Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 1
CONTROL INTERNO
Definición
Es un proceso efectuado por la dirección, gerencia, y otro personal calificado, diseñado para
proporcionar un aseguramiento razonable respecto al logro de los objetivos relacionados con las
operaciones, los informes y el cumplimiento de:
en las categorías de:
1) Orientación al logro de los objetivos
2) Actividades y tareas continuas
3) Efectuado por personas
4) Eficacia y eficiencia de las operaciones.
5) Confiabilidad de los informes financieros.
6) Cumplimiento de las leyes y regulaciones aplicables.
Importancia
El control interno en cualquier organización, reviste mucha importancia, tanto en la
conducción de la organización, como en el control e información de la operaciones, puesto que
permite el manejo adecuado de los bienes, funciones e información de una empresa determinada,
con el fin de generar una indicación confiable de su situación y sus operaciones en el mercado;
ayuda a que los recursos (humanos, materiales y financieros) disponibles, sean utilizados en forma
eficiente, bajo criterios técnicos que permitan asegurar su integridad, su custodia y registro
oportuno, en los sistemas respectivos.
Competencia profesional
Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les
permita comprender la importancia del desarrollo, implantación y mantenimiento de controles
internos apropiados. Tanto directivos como empleados deben:
• Contar con un nivel de competencia profesional ajustado a sus responsabilidades.
• Comprender suficientemente la importancia, objetivos y procedimientos del control
interno.
La Dirección debe especificar el nivel de competencia requerido para las distintas tareas y
traducirlo en requerimientos de conocimientos y habilidades.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 2
Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de
preparación y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el
personal debe recibir la orientación, capacitación y adiestramiento necesarios en forma práctica y
metódica. El Sistema de Control Interno operará más eficazmente en la medida que exista
personal competente que comprenda los principios del mismo.
Tipos de Control Interno
Tomando en cuenta las áreas de funcionamientos, aunque no existe una separación radical
de los controles internos, porque como se dijo antes, el control interno es un todo integrado, y
más bien desde un punto de vista didáctico, se ha establecido la siguiente clasificación:
A) Control Interno Administrativo
Son los mecanismos, procedimientos y registros que conciernen a los procesos de decisión
que llevan a la autorización de transacciones o actividades por la administración, de manera que
fomenta la eficiencia de las operaciones, la observancia de la política prescrita y el cumplimiento
de los objetivos y metas programados.
Este tipo de control sienta las bases para evaluar el grado de efectividad, eficiencia y
economía de los procesos de decisión.
B) Control interno Financiero
Son los mecanismos, procedimientos y registros que conciernen a la salvaguarda de los
recursos y la verificación de la exactitud, veracidad y confiabilidad de los registros contables, y de
los estados e informes financieros que se produzcan, sobre los activos, pasivos, patrimonio y
demás derechos y obligaciones de la organización.
Este tipo de control sienta las bases para evaluar el grado de efectividad, eficiencia y
economía con que se han manejado y utilizado los recursos financieros a través de los
presupuestos respectivos.
C) Control interno previo
Son los procedimientos que se aplican antes de la ejecución de las operaciones o de que sus
actos causen efectos; verifica el cumplimiento de las normas que lo regulan y los hechos que las
respaldan, y asegura su conveniencia y oportunidad en función de los fines y programas de la
organización.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 3
D) Control interno concomitante
Son los procedimientos que permiten verificar y evaluar las acciones en el mismo momento
de su ejecución, lo cual está relacionado básicamente con el control de calidad.
E) Control interno Posterior
Es el examen posterior de las operaciones financieras y administrativas y se practica por
medio de la Auditoría Gubernamental; por su aplicación se clasifica en:
E.1) Control Posterior Interno es el examen posterior de las operaciones financieras y
administrativas y se practica por medio de la Auditoría Interna de cada organización.
E.2) Control posterior externo es el examen posterior de las operaciones financieras y
administrativas y es responsabilidad exclusiva del Organismo Superior de Control, a través de la
Auditoría Gubernamental.
Documentación del Control Interno
El control interno se encuentra en todos los niveles, en todas las acciones y funciones, por lo
tanto, debe estar respaldado por toda la legislación, sistemas, documentación de soporte,
información y demás criterios utilizados en las operaciones, creando los archivos que las
necesidades ameriten, de acuerdo a la tecnología existente.
A nivel Interno: deben existir los manuales de normas y procedimientos, manual de cargos y
funciones y otros reglamentos que se ameriten.
A nivel externo: deben cumplir con las normas externas (DNA), manuales de auditoria, las
leyes y reglamentos vigentes aplicables a la entidad.
Sistema de Control Interno
El sistema de control interno es el conjunto de todos los elementos en donde lo principal
son las personas, los sistemas de información, la supervisión y los procedimientos. Este es de vital
importancia, ya que promueve la eficiencia, asegura la efectividad, previene que se violen las
normas y los principios contables de general aceptación. Los directivos de las organizaciones
deben crear un ambiente de control, un conjunto de procedimientos de control directo y las
limitaciones del control interno.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 4
El COSO (Comité de Organizaciones Patrocinantes de la Comisión Treadway) (Committee
of Sponsoring Organizations of the Treadway Commission)
En 1985 se formó la comisión nacional para emisión de informes fraudulentos, para
identificar la causa de la proliferación de los mismos. En 1987, dicha comisión solicitó realizar un
estudio para desarrollar una definición común del control interno marco conceptual.
En 1992 se publica el informe del Marco Conceptual Integrado de Control Interno (Estudio
COSO I). Para el 2013 se publicó el Marco Integrado de Control Interno COSO 2013, con la
participación de más de 700 interesados.
Definición:
El informe como tal es un medio para alcanzar un fin y no un fin por si. No es un evento o
circunstancia sino una serie de acciones que permean las actividades de una organización. Es una
cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los
demás procesos básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 5
Componentes del COSO:
De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados
entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en
el proceso de dirección. Los componentes serán los mismos para todas las organizaciones
(públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos.
Los componentes son los siguientes:
1.-Ambiente de Control.
2.-Evaluación de Riesgos.
3.-Actividades de Control.
4.-Información y Comunicación.
5.-Supervisión y Monitoreo.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 6
Ambiente de Control
El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando
disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será
fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno.
Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus
funcionarios.
Evaluación de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados.
Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos
niveles, los cuales deberán estar vinculados entre sí.
La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes
para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados.
A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de
mecanismos para identificar y afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente
definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran
oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y,
que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.
Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores
Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación
de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal
utilizadas.
Actividades de Control
Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y
mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el
proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos
por ella.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 7
Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las
etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado
en el punto anterior.
En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron
establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas
son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.
Información y Comunicación
Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que
permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una
comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los
ámbitos de la Unidad, de forma descendente como ascendente.
La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario
dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender
cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están
relacionadas con el trabajo del resto.
Supervisión y Monitoreo
Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un
proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra
mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de
ambas.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 8
Evaluación del control interno
Consiste en la revisión y análisis de todos los procedimientos que han sido incorporados al
ambiente y estructura del control interno, así como a los sistemas que mantiene la organización
para el control e información de las operaciones y sus resultados, con el fin de determinar si éstos
concuerdan con los objetivos institucionales, para el uso y control de los recursos, así como la
determinación de la consistencia del rol que juega en el sector que se desarrolla.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 9
Evaluar un sistema de Control Interno, es hacer una operación objetiva del mismo. Esta
evaluación se hace a través de la interpretación de los resultados de algunas pruebas efectuadas,
las cuales tienen por finalidad establecer si se están realizando correctamente y aplicando los
métodos, políticas y procedimientos establecidos por la dirección de la empresa para salvaguardar
sus activos y para hacer eficientes sus operaciones.
La evaluación que se haga del Control Interno, es de primordial importancia pues por su
medio se conocerá si las políticas implantadas se están cumpliendo a cabalidad y si en general se
están desarrollando correctamente. Dependiendo de la evaluación que se tenga, así será el
alcance y el tipo de pruebas sustantivas que se practiquen en el examen de los estados
financieros.
La evaluación del Control Interno puede efectuarse por los siguientes métodos:
1.- Método Descriptivo: Consiste en hacer una descripción por escrito de las características
del control de actividades y operaciones que se realizan y relacionan a departamentos, personas,
operaciones, registros contables y la información financiera. El método narrativo, es ideal para
aplicarlo a pequeñas entidades.
2.- Método de Cuestionario: en este procedimiento se elaboran previamente una serie de
preguntas en forma técnica y por áreas de operaciones. Estas preguntas deben ser redactadas en
una forma clara y sencilla para que sean comprensibles por las personas a quienes se les solicitará
que las respondan. Una respuesta negativa advierte debilidades en el control interno.
3.- Diagrama de Flujo: el diagrama de flujo de sistemas es un diagrama, una representación
simbólica de un sistema o serie de procedimientos en que éstos se muestran en secuencia, al
lector le da una imagen clara del sistema: muestra la naturaleza y la secuencia de los
procedimientos, la división de responsabilidades, las fuentes y distribución de documentos, los
tipos y ubicación de los registros y archivos contables. Tiene como base la esquematización de las
operaciones, mediante el empleo de dibujos (flecha, cuadros, figuras geométricas, etc.); en dichos
dibujos se representan departamentos, formas y archivos, por medio de ellos se indican y explican
el desarrollo de las operaciones. Este método se utiliza en la actualidad a través de computadoras
NIAS Aplicables en Auditoría con Relación al Control Interno:
Manual de Pronunciamientos Internacionales de Control de Calidad, Auditoría, Revisión,
Otros Encargos de Aseguramiento, y Servicios Relacionados. Edición 2013 Parte I
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 10
Evaluación del Control Interno a Través de la:
Norma Internacional de Auditoría (NIA 315)
Identificación y Valoración de los Riesgos de Incorrección Material Mediante el
Conocimiento de la Entidad y de su Entorno.
El control interno de la entidad
12. El auditor obtendrá conocimiento del control interno relevante para la auditoría. Si bien
es probable que la mayoría de los controles relevantes para la auditoría estén relacionados con la
información financiera, no todos los controles relativos a la información financiera son relevantes
para la auditoría. El hecho de que un control, considerado individualmente o en combinación con
otros, sea o no relevante para la auditoría es una cuestión de juicio profesional del auditor. (Ref:
Apartados A42-A65).
Naturaleza y extensión del conocimiento de los controles relevantes
13. Al obtener conocimiento de los controles relevantes para la auditoría, el auditor
evaluará el diseño de dichos controles y determinará si se han implementado, mediante la
aplicación de procedimientos adicionales a la indagación realizada entre el personal de la entidad.
(Ref: Apartados A66-A68).
Componentes del control interno
Entorno de control
14. El auditor obtendrá conocimiento del entorno de control. Como parte de este
conocimiento, el auditor evaluará si:
(a) la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha
establecido y mantenido una cultura de honestidad y de comportamiento ético; y si
(b) los puntos fuertes de los elementos del entorno de control proporcionan colectivamente
una base adecuada para los demás componentes del control interno y si estos otros componentes
no están menoscabados como consecuencia de deficiencias en el entorno de control. (Ref:
Apartados A69-A78.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 11
El control interno de la entidad (Ref: Apartado 12)
A42. El conocimiento del control interno facilita al auditor la identificación de tipos de
incorrecciones potenciales y de factores que afectan a los riesgos de incorrección material, así
como el diseño de la naturaleza, momento de realización y extensión de los procedimientos de
auditoría posteriores.
A43. La guía de aplicación siguiente relativa al control interno se divide en cuatro secciones:
1.- Naturaleza general y características del control interno.
2.-Controles relevantes para la auditoría.
3.-Naturaleza y extensión del conocimiento de los controles relevantes.
4.-Componentes del control interno.
Naturaleza general y características del control interno
Finalidad del control interno
A44. El control interno se diseña, implementa y mantiene con el fin de responder a los
riesgos de negocio identificados que amenazan la consecución de cualquiera de los objetivos de la
entidad referidos a:
la fiabilidad de la información financiera de la entidad;
la eficacia y eficiencia de sus operaciones; y
el cumplimiento de las disposiciones legales y reglamentarias aplicables.
La manera en que se diseña, implementa y mantiene el control interno varía según la
dimensión y la complejidad de la entidad.
Consideraciones específicas para entidades de pequeña dimensión
A45. Es posible que las entidades de pequeña dimensión utilicen medios menos
estructurados, así como procesos y procedimientos más sencillos para alcanzar sus objetivos.
Limitaciones del control interno
A46. El control interno, por muy eficaz que sea, sólo puede proporcionar a la entidad una
seguridad razonable del cumplimiento de sus objetivos de información financiera. La probabilidad
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 12
de que se cumplan se ve afectada por las limitaciones inherentes al control interno. Estas incluyen
el hecho de que los juicios humanos a la hora de tomar decisiones pueden ser erróneos y de que el
control interno puede dejar de funcionar debido al error humano. Por ejemplo, puede haber un
error en el diseño o el cambio de un control interno. Del mismo modo, el funcionamiento de un
control puede no ser eficaz, como sucede en el caso de que la información producida para los fines
del control interno (por ejemplo, un informe de excepciones) no se utilice de manera eficaz
porque la persona responsable de la revisión de la información no comprenda su finalidad o no
adopte las medidas adecuadas.
A47. Además, se pueden sortear los controles por colusión entre dos o más personas o por
la inadecuada elusión del control interno por la dirección. Por ejemplo, la dirección puede suscribir
acuerdos paralelos con clientes que alteren los términos y condiciones de los contratos de venta
estándar de la entidad, lo que puede dar lugar a un reconocimiento de ingresos incorrecto.
Asimismo, se pueden eludir o invalidar filtros de un programa informático diseñados para
identificar e informar sobre transacciones que superen determinados límites de crédito.
A48. Por otro lado, en el diseño e implementación de los controles, la dirección puede
realizar juicios sobre la naturaleza y extensión de los controles que decide implementar y sobre la
naturaleza y extensión de los riesgos que decide asumir.
Consideraciones específicas para entidades de pequeña dimensión
A49. Las entidades de pequeña dimensión suelen tener menos empleados, lo que puede
limitar en la práctica la posibilidad de segregación de funciones. Sin embargo, en una entidad
pequeña dirigida por el propietario, es posible que el propietario-gerente sea capaz de ejercer una
supervisión más eficaz que en una entidad de gran dimensión. Dicha supervisión puede compensar
la menor capacidad de establecer una segregación de funciones.
A50. Por otro lado, el propietario-gerente puede tener más posibilidades de eludir los
controles porque el sistema de control interno está menos estructurado. El auditor tiene en
cuenta lo anterior en la identificación de los riesgos de incorrección material debida a fraude.
División del control interno en componentes
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 13
A51. La división del control interno en los cinco componentes siguientes, a efectos de las
NIA, proporciona un marco útil para que los auditores consideren el modo en que distintos
aspectos del control interno de una entidad pueden afectar a la auditoría.
(a) el entorno de control;
(b) el proceso de valoración del riesgo por la entidad;
(c) el sistema de información, incluidos los procesos de negocio relacionados, relevantes
para la información financiera, y la comunicación;
(d) actividades de control; y
(e) seguimiento de los controles
Esta división no refleja necesariamente el modo en que una entidad diseña, implementa y
mantiene el control interno, o el modo en que puede clasificar un determinado componente. Los
auditores pueden utilizar una terminología o marcos distintos de los que se utilizan en la presente
NIA para describir los diversos aspectos del control interno y su efecto en la auditoría, siempre que
se traten todos los componentes descritos en esta NIA.
A52. En los apartados A69-A104 se recoge la guía de aplicación relativa a los cinco
componentes del control interno y su relación con la auditoría de estados financieros. En el anexo
1 se proporciona una explicación adicional de dichos componentes del control interno.
Características de los elementos manuales y automatizados del control interno relevantes
para la valoración del riesgo por el auditor
A53. El sistema de control interno de una entidad comprende elementos manuales y, a
menudo, elementos automatizados. Las características de los elementos manuales o
automatizados son relevantes para la valoración del riesgo por el auditor y para los
procedimientos de auditoría posteriores basados en dicha valoración.
A54. La utilización de elementos manuales o automatizados en el control interno también
afecta al modo en que se inician, registran y procesan las transacciones y se informa sobre ellas:
1.- Los controles en un sistema manual pueden comprender procedimientos tales como
aprobaciones y revisiones de transacciones, así como conciliaciones y seguimiento de las partidas
en conciliación. De forma alternativa, es posible que la entidad emplee procedimientos
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 14
automatizados para iniciar, registrar y procesar transacciones e informar sobre ellas, en cuyo caso
los documentos en papel se sustituyen por registros en formato electrónico.
2.- Los controles en los sistemas de TI consisten en una combinación de controles
automatizados (por ejemplo, controles integrados en programas informáticos) y de controles
manuales. Además, los controles manuales pueden ser independientes de las TI, pueden utilizar
información producida por las TI, o pueden limitarse al seguimiento del funcionamiento efectivo
de las TI y de los controles automatizados, así como al tratamiento de las excepciones. Cuando se
utilizan las TI para iniciar, registrar, procesar o notificar transacciones u otros datos financieros,
para su inclusión en los estados financieros, los sistemas y programas pueden incluir controles
relacionados con las correspondientes afirmaciones en el caso de cuentas materiales o pueden ser
decisivos para un funcionamiento eficaz de los controles manuales que dependen de las TI. La
combinación por la entidad de elementos manuales y automatizados en su control interno varía
según la naturaleza y complejidad de la utilización de las TI por la entidad.
A55. Por lo general, las TI son beneficiosas para el control interno de la entidad, al
permitirle:
1.-aplicar de manera congruente las normas de actuación predefinidas y realizar cálculos
complejos en el procesamiento de grandes volúmenes de transacciones o de datos;
2.- mejorar la oportunidad, disponibilidad y exactitud de la información;
3.- facilitar un análisis adicional de la información;
4.- mejorar la capacidad para hacer un seguimiento del resultado de las actividades de la
entidad y de sus políticas y procedimientos;
5.- reducir el riesgo de que los controles se sorteen; y
6.- mejorar la capacidad de lograr una segregación de funciones efectiva mediante la
implementación de controles de seguridad en las aplicaciones, bases de datos y sistemas
operativos;
A56. Las TI también originan riesgos específicos para el control interno de la entidad,
incluidos, por ejemplo: La confianza en sistemas o programas que procesan datos de manera
inexacta, que procesan datos inexactos, o ambos. Accesos no autorizados a los datos que pueden
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 15
tener como resultado la destrucción de datos o cambios indebidos de ellos, incluido el registro de
transacciones no autorizadas o inexistentes, o un registro inexacto de las transacciones.
Pueden producirse riesgos específicos cuando múltiples usuarios acceden a una misma base
de datos.
1.- La posibilidad de que el personal del departamento de TI obtenga permisos de acceso
más allá de los necesarios para realizar sus tareas, dejando así de funcionar la segregación de
funciones.
2.- Cambios no autorizados en los datos de los archivos maestros.
3.- Cambios no autorizados en los sistemas o programas.
4.- No realizar cambios necesarios en los sistemas o programas.
5.- Intervención manual inadecuada.
6.- Pérdida potencial de datos o incapacidad de acceder a los datos del modo requerido.
A57. Los elementos manuales en el control interno pueden ser más adecuados cuando se
requiera hacer uso de juicio y de discrecionalidad, como, por ejemplo, en las siguientes
circunstancias:
1.- Transacciones importantes, inusuales o no recurrentes.
2.- Circunstancias en las que los errores son difíciles de definir, anticipar o predecir.
3.- En circunstancias cambiantes que requieren una respuesta de control que está fuera
delalcance de un control automatizado existente.
4.- Al realizar el seguimiento de la eficacia de los controles automatizados.
A58. Los elementos manuales en el control interno pueden resultar menos fiables que los
elementos automatizados debido a que pueden ser más fácilmente evitados, ignorados o eludidos
y también a que están más expuestos a simples errores y equivocaciones. En consecuencia, no
puede asumirse que un elemento del control manual será aplicado de manera congruente. Los
controles manuales pueden resultar menos adecuados en las siguientes circunstancias:
1.- Un número elevado de transacciones o transacciones recurrentes, o bien en situaciones
en las que los errores que se puedan anticipar o predecir pueden prevenirse, o detectarse y
corregirse, mediante parámetros de control automatizados.
2.-Actividades de control en las que los modos específicos de realizar el control pueden
diseñarse y automatizarse adecuadamente.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 16
A59. La extensión y la naturaleza de los riesgos para el control interno varían según la
naturaleza y las características del sistema de información de la entidad. La entidad responde a los
riesgos que surgen de la utilización de las TI o de la utilización de elementos manuales en el
control interno mediante el establecimiento de controles eficaces teniendo en cuenta las
características del sistema de información de la entidad.
Controles relevantes para la auditoría.
A60. Existe una relación directa entre los objetivos de una entidad y los controles que
implementa para proporcionar una seguridad razonable sobre su cumplimiento. Los objetivos de
la entidad, y por lo tanto los controles, están relacionados con la información financiera, las
operaciones y el cumplimiento de la normativa; sin embargo, no todos estos objetivos y controles
son relevantes para la valoración del riesgo por el auditor.
A61. Los factores relevantes para el auditor al enjuiciar si un control, de manera individual o
en combinación con otros, es relevante para la auditoría pueden incluir cuestiones como las
siguientes:
1.- Importancia relativa.
2.- La significatividad del riesgo relacionado.
3.- La dimensión de la entidad.
4.- La naturaleza de los negocios de la entidad, así como su organización y las características
de su propiedad.
5.- La diversidad y la complejidad de las operaciones de la entidad.
6.- Los requerimientos normativos aplicables.
7.- Las circunstancias y el correspondiente componente de control interno.
8.- La naturaleza y complejidad de los sistemas que forman parte del control interno de la
entidad, incluida la utilización de una organización de servicios.
9.- Si un determinado control, de manera individual o en combinación con otros, previene o
detecta y corrige una incorrección material, y el modo en que lo hace.
A62. Los controles sobre la integridad y exactitud de la información generada por la entidad
pueden ser relevantes para la auditoría si el auditor tiene previsto utilizar dicha información en el
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 17
diseño y aplicación de procedimientos de auditoría posteriores. Los controles relativos a los
objetivos operativos y de cumplimiento también pueden ser relevantes para la auditoría si están
relacionados con datos que el auditor evalúa o utiliza en la aplicación de procedimientos de
auditoría.
A63. El control interno sobre la salvaguarda de los activos contra la adquisición, utilización o
venta no autorizadas puede incluir controles relacionados tanto con la información financiera
como con los objetivos operativos. La consideración de dichos controles por el auditor se limita,
por lo general, a aquéllos que son relevantes para la fiabilidad de la información financiera.
A64. Por lo general, una entidad dispone de controles relacionados con objetivos que no son
relevantes para la auditoría y que, en consecuencia, no es necesario considerar. Por ejemplo, una
entidad puede contar con un sofisticado sistema de controles automatizados para garantizar un
funcionamiento eficiente y eficaz (como, por ejemplo, el sistema de controles automatizados de
una aerolínea para el mantenimiento de horarios de vuelos), pero normalmente dichos controles
no serían relevantes para la auditoría. Además, aunque el control interno se aplique a toda la
entidad o a cualquiera de sus unidades operativas o procesos de negocio, el conocimiento del
control interno relativo a cada una de las unidades operativas y procesos de negocio de la entidad
puede no ser relevante para la auditoría.
Componentes del control interno – El sistema de información, incluidos los procesos de
negocio relacionados, relevante para la preparación de la información financiera, y la
comunicación.
El sistema de información, incluidos los procesos de negocio relacionados, relevante para la
información financiera y la comunicación (Ref: Apartado 18).
A81. El sistema de información financiera relevante para los objetivos de la información
financiera, que incluye el sistema contable, comprende los procedimientos y registros diseñados y
establecidos para:
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 18
1.- iniciar, registrar y procesar las transacciones de la entidad (así como los hechos y
condiciones) e informar sobre ellas, así como para rendir cuentas sobre los activos, pasivos y
patrimonio neto correspondientes.
2.- resolver el procesamiento incorrecto de transacciones, por ejemplo, ficheros de espera
automatizados y procedimientos aplicados para reclasificar oportunamente las partidas
pendientes de aplicación.
3.- procesar y dar cuenta de elusiones del sistema o evitación de los controles.
4.- transferir información desde los sistemas de procesamiento de las transacciones al libro
mayor.
5.- capturar información relevante para la información financiera sobre los hechos y las
condiciones distintos de las transacciones, tales como la depreciación y la amortización de
activos, así como los cambios en la recuperabilidad de las cuentas a cobrar;
6.- y asegurar que se recoge, registra, procesa, resume e incluye adecuadamente en los
estados financieros la información que el marco de información financiera aplicable requiere que
se revele.
Asientos en el libro diario
A82. Habitualmente, el sistema de información de la entidad implica la utilización de
asientos estándar en el libro diario requeridos de manera recurrente para registrar las
transacciones. Los ejemplos pueden ser los asientos en el libro diario para registrar ventas,
compras y pagos en el libro mayor, o para registrar estimaciones contables realizadas
periódicamente por la dirección, tales como cambios en la estimación de las cuentas incobrables.
A83. El proceso de información financiera de la entidad también implica la utilización de
asientos no estándar en el libro diario para el registro de transacciones no recurrentes, inusuales o
de ajustes. Ejemplos de dichas anotaciones incluyen los ajustes de consolidación y los asientos de
una combinación de negocios o de la venta de un negocio o de estimaciones no recurrentes, como
el deterioro del valor de un activo. En los sistemas de libros mayores manuales, los asientos no
estándar en el libro diario pueden ser identificados mediante la inspección de los libros, diarios y
documentación de soporte. Cuando se utilizan procesos automatizados para la llevanza de los
libros y la preparación de los estados financieros, es posible que dichas anotaciones existan sólo
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 19
en formato electrónico y puedan ser por tanto más fácilmente identificadas mediante el uso de
técnicas de auditoría asistidas por ordenador. Procesos de negocio relacionados.
A84. Los procesos de negocio de una entidad son las actividades diseñadas para:
1.- el desarrollo, la adquisición, la producción, la venta y la distribución de los productos y
servicios de una entidad.
2.- asegurar el cumplimiento de las disposiciones legales y reglamentarias.
3.- registrar la información, incluida la información contable y financiera.
Los procesos de negocio tienen como resultado transacciones registradas, procesadas y
notificadas mediante el sistema de información. La obtención de conocimiento de los procesos de
negocio de la entidad, que incluyen el modo en que se originan las transacciones, facilita al auditor
la obtención de conocimiento del sistema de información de la entidad relevante para la
preparación de información financiera de un modo adecuado a las circunstancias de la entidad.
Consideraciones específicas para entidades de pequeña dimensión
A85. Es probable que en las entidades de pequeña dimensión, los sistemas de información y
procesos de negocio relacionados relevantes para la información financiera sean menos
sofisticados que en las entidades de mayor dimensión, pero su papel es igualmente significativo.
Las entidades de pequeña dimensión que cuenten con una participación activa de la dirección
puede que no necesiten descripciones detalladas de procedimientos contables, registros contables
sofisticados o políticas escritas. El conocimiento de los sistemas y procesos de la entidad puede
por lo tanto ser más fácil en la auditoría de una entidad de pequeña dimensión, y puede basarse
más en la indagación que en la revisión de documentación. Sin embargo, la necesidad de obtener
conocimiento sigue siendo importante.
Comunicación (Ref: Apartado 19)
A86. La comunicación por la entidad de las funciones y responsabilidades y de las cuestiones
significativas relacionadas con la información financiera implica proporcionar conocimiento de las
funciones y responsabilidades individuales del control interno sobre la información financiera.
Comprende cuestiones tales como el grado de conocimiento que tiene el personal sobre el modo
en que sus actividades, en el sistema de información financiera, se relacionan con el trabajo de
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 20
otras personas, así como los medios para informar sobre las excepciones a un nivel superior
adecuado dentro de la entidad. La comunicación puede adoptar la forma de manuales de políticas
y de información financiera. La existencia de canales de comunicación abiertos ayuda a asegurar
que se informe sobre las excepciones y se actúe sobre ellas.
Consideraciones específicas para entidades de pequeña dimensión
A87. En las entidades de pequeña dimensión, la comunicación puede estar menos
estructurada y puede ser más fácil de conseguir debido a la existencia de un menor número de
niveles de responsabilidad y a la mayor cercanía y disponibilidad de la dirección.
Componentes del control interno – Actividades de control (Ref: Apartado 20)
A88. Las actividades de control son las políticas y procedimientos que ayudan a asegurar
que se siguen las directrices de la dirección. Las actividades de control, tanto en los sistemas de TI
como manuales, tienen varios objetivos y se aplican a diferentes niveles organizativos y
funcionales. Ejemplos de actividades de control específicas incluyen las relacionadas con lo
siguiente:
Autorización.
Revisiones de actuación.
Proceso de la información.
Controles físicos.
Segregación de funciones.
A89. Las actividades de control relevantes para la auditoría son:
aquellas que es necesario tratar como tales, al ser actividades de control
relacionadas con riesgos significativos y aquellas que están relacionadas con riesgos
para los cuales aplicar solo procedimientos sustantivos no proporciona evidencia de
auditoría suficiente y adecuada, como requieren los apartados 29 y 30,
respectivamente.
Las que, a juicio del auditor, se consideran relevantes.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 21
A90. El juicio del auditor sobre si una actividad de control es relevante para la auditoría se
ve influenciado por el riesgo, identificado por el auditor, que puede dar lugar a una incorrección
material y por la consideración, por parte del auditor, de que la realización de pruebas sobre la
eficacia operativa del control es probablemente adecuada para determinar la extensión de las
pruebas sustantivas.
A91. El auditor puede poner énfasis en la identificación y la obtención de conocimiento de
las actividades de control que tratan las áreas en las que el auditor considera más probable que
existan riesgos de incorrección material. Cuando múltiples actividades de control alcancen
individualmente el mismo objetivo, no es necesario obtener conocimiento de cada una de las
actividades de control relacionadas con dicho objetivo.
A92. El conocimiento del auditor acerca de la presencia o ausencia de actividades de
control, obtenido de su conocimiento de los demás componentes del control interno, le facilitan la
determinación de si es necesario dedicar atención adicional a la obtención de conocimiento de las
actividades de control.
Consideraciones específicas para entidades de pequeña dimensión
A93. Los conceptos que subyacen en las actividades de control de las entidades de pequeña
dimensión probablemente sean similares a los de entidades de gran dimensión, pero pueden
diferir en cuanto al grado de formalización con el que funcionan. Además, las entidades de
pequeña dimensión pueden considerar innecesarios determinados tipos de actividades de control
debido a los controles aplicados por la dirección. Por ejemplo, el hecho de que únicamente la
dirección esté autorizada a conceder créditos a clientes o a aprobar compras significativas puede
proporcionar un control fuerte sobre saldos contables y transacciones importantes, reduciendo o
eliminando la necesidad de actividades de control más detalladas.
A94. Las actividades de control relevantes para la auditoría de una entidad de pequeña
dimensión probablemente estarán relacionadas con los ciclos de las principales transacciones tales
como ingresos ordinarios, compras y gastos de personal.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 22
Riesgos derivados de las TI (Ref: Apartado 21)
A95. La utilización de TI afecta al modo en que se implementan las actividades de control.
Desde el punto de vista del auditor, los controles sobre los sistemas de las TI son eficaces cuando
mantienen la integridad de la información y la seguridad de los datos que procesan dichos
sistemas, e incluyen controles generales de las TI y controles de aplicaciones eficaces.
A96. Los controles generales de las TI son políticas y procedimientos vinculados a muchas
aplicaciones y favorecen un funcionamiento eficaz de los controles de las aplicaciones. Son
aplicables en entornos con unidades centrales, redes de trabajo y de usuarios finales. Los
controles generales de las TI que mantienen la integridad de la información y la seguridad de los
datos generalmente incluyen controles sobre lo siguiente:
Centros de datos y operaciones de redes.
Adquisición, reposición y mantenimiento de software de sistemas.
Cambios en los programas.
Seguridad de accesos.
Adquisición, desarrollo y mantenimiento de aplicaciones.
Se implementan por lo general para tratar los riesgos mencionados en el apartado
A56 anterior.
A97. Los controles de aplicaciones son procedimientos manuales o automatizados que
normalmente operan a nivel de procesos del negocio y que se aplican al procesamiento de las
transacciones mediante aplicaciones específicas. Los controles de aplicaciones pueden ser
preventivos o de detección y tienen como finalidad asegurar la integridad de los registros
contables. En consecuencia, los controles de aplicaciones están relacionados con los
procedimientos utilizados para iniciar y procesar transacciones y otros datos financieros, así como
para informar sobre ellos.
Estos controles ayudan a asegurar que las transacciones han ocurrido, están autorizadas y
se han registrado y procesado íntegra y exactamente. Como ejemplos pueden citarse los filtros de
datos de entrada y de secuencias numéricas con un seguimiento manual de los informes de
excepciones o la corrección en el punto de entrada de datos.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 23
Componentes del control interno – Seguimiento de los controles (Ref: Apartado 22)
A98. El seguimiento de los controles es un proceso para valorar la eficacia del
funcionamiento del control interno a lo largo del tiempo. Conlleva la valoración oportuna de la
eficacia de los controles y la adopción de las medidas correctoras necesarias. La dirección lleva a
cabo el seguimiento de los controles mediante actividades continuas, evaluaciones puntuales o
una combinación de ambas. Las actividades de seguimiento continuas a menudo forman parte de
las actividades recurrentes normales de una entidad e incluyen actividades de gestión y
supervisión habituales.
A99. Las actividades de seguimiento por la dirección pueden incluir la utilización de
información procedente de comunicaciones de terceros externos tales como quejas de clientes y
comentarios de las autoridades reguladoras, que pueden ser indicativos de problemas o resaltar
áreas en las que se necesitan mejoras.
Consideraciones específicas para entidades de pequeña dimensión
A100. El seguimiento del control por la dirección a menudo se consigue estrechando la
participación de la dirección o del propietario-gerente en las operaciones. Dicha participación
identificará, a menudo, las desviaciones significativas con respecto a las expectativas e
inexactitudes en datos financieros, conducentes a medidas correctoras sobre el control.
Comunicación de las Deficiencias del Control Interno a la Dirección de la Entidad:
Norma Internacional de Auditoría (NIA 265)
Deficiencias significativas en el control interno (Ref: Apartado 6(b), 8)
A5. La significatividad de una deficiencia o de un conjunto de deficiencias en el control
interno depende no sólo de si se ha producido realmente alguna incorrección, sino también de la
probabilidad de que se pueda producir y de la posible magnitud de la incorrección. En
consecuencia, pueden existir deficiencias significativas aunque el auditor no haya identificado
incorrecciones durante la realización de la auditoría.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 24
A6. A la hora de determinar si una deficiencia o un conjunto de deficiencias en el control
interno constituye una deficiencia significativa, el auditor puede tener en cuenta cuestiones como
las siguientes:
• La probabilidad de que las deficiencias den lugar en el futuro a incorrecciones materiales
en los estados financieros.
• La exposición del activo o pasivo correspondiente a pérdida o fraude.
La subjetividad y complejidad a la hora de determinar cantidades estimadas, como, por
ejemplo, las estimaciones contables a valor razonable.
• Las cantidades en los estados financieros que podrían estar afectadas por las deficiencias.
• El movimiento que se ha producido o podría producirse en el saldo de las cuentas o los
tipos de transacciones que podrían estar afectados por la deficiencia o deficiencias.
• La importancia de los controles en relación con el proceso de información financiera; por
ejemplo: o Controles generales de seguimiento (como la supervisión de la dirección). o Controles
sobre la prevención y detección del fraude. o Controles sobre la selección y aplicación de políticas
contables significativas. o Controles sobre las transacciones significativas con partes vinculadas. o
Controles sobre las transacciones significativas ajenas al curso normal del negocio de la entidad. o
Controles sobre el proceso de información financiera al cierre del periodo (tales como controles
sobre asientos no recurrentes en el libro diario).
• La causa y frecuencia de las excepciones detectadas como consecuencia de las deficiencias
de los controles.
• La interacción de la deficiencia con otras deficiencias en el control interno.
A7. Son indicadores de deficiencias significativas en el control interno, por ejemplo:
• La evidencia de aspectos ineficaces del entorno de control, tales como: o Indicios de que
los responsables del gobierno de la entidad no están examinando adecuadamente transacciones
significativas en las que la dirección tiene intereses financieros. o o La identificación de fraude de
la dirección, sea o no material, que el control interno de la entidad no evitó. o La falta de
implementación por la dirección de medidas correctoras adecuadas en relación con deficiencias
significativas comunicadas con anterioridad.
• La ausencia de un proceso de valoración del riesgo dentro de la entidad, cuando
normalmente cabría esperar que se hubiera establecido dicho proceso.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 25
• Evidencia de un proceso ineficaz de valoración del riesgo por la entidad, por ejemplo la
falta de identificación por la dirección de un riesgo de incorrección material que el auditor podría
esperar que hubiera sido identificado por el proceso de valoración del riesgo por la entidad.
• Evidencia de una respuesta ineficaz ante riesgos significativos identificados (por ejemplo,
ausencia de controles sobre dichos riesgos).
• Incorrecciones detectadas por los procedimientos del auditor que el control interno de la
entidad no evitó, o bien no detectó ni, por tanto, corrigió.
La reformulación de estados financieros publicados anteriormente con el fin de reflejar la
corrección de una incorrección material debida a error o fraude.
• Evidencia de que la dirección no es capaz de supervisar la preparación de los estados
financieros.
A8. Los controles se pueden diseñar para que funcionen de forma individual o en
combinación con otros con el fin de prevenir, o detectar y corregir, eficazmente las
incorrecciones.5 Por ejemplo, los controles sobre las cuentas a cobrar pueden consistir tanto en
controles automatizados como manuales, diseñados para operar conjuntamente con el fin de
prevenir, o detectar y corregir, incorrecciones en el saldo de la cuenta. Una deficiencia en el
control interno puede no tener suficiente importancia, por sí sola, para constituir una deficiencia
significativa. Sin embargo, un conjunto de deficiencias que afecten al mismo saldo contable o
información a revelar, afirmación relevante o componente del control interno puede aumentar los
riesgos de incorrección hasta el punto de dar lugar a una deficiencia significativa.
A9. Las disposiciones legales o reglamentarias de algunas jurisdicciones pueden requerir
(especialmente en auditorías de entidades cotizadas) que el auditor comunique a los responsables
del gobierno de la entidad o a otras partes relevantes (por ejemplo, las autoridades reguladoras)
uno o más tipos específicos de deficiencias en el control interno que haya identificado durante la
realización de la auditoría. Cuando las disposiciones legales o reglamentarias hayan establecido
términos y definiciones específicos para dichos tipos de deficiencias y requieran que el auditor
utilice dichos términos y definiciones a efectos de la comunicación, el auditor, empleará en ella
dichos términos y definiciones de conformidad con el requerimiento legal o reglamentario.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 26
A10. Cuando la jurisdicción haya establecido términos específicos para la comunicación de
los tipos de deficiencias en el control interno, pero no haya definido dichos términos, es posible
que el auditor necesite aplicar su juicio para determinar las cuestiones que vayan a comunicarse
más allá del requerimiento legal o reglamentario. Al hacerlo, el auditor puede considerar
adecuado tener en cuenta los requerimientos y las orientaciones de esta NIA. Por ejemplo, si el
propósito del requerimiento normativo es llamar la atención de los responsables del gobierno de
la entidad sobre determinadas cuestiones de control interno que deberían conocer, puede ser
adecuado considerar que dichas cuestiones equivalen, en general, a las deficiencias significativas
que esta NIA exige que se comuniquen a los responsables del gobierno de la entidad.
A11. Los requerimientos de esta NIA siguen siendo aplicables con independencia de que las
disposiciones legales o reglamentarias requieran o no la utilización por el auditor de términos o
definiciones específicos.
Comunicación de deficiencias en el control interno
Comunicación de deficiencias significativas en el control interno a los responsables del
gobierno de la entidad (Ref: Apartado 9)
A12. La comunicación por escrito de las deficiencias significativas a los responsables del
gobierno de la entidad refleja la importancia de estas cuestiones y facilita a los responsables del
gobierno de la entidad el cumplimiento de sus responsabilidades de supervisión. La NIA 260
contiene consideraciones pertinentes sobre la comunicación con los responsables del gobierno de
la entidad cuando todos ellos participan en su dirección.6
A13. El auditor, para determinar el momento en que emitirá la comunicación escrita, puede
tener en cuenta si la recepción de dicha comunicación sería un factor importante para permitir a
los responsables del gobierno de la entidad cumplir sus responsabilidades de supervisión. Además,
para las entidades cotizadas de determinadas jurisdicciones, puede ser necesario que los
responsables del gobierno de la entidad reciban la comunicación escrita del auditor antes de la
fecha de aprobación de los estados financieros, con el fin de cumplir responsabilidades específicas
relativas al control interno a efectos normativos o de otro tipo. Para otras entidades, el auditor
puede emitir la comunicación escrita en una fecha posterior. Sin embargo, en este
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 27
último caso, como la comunicación escrita del auditor sobre deficiencias significativas forma
parte del archivo final de auditoría, dicha comunicación escrita está sujeta al requerimiento
fundamental7 de que el auditor finalice la compilación del archivo final de auditoría
oportunamente. La NIA 230 establece que un plazo adecuado para completar la compilación del
archivo final de auditoría normalmente no excede de 60 días desde la fecha del informe de
auditoría.
A14. Con independencia de la fecha prevista para la comunicación escrita de las deficiencias
significativas, el auditor puede, en primera instancia, comunicarlas verbalmente a la dirección y,
cuando proceda, a los responsables del gobierno de la entidad, con el fin de facilitarles la adopción
oportuna de medidas correctoras para minimizar los riesgos de incorrección material. Lo anterior,
sin embargo, no exime al auditor de la responsabilidad de comunicar las deficiencias significativas
por escrito, tal como la presente NIA requiere.
A15. El grado de detalle de la comunicación de las deficiencias significativas lo decidirá el
auditor, ejerciendo su juicio profesional, a la luz de las circunstancias que concurran. Entre los
factores que el auditor puede tener en cuenta para determinar el grado de detalle adecuado de la
comunicación están:
• La naturaleza de la entidad. Por ejemplo, el tipo de comunicación que se requiere con
respecto a una entidad de interés público puede ser distinto al que se requiere en el caso de una
entidad que no sea de interés público.
• La dimensión y la complejidad de la entidad. Por ejemplo, la comunicación que se requiere
en el caso de una entidad compleja puede ser diferente a la que se requiere en el caso de una
entidad cuyo negocio es simple.
• La naturaleza de las deficiencias significativas que el auditor ha identificado.
• La composición del gobierno de la entidad. Por ejemplo, puede ser necesario un mayor
grado de detalle si entre los responsables del gobierno de la entidad hay miembros que no tienen
experiencia significativa en el sector en el que opera la entidad o en las áreas afectadas.
• Los requerimientos legales o reglamentarios relativos a la comunicación de tipos
específicos de deficiencias en el control interno.
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 28
A16. Puede que la dirección y los responsables del gobierno de la entidad ya conozcan las
deficiencias significativas identificadas por el auditor durante la realización de la auditoría, y hayan
decidido no corregirlas por razones de coste u otras consideraciones. La responsabilidad de
evaluar los costes y los beneficios de la aplicación de medidas correctoras corresponde a la
dirección y a los responsables del gobierno de la entidad. Por consiguiente, el requerimiento del
apartado 9 es aplicable con independencia del coste u otras consideraciones que la dirección y los
responsables del gobierno de la entidad puedan estimar relevantes para determinar si se corrigen
dichas deficiencias.
A17. Aunque el auditor haya comunicado una deficiencia significativa a los responsables del
gobierno de la entidad y a la dirección en una auditoría anterior, continúa siendo necesario que el
auditor repita dicha comunicación si aún no se han adoptado medidas correctoras. Si sigue
existiendo una deficiencia significativa comunicada anteriormente, en la comunicación del
ejercicio en curso se puede repetir la descripción de la comunicación anterior o, simplemente,
hacer referencia a ella. El auditor puede preguntar a la dirección o, cuando proceda, a los
responsables del gobierno de la entidad, el motivo por el que la deficiencia significativa aún no se
ha corregido. El hecho de no actuar, en ausencia de una explicación racional, puede suponer en sí
mismo una deficiencia significativa.
Consideraciones específicas para entidades de pequeña dimensión
A18. En el caso de auditorías de entidades de pequeña dimensión, el auditor puede
comunicarse con los responsables del gobierno de la entidad de una manera menos formal que en
el caso de entidades de gran dimensión.
Comunicación a la dirección de deficiencias en el control interno (Ref: Apartado 10)
A19. Por lo general, el nivel adecuado de la dirección es el que tiene la responsabilidad y
autoridad necesarias para evaluar las deficiencias en el control interno y adoptar las medidas
correctoras necesarias. En el caso de deficiencias significativas, el nivel adecuado probablemente
sea el presidente ejecutivo o el director financiero (o sus equivalentes), ya que también se
requiere que estas cuestiones se comuniquen a los responsables del gobierno de la entidad. En
cuanto a otras deficiencias en el control interno, el nivel adecuado puede ser la dirección
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 29
operativa que participe de forma más directa en las áreas de control afectadas y tenga autoridad
para adoptar las medidas correctoras adecuadas.
Comunicación a la dirección de deficiencias significativas en el control interno (Ref:
Apartado 10(a))
A20. Determinadas deficiencias significativas identificadas en el control interno pueden
poner en duda la integridad o la competencia de la dirección. Por ejemplo, puede haber evidencia
de fraude o de incumplimiento intencionado de las disposiciones legales y reglamentarias por
parte de la dirección, o se puede poner de manifiesto la incapacidad de la dirección para
supervisar la preparación de estados financieros adecuados, lo cual puede poner en duda la
competencia de la dirección. En consecuencia, es posible que no resulte adecuado comunicar
dichas deficiencias directamente a la dirección.
A21. La NIA 250 establece requerimientos y proporciona orientaciones sobre el modo de
informar respecto de los incumplimientos de las disposiciones legales o reglamentarias
identificados o de indicios de su incumplimiento, incluido en el caso de que los propios
responsables del gobierno de la entidad estén implicados en dicho incumplimiento.9 La NIA 240
establece requerimientos y proporciona orientaciones sobre la comunicación a los responsables
del gobierno de la entidad cuando el auditor ha identificado un fraude o indicios de fraude que
impliquen a la dirección.
Comunicación a la dirección de otras deficiencias en el control interno (Ref: Apartado 10(b))
A22. Durante la realización de la auditoría, el auditor puede identificar otras deficiencias en
el control interno que, si bien no son significativas, tienen la importancia suficiente como para
merecer la atención de la dirección. La determinación de estas otras deficiencias en el control
interno que merecen la atención de la dirección se hará ejerciendo el juicio profesional, a la luz de
las circunstancias, teniendo en cuenta la probabilidad y la posible magnitud de las incorrecciones
que puedan afectar a los estados financieros como consecuencia de dichas deficiencias.
A23. La comunicación de estas otras deficiencias en el control interno que merezcan la
atención de la dirección no ha de realizarse necesariamente por escrito, sino que puede ser verbal.
En los casos en los que el auditor haya discutido los hechos y las circunstancias relativas a sus
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 30
hallazgos con la dirección, puede considerar que la comunicación verbal de dichas otras
deficiencias a la dirección se ha realizado en el transcurso de tales discusiones. Por consiguiente,
no es necesario realizar una comunicación formal posterior.
A24. Si, en un periodo anterior, el auditor ha comunicado a la dirección deficiencias en el
control interno que no sean significativas, y la dirección ha decidido no corregirlas por razones de
coste o de otro tipo, no es necesario que el auditor repita la comunicación en el periodo actual.
Tampoco se requiere que el auditor repita la información sobre dichas deficiencias si
anteriormente ya han sido comunicadas a la dirección por otras partes, por ejemplo, por la función
de auditoría interna o por las autoridades reguladoras. No obstante, puede ser adecuado que el
auditor vuelva a comunicar esas otras deficiencias si ha habido un cambio en la dirección, o en el
caso de que el auditor haya obtenido nueva información que modifique el conocimiento que el
auditor o la dirección tenían anteriormente con respecto a dichas deficiencias. No obstante, el
hecho de que la dirección no corrija esas otras deficiencias en el control interno que le fueron
comunicadas con anterioridad puede convertirse en una deficiencia significativa que requiera ser
comunicada a los responsables del gobierno de la entidad. La determinación de si éste es el caso la
hará el auditor ejerciendo su juicio a la luz de las circunstancias.
A25. En algunas circunstancias, los responsables del gobierno de la entidad pueden desear
ser informados de los detalles de las otras deficiencias en el control interno que el auditor haya
comunicado a la dirección, o que se les informe brevemente de la naturaleza de dichas otras
deficiencias. El auditor, por su parte, puede considerar adecuado informar a los responsables del
gobierno de la entidad de que ha comunicado estas otras deficiencias a la dirección. En cualquiera
de los dos casos, el auditor puede informar verbalmente o por escrito a los responsables del
gobierno de la entidad, según proceda.
Contenido de la comunicación escrita de deficiencias significativas en el control interno (Ref:
Apartado 11)
A28. Para explicar los posibles efectos de las deficiencias significativas, no es necesario que
el auditor cuantifique dichos efectos. Las deficiencias significativas pueden agruparse a efectos de
presentación de la información cuando resulte oportuno hacerlo. El auditor también puede incluir
en la comunicación escrita sugerencias sobre las medidas correctoras de las deficiencias, las
Elaborado por: Lic. Rhodoswki Padilla - UMC - Procesos de Auditoria Página 31
respuestas decididas o propuestas por la dirección, así como una declaración relativa a si el
auditor ha dado algún paso para verificar si se han implementado las respuestas de la dirección.
A29. El auditor puede considerar adecuado incluir la siguiente información como contexto
adicional de la comunicación:
• Una indicación de que, si el auditor hubiera realizado procedimientos más extensos con
respecto al control interno, el auditor podría haber identificado más deficiencias sobre las que
informar o podría haber concluido que en realidad no era necesario informar sobre algunas de las
deficiencias comunicadas.
• Una indicación de que tal comunicación se proporciona para los fines de los responsables
del gobierno de la entidad, y que puede no ser adecuada para otros fines.
A30. Las disposiciones legales o reglamentarias pueden requerir que el auditor o la
dirección proporcionen una copia de la comunicación escrita del auditor sobre deficiencias
significativas a las autoridades reguladoras correspondientes. Cuando éste sea el caso, en la
comunicación escrita del auditor puede incluirse la identidad de dichas autoridades reguladoras.
A26. La NIA 260 contiene consideraciones relevantes con respecto a la comunicación con los
responsables del gobierno de la entidad cuando todos ellos participan en la dirección de la
entidad.
Top Related