipo de comunicación que se requiere con

respecto a una entidad de interés público puede ser distinto al que se requiere en el caso de una

entidad que no sea de interés público.

• La dimensión y la complejidad de la entidad. Por ejemplo, la comunicación que se requiere

en el caso de una entidad compleja puede ser diferente a la que se requiere en el caso de una

entidad cuyo negocio es simple.

• La naturaleza de las deficiencias significativas que el auditor ha identificado.

• La composición del gobierno de la entidad. Por ejemplo, puede ser necesario un mayor

grado de detalle si entre los responsables del gobierno de la entidad hay miembros que no tienen

experiencia significativa en el sector en el que opera la entidad o en las áreas afectadas.

• Los requerimientos legales o reglamentarios relativos a la comunicación de tipos

específicos de deficiencias en el control interno.


A16. Puede que la dirección y los responsables del gobierno de la entidad ya conozcan las

deficiencias significativas identificadas por el auditor durante la realización de la auditoría, y hayan

decidido no corregirlas por razones de coste u otras consideraciones. La responsabilidad de

evaluar los costes y los beneficios de la aplicación de medidas correctoras corresponde a la

dirección y a los responsables del gobierno de la entidad. Por consiguiente, el requerimiento del

apartado 9 es aplicable con independencia del coste u otras consideraciones que la dirección y los

responsables del gobierno de la entidad puedan estimar relevantes para determinar si se corrigen

dichas deficiencias.

A17. Aunque el auditor haya comunicado una deficiencia significativa a los responsables del

gobierno de la entidad y a la dirección en una auditoría anterior, continúa siendo necesario que el

auditor repita dicha comunicación si aún no se han adoptado medidas correctoras. Si sigue

existiendo una deficiencia significativa comunicada anteriormente, en la comunicación del

ejercicio en curso se puede repetir la descripción de la comunicación anterior o, simplemente,

hacer referencia a ella. El auditor puede preguntar a la dirección o, cuando proceda, a los

responsables del gobierno de la entidad, el motivo por el que la deficiencia significativa aún no se

ha corregido. El hecho de no actuar, en ausencia de una explicación racional, puede suponer en sí

mismo una deficiencia significativa.


A18. En el caso de auditorías de entidades de pequeña dimensión, el auditor puede

comunicarse con los responsables del gobierno de la entidad de una manera menos formal que en

el caso de entidades de gran dimensión.

Comunicación a la dirección de deficiencias en el control interno (Ref: Apartado 10)

A19. Por lo general, el nivel adecuado de la dirección es el que tiene la responsabilidad y

autoridad necesarias para evaluar las deficiencias en el control interno y adoptar las medidas

correctoras necesarias. En el caso de deficiencias significativas, el nivel adecuado probablemente

sea el presidente ejecutivo o el director financiero (o sus equivalentes), ya que también se

requiere que estas cuestiones se comuniquen a los responsables del gobierno de la entidad. En

cuanto a otras deficiencias en el control interno, el nivel adecuado puede ser la dirección


operativa que participe de forma más directa en las áreas de control afectadas y tenga autoridad

para adoptar las medidas correctoras adecuadas.

Comunicación a la dirección de deficiencias significativas en el control interno (Ref:

Apartado 10(a))

A20. Determinadas deficiencias significativas identificadas en el control interno pueden

poner en duda la integridad o la competencia de la dirección. Por ejemplo, puede haber evidencia

de fraude o de incumplimiento intencionado de las disposiciones legales y reglamentarias por

parte de la dirección, o se puede poner de manifiesto la incapacidad de la dirección para

supervisar la preparación de estados financieros adecuados, lo cual puede poner en duda la

competencia de la dirección. En consecuencia, es posible que no resulte adecuado comunicar

dichas deficiencias directamente a la dirección.

A21. La NIA 250 establece requerimientos y proporciona orientaciones sobre el modo de

informar respecto de los incumplimientos de las disposiciones legales o reglamentarias

identificados o de indicios de su incumplimiento, incluido en el caso de que los propios

responsables del gobierno de la entidad estén implicados en dicho incumplimiento.9 La NIA 240

establece requerimientos y proporciona orientaciones sobre la comunicación a los responsables

del gobierno de la entidad cuando el auditor ha identificado un fraude o indicios de fraude que

impliquen a la dirección.

Comunicación a la dirección de otras deficiencias en el control interno (Ref: Apartado 10(b))

A22. Durante la realización de la auditoría, el auditor puede identificar otras deficiencias en

el control interno que, si bien no son significativas, tienen la importancia suficiente como para

merecer la atención de la dirección. La determinación de estas otras deficiencias en el control

interno que merecen la atención de la dirección se hará ejerciendo el juicio profesional, a la luz de

las circunstancias, teniendo en cuenta la probabilidad y la posible magnitud de las incorrecciones

que puedan afectar a los estados financieros como consecuencia de dichas deficiencias.

A23. La comunicación de estas otras deficiencias en el control interno que merezcan la

atención de la dirección no ha de realizarse necesariamente por escrito, sino que puede ser verbal.

En los casos en los que el auditor haya discutido los hechos y las circunstancias relativas a sus


hallazgos con la dirección, puede considerar que la comunicación verbal de dichas otras

deficiencias a la dirección se ha realizado en el transcurso de tales discusiones. Por consiguiente,

no es necesario realizar una comunicación formal posterior.

A24. Si, en un periodo anterior, el auditor ha comunicado a la dirección deficiencias en el

control interno que no sean significativas, y la dirección ha decidido no corregirlas por razones de

coste o de otro tipo, no es necesario que el auditor repita la comunicación en el periodo actual.

Tampoco se requiere que el auditor repita la información sobre dichas deficiencias si

anteriormente ya han sido comunicadas a la dirección por otras partes, por ejemplo, por la función

de auditoría interna o por las autoridades reguladoras. No obstante, puede ser adecuado que el

auditor vuelva a comunicar esas otras deficiencias si ha habido un cambio en la dirección, o en el

caso de que el auditor haya obtenido nueva información que modifique el conocimiento que el

auditor o la dirección tenían anteriormente con respecto a dichas deficiencias. No obstante, el

hecho de que la dirección no corrija esas otras deficiencias en el control interno que le fueron

comunicadas con anterioridad puede convertirse en una deficiencia significativa que requiera ser

comunicada a los responsables del gobierno de la entidad. La determinación de si éste es el caso la

hará el auditor ejerciendo su juicio a la luz de las circunstancias.

A25. En algunas circunstancias, los responsables del gobierno de la entidad pueden desear

ser informados de los detalles de las otras deficiencias en el control interno que el auditor haya

comunicado a la dirección, o que se les informe brevemente de la naturaleza de dichas otras

deficiencias. El auditor, por su parte, puede considerar adecuado informar a los responsables del

gobierno de la entidad de que ha comunicado estas otras deficiencias a la dirección. En cualquiera

de los dos casos, el auditor puede informar verbalmente o por escrito a los responsables del

gobierno de la entidad, según proceda.

Contenido de la comunicación escrita de deficiencias significativas en el control interno (Ref:

Apartado 11)

A28. Para explicar los posibles efectos de las deficiencias significativas, no es necesario que

el auditor cuantifique dichos efectos. Las deficiencias significativas pueden agruparse a efectos de

presentación de la información cuando resulte oportuno hacerlo. El auditor también puede incluir

en la comunicación escrita sugerencias sobre las medidas correctoras de las deficiencias, las


respuestas decididas o propuestas por la dirección, así como una declaración relativa a si el

auditor ha dado algún paso para verificar si se han implementado las respuestas de la dirección.

A29. El auditor puede considerar adecuado incluir la siguiente información como contexto

adicional de la comunicación:

• Una indicación de que, si el auditor hubiera realizado procedimientos más extensos con

respecto al control interno, el auditor podría haber identificado más deficiencias sobre las que

informar o podría haber concluido que en realidad no era necesario informar sobre algunas de las

deficiencias comunicadas.

• Una indicación de que tal comunicación se proporciona para los fines de los responsables

del gobierno de la entidad, y que puede no ser adecuada para otros fines.

A30. Las disposiciones legales o reglamentarias pueden requerir que el auditor o la

dirección proporcionen una copia de la comunicación escrita del auditor sobre deficiencias

significativas a las autoridades reguladoras correspondientes. Cuando éste sea el caso, en la

comunicación escrita del auditor puede incluirse la identidad de dichas autoridades reguladoras.

A26. La NIA 260 contiene consideraciones relevantes con respecto a la comunicación con los

responsables del gobierno de la entidad cuando todos ellos participan en la dirección de la

entidad.

CONTROL INTERNO Definición · El control interno en cualquier organización, reviste mucha...

Documents

Transcript of CONTROL INTERNO Definición · El control interno en cualquier organización, reviste mucha...