Documente Academic
Documente Profesional
Documente Cultură
CONTENIDO
Párrafo
Introducción
1. El propósito de la presente NIA es establecer normas y proporcionar orientación para
obtener un entendimiento de la organización y su ambiente, incluyendo su control interno y
en la evaluación de los riesgos de errores significativos en una auditoría de estados
financieros. La importancia de la evaluación del riesgo de auditoría como base para
efectuar procedimientos de auditoría adicionales, se desarrolla en la explicación del riesgo
de auditoría en la NIA 200, “Objetivo y Principios Generales que Rigen una Auditoría de
Estados Financieros.”
· Evaluando los riesgos de errores significativos. Está sección requiere que el auditor
identifique y evalúe los riesgos de errores significativos a nivel de los estados
financieros y de las aseveraciones contenidas en ellas. El auditor:
o Establece una relación entre los riesgos identificados y lo que puede o podría estar
mal en el nivel de las aseveraciones; y
9. Aunque gran parte de la información que obtiene el auditor sobre la base de indagaciones
puede ser obtenida de la administración y otros responsables de la presentación de
informes financieros, efectuar indagaciones en otros dentro de la organización, tales como
personal de producción y auditoría interna y otros empleados con diferentes niveles de
autoridad puede resultar útil al proporcionar al auditor una perspectiva diferente en su
propósito de identificar riesgos de imprecisiones o errores. Al determinar a quienes otros
dentro de la organización se dirigirán sus indagaciones, y el alcance de tales indagaciones,
el auditor considera que información puede ser obtenida que ayude a este a identificar los
riesgos de errores. Por ejemplo:
10. Los procedimientos analíticos pueden ser útiles al identificar la existencia de transacciones
inusuales o eventos y montos, ratios y tendencias que puedan indicar asuntos con
implicancias en los estados financieros y la auditoría. Al ejecutar los procedimientos
analíticos como procedimientos de evaluación de riesgos, el auditor desarrolla expectativas
sobre la relación plausible que se espera razonablemente exista. Al comparar tales
expectativas con los montos registrados o los ratios desarrollados sobre la base de los
montos registrados se descubren relaciones inusuales o inesperadas. Sin embargo, cuando
tales procedimientos analíticos usan datos agregados en un nivel alto (como se da
frecuentemente el caso), los resultados de dichos procedimientos analíticos solamente
proporcionan una indicación inicial genérica sobre la posible existencia de una imprecisión
o error significativo. Consecuentemente, el auditor considera los resultados de tales
procedimientos analíticos junto con otra información recogida al identificar los riesgos de
errores significativos. Ver la NIA 520, “Procedimientos Analíticos” para obtener mayor
orientación sobre el uso de procedimientos analíticos.
13. Cuando sea relevante para la auditoría, el auditor también considera otra información tales
como la obtenida del proceso de aceptación y continuación o, cuando sea práctico, la
experiencia obtenida en otros encargos ejecutados para la organización, por ejemplo,
encargos de revisión de los estados financieros en fechas intermedias.
14. Los miembros del equipo del compromiso deben debatir sobre la susceptibilidad de
los estados financieros de la organización a las imprecisiones o errores significativos.
15. El objetivo de este debate y discusión es importante para los miembros del equipo del
compromiso para ganar un mejor entendimiento sobre el potencial de imprecisiones o
errores significativos de los estados financieros que resultan de fraude o error en las áreas
específicas asignadas a ellos y para entender cómo los resultados de los procedimientos de
auditoría que efectúan pueden afectar otros aspectos de la auditoría incluyendo las
decisiones sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría.
16. La discusión proporciona una oportunidad para que los miembros más experimentados del
equipo del compromiso, incluyendo al socio del encargo, compartan su perspectiva y el
conocimientos que adquirió de la organización y para que los miembros del equipo
intercambien información sobre los riesgos del negocio1 a los cuales la organización está
1 .
Ver párrafo 30
sujeta y sobre cómo y dónde los estados financieros pueden ser más susceptibles a errores
significativos. Tal como lo requiere la NIA 240, se da particular énfasis a la susceptibilidad
de que los estados financieros de la organización tengan errores significativos. La
discusión también aborda el tema de la aplicación del marco de referencia aplicable para la
presentación de información financiera a los hechos y circunstancias de la organización.
17. Se deberá usar el juicio profesional al determinar qué miembros del equipo del
compromiso se incluyen en la discusión, cómo y cuando ocurre y el alcance de la
discusión. Los miembros claves del equipo del compromiso se encuentran normalmente
envueltos en la discusión; sin embargo, no es necesario que todos los miembros tengan un
conocimiento integral de todos los aspectos de la auditoría. El alcance de las discusiones
estará influenciada por los roles, experiencia y necesidades de información de los
miembros del equipo del compromiso. En una auditoría en múltiples lugares geográficos,
por ejemplo, se producirán múltiples debates que involucren a los miembros claves de los
equipos del compromiso en cada ubicación geográfica significativa. Otro factor a
considerar al planificar las discusiones es si se incluirán a expertos o especialistas
asignados al equipo del encargo. Por ejemplo, la auditoría puede decidir incluir a un
profesional que posee habilidades especializadas en tecnología de la información (TI)2
necesario en el equipo del compromiso y por lo tanto incluir a esa persona en la discusión.
18. Tal como lo requiere la NIA 200, el auditor planifica y ejecuta la auditoría con una actitud
de profesional. El debate y la discusión entre los miembros del equipo del compromiso
escepticismo enfatizan la necesidad de mantener escepticismo profesional durante todo el
compromiso para estar alerta a información u otras condiciones que indiquen un error
significativo debido a fraude o error el cual puedo haber ocurrido y ser muy riguroso al
efectuar el seguimiento a esos indicios.
(c) Objetivos y estrategias y los riesgos de negocio correspondientes que pueden resultar
en una imprecisión o error significativo en los estados financieros.
2
Ambiente de Tecnología de la Información (TI) comprende la automatización que significa el inicio, el proceso, almacenaje y comunicación de
la información, incluyendo el registro de los artefactos, sistemas de comunicación, sistemas computarizados (incluyendo los equipos y paquetes
de procesamiento de datos e información), y otros equipos electrónicos.
22. El auditor deberá lograr un entendimiento del sector económico, marco de referencia
regulador y otros factores externos, incluyendo el marco de referencia aplicable para
la presentación de información financiera. Estos factores incluyen condiciones del
sector económico tales como competencia, ambiente, relaciones proveedor-cliente y
desarrollo tecnológico. El marco de referencia regulador comprende entre otros aspectos,
temas sobre el marco de referencia aplicable para la presentación de información
financiera, el ambiente legal y político, los requerimientos relativos al medio ambiente que
afectan al sector económico y a la organización y otros factores externos tales como las
condiciones económicas generales. Remítase a la NIA 250, “Consideración de Leyes y
Regulaciones en la Auditoría de Estados Financieros” para evaluar los requerimientos
adicionales relativos al marco de referencia legal y regulador aplicable a la organización y
al sector económico o tipo de industria.
23. El sector económico en el que opera la organización puede dar lugar a riesgos específicos
de errores significativos que surgen de la naturaleza de las operaciones del negocio o del
grado de reglamentación. Por ejemplo, los contratos de largo plazo pueden involucrar
estimados significativos de ingresos y costos que dan lugar a riesgos de errores
significativos. En tales casos, el auditor considera si el equipo del compromiso incluye
miembros que tengan suficiente conocimiento y experiencia.
26. Es posible que la organización tenga una estructura compleja con subsidiarias y otros
componentes en múltiples lugares geográficos. Aparte de las dificultades de consolidación
en esos casos, otros problemas que se presentan con las estructuras complejas y que
pueden dar lugar a riesgos de imprecisiones o errores significativos son los siguientes: la
provisión para plusvalía mercantil de los segmentos de negocios, y su deterioro, si las
inversiones son negocios conjuntos, subsidiarias o inversiones contabilizadas para usar el
método de participación patrimonial y si las organizaciones para propósitos especiales son
contabilizadas como corresponde.
31. El riesgo del negocio es más amplio que el riesgo de errores significativos, aunque incluye
a este último. El riesgo del negocio puede surgir particularmente por cambios o
complejidades, aunque el dejar de reconocer la necesidad de cambio también puede dar
lugar a riesgo. La necesidad de cambio puede surgir, por ejemplo, del desarrollo de nuevos
productos que pueden fallar, de un mercado inadecuado, aun cuando hayan sido
desarrollados exitosamente o de fallas que pueden dar lugar a pasivos y riesgo de
reputación. Un entendimiento de los riesgos del negocio puede incrementar la probabilidad
de identificar riesgos de errores significativos. Sin embargo, el auditor no tiene
responsabilidad de identificar o evaluar todos los riesgos de negocio.
32. La mayoría de los riesgos del negocio por lo general tendrán consecuencias financieras y,
por lo tanto, un efecto en los estados financieros. Sin embargo, no todos los riesgos dan
lugar a riesgos de errores significativos. Es posible que un riesgo tenga una consecuencia
inmediata en lo que respecta al riesgo de errores significativos en los tipos de
transacciones, saldos de cuentas y revelaciones de información, en el nivel de las
aseveraciones o en el de los estados financieros en su conjunto. Por ejemplo, el riesgo del
negocio que surge en relación con una base de clientes contratistas debido a la
consolidación en esa determinada industria puede elevar el riesgo de errores relacionado
con la valorización de las cuentas por cobrar. Sin embargo, el mismo riesgo,
particularmente en combinación con una economía en contracción, también puede tener
una consecuencia de largo plazo, que el auditor considera al evaluar la idoneidad del
supuesto de empresa en marcha. La consideración que haga el auditor sobre si un riesgo de
negocio puede dar lugar a un error significativo se hace, por lo tanto, a la luz de las
circunstancias de la organización. Algunos ejemplos de eventos y condiciones que pueden
dar lugar a un error significativo se presentan en el Apéndice 3.
33. Por lo general la administración identifica los riesgos del negocio y desarrolla enfoques
para enfrentarlos. Tal evaluación de riesgos es parte del control interno y se discute en los
párrafos 76-79.
34. Las organizaciones más pequeñas por lo general no determinan sus objetivos y estrategias
o administran los riesgos correspondientes del negocio a través de planes formales o
procesos. En muchos casos es posible que no exista documentación sobre tales temas. En
tales organizaciones, el auditor logra un entendimiento a través de indagaciones con la
administración y la observación de cómo la organización responde a tales temas.
37. Información que se genera internamente utilizada por la administración para este fin puede
incluir indicadores claves de rendimiento (financieros y no financieros), presupuestos,
análisis de variaciones, información por segmentos de negocios y divisiones o
departamentos y comparaciones del rendimiento de una organización con el de su
competencia. Terceros externos también pueden medir y revisar el rendimiento financiero
de la organización. Por ejemplo, información externa tal como los informes de los analistas
e informes sobre la clasificación de riesgo pueden proporcionar información útil para el
entendimiento por parte del auditor sobre la organización y su ambiente.
38. Las mediciones internas pueden traer resultados inesperados o tendencias que requieran
que la administración realice indagaciones con otros con el fin de determinar su causa y
llevar a cabo una acción correctiva (incluyendo, en algunos casos, la detección y
corrección de errores de manera oportuna.) Las mediciones del rendimiento también
pueden señalar al auditor un riesgo de error en la información de los estados financieros.
Por ejemplo, las mediciones del rendimiento pueden indicar que la organización tiene un
crecimiento o utilidad inusual al compararse con las de otras organizaciones en el mismo
sector económico o industria. Tal información, especialmente si son combinadas con otros
factores tales como las gratificaciones sobre la base del rendimiento o incentivos saláriales
puede indicar el riesgo potencial de prejuicio por parte de la administración para preparar
sus estados financieros.
39. Gran parte de la información usada en la medición del rendimiento puede ser producida
por el sistema de la organización. Si la administración asume que esos datos usados para
revisar el rendimiento de la organización son exactos sin tener una base para ese supuesto,
es posible que exista algún error en esa información, conduciendo a la administración a
conclusiones potencialmente incorrectas con respecto al rendimiento. Cuando el auditor
intenta hacer uso de las mediciones del rendimiento para efectos de la auditoría (por
ejemplo, para los procedimientos analíticos), el auditor considera si la información relativa
a la revisión por parte de la administración del rendimiento de la organización proporciona
una base confiable y es suficientemente precisa para tal efecto. Al hacer uso de las
mediciones de rendimiento, el auditor considerará si son lo suficientemente precisas para
detectar imprecisiones o errores significativos.
40. Las organizaciones más pequeñas no tienen procesos formales para medir y revisar el
rendimiento financiero de la organización. La administración, no obstante, depende de
ciertos indicadores claves, los cuales, tomando en cuenta el conocimiento y experiencia
que se tiene del negocio, constituyen una base confiable para evaluar el rendimiento
financiero y emprender acciones correctivas.
Control Interno
41. El auditor deberá obtener un entendimiento del control interno relevante para la
auditoría. El auditor usa su entendimiento del control interno para identificar los tipos de
errores potenciales, considerar los factores que afectan el riesgo de errores y determinar la
naturaleza, oportunidad y alcance de procedimientos de auditoría adicionales. El control
interno relevante para auditoría se trata en los párrafos 47-53 más adelante. Además, la
profundidad o dimensión del entendimiento se trata en los párrafos 54-56 más adelante.
42. El control interno es el proceso diseñado y puesto en práctica por aquellos encargados del
gobierno de la organización, la administración y otro personal para proporcionar un
aseguramiento razonable sobre el logro de los objetivos de la organización con respecto a
la confiabilidad de los informes financieros, la efectividad y eficiencia de las operaciones
y el cumplimiento con las leyes y regulaciones aplicables. Como consecuencia lógica el
control interno está diseñada e implantado para enfrentar riesgos identificados del negocio
que amenazan el logro de cualquiera de estos objetivos.
43. El control interno, según se discute en la presente NIA, tiene los siguientes componentes:
(c) El sistema de información, incluyendo los procesos de los negocios relevantes para la
presentación de informes financieros y comunicación.
El Apéndice 2 contiene una discusión detallada de los componentes del control interno.
44. La división del control interno en cinco componentes proporciona un marco de referencia
útil para que los auditores consideren cómo diferentes aspectos del control interno de una
organización puede afectar la auditoría. Está división no refleja necesariamente, cómo una
45. La manera en la que se han diseñado e implantado los controles internos varía de acuerdo
al tamaño y complejidad de la organización. Específicamente, las organizaciones más
pequeñas pueden recurrir a medios menos formales y procesos y procedimientos más
simples para lograr sus objetivos. Por ejemplo, es posible que las organizaciones más
pequeñas con una administración que realmente se involucra y participa en el proceso de
presentación de informes financieros no tengan una descripción amplia de sus
procedimientos contables o políticas escritas y detalladas. En algunas organizaciones,
especialmente las más pequeñas, el dueño-gerente3 realiza funciones que en una medida
más amplia serían vistas, como algunos de los componentes de control interno. Por
consiguiente, es posible que los componentes del control interno no sean claramente
identificables en una organización pequeña; sin embargo, su propósito subyacente es
igualmente válido.
46. Para efectos de está NIA, la frase “control interno” conlleva todos los cinco componentes
mencionados anteriormente. Además, el término “controles” denota una o más de los
componentes, o cualesquier aspecto de los mismos.
47. Existe una relación directa entre los objetivos de la organización y los controles que
implanta para proporcionar un aseguramiento razonable sobre su consecución. Los
objetivos de la organización y por ende sus controles, tienen directa relación con la
presentación de informes financieros, las operaciones y el cumplimiento; sin embargo, no
todos estos objetivos y controles son relevantes para la evaluación de riesgos que efectuará
el auditor.
48. Por lo general, los controles que son relevantes para la auditoría tienen relación con el
objetivo de la organización de preparar estados financieros para propósitos externos que
reflejen adecuadamente (o sean presentados razonablemente, en todos sus aspectos
significativos) de acuerdo a un marco de referencia aplicable para la presentación de
información financiera y la administración de riesgos que podrían dar lugar a un error
significativo en dichos estados financieros. Es un asunto de criterio profesional del auditor,
determinar, sujeto a los requerimientos de la presente NIA, si un control, individual o
colectivamente con otros, es relevante al evaluar los riesgos de posibles errores
significativos y diseñar e implantar procedimientos adicionales en respuesta a los riesgos
evaluados. Al ejercer su criterio profesional, el auditor considerará las circunstancias, el
componente aplicable y los factores tales como:
50. Los controles relacionados con los objetivos operativos y de cumplimiento pueden, sin
embargo, ser relevante para una auditoría si se trata de datos que el auditor evalúa o usa al
aplicar sus procedimientos de auditoría. Por ejemplo, los controles que tienen relación con
datos no financieros que el auditor utiliza en sus procedimientos analíticos, como los de
estadísticas de producción o los controles que tienen relación con la detección de
incumplimiento con las leyes y regulaciones aplicables que podrían tener un efecto directo
y significativo en los estados financieros, tales como los controles sobre el cumplimiento
con las leyes del impuesto a la renta y regulaciones usadas para determinar la provisión
para el impuesto a la renta, pueden ser relevantes para la auditoría.
51. Una organización por lo general tiene controles relativos a los objetivos que no son
relevantes para una auditoría y por lo tanto no tienen que ser considerados. Por ejemplo,
una organización puede depender de un sistema sofisticado de controles automatizados
para tener operaciones eficientes y efectivas (tales como el sistema de aerolínea comercial
de los controles automatizados que mantiene los horarios de vuelos), sin embargo estos
controles no serían relevantes para la auditoría.
52. El control interno para salvaguardar los activos contra adquisiciones, uso o disposición no
autorizados pueden incluir controles relativos a los objetivos de presentación de
información financiera y operaciones. Al obtener un entendimiento de cada uno de los
componentes del control interno, la consideración que haga el auditor de los controles para
proteger los activos está limitada generalmente a aquellos controles relevantes para la
confiabilidad de los informes financieros. Por ejemplo, el uso de controles de acceso, tales
como “contraseñas”, que limitan el acceso a los datos y programas que procesan los
desembolsos de caja pueden ser relevantes para una auditoría de estados financieros.
53. Puede existir un control relevante para la auditoría en cada uno de los componentes del
control interno. Una explicación un poco más extensa se encuentra bajo el encabezado de
cada componente de control interno más adelante. Además, los párrafos 113 – 115 abordan
el tema de ciertos riesgos que requiere que el auditor evalúe el diseño de los controles
sobre tales riesgos y determine si han sido implantados.
54. Obtener un entendimiento del control interno comprende la evaluación del diseño de
control, considerando si el control, individualmente o en combinación con otros controles,
es capaz de prevenir efectivamente o detectar y corregir imprecisiones o errores
significativos. Se proporciona mayor información más adelante en la sección de cada uno
de los componentes del control interno. La implantación del control significa que el
control existe y que la organización lo está usando. El auditor considerará el diseño de un
control al determinar si considerará su implantación. Un control inadecuadamente diseñado
puede representar una deficiencia significativa4 en el control interno de la organización y
el auditor considerará si deberá comunicar esto a los encargados del gobierno de la
organización y la administración según lo requiere el párrafo 120.
55. Los procedimientos para la evaluación de riesgos para obtener evidencia de auditoría sobre
el diseño e implantación de los controles relevantes, pueden incluir indagaciones con el
personal de la organización, observando la aplicación de controles específicos, revisando
documentos e informes y rastreando las transacciones a través de los sistemas de
información relevantes para la presentación de información financiera. La indagación por
sí sola no es suficiente para evaluar el diseño de un control relevante para una auditoría y
para determinar si ha sido implantado.
Características de los Elementos Manuales y Automatizados del Control Interno Relevante para la
Evaluación de los Riesgos por parte del Auditor
4
Una deficiencia significativa en el control interno es aquella que pudiera tener efecto importante sobre los estados financieros.
58. El uso de los elementos manuales o automatizados en el control interno también afecta la
manera en la que se inician, registran, procesan y reportan5 las transacciones. Los controles
en un sistema manual pueden incluir procedimientos tales como aprobaciones y revisiones
de actividades, además de la reconciliación y seguimiento de las partidas conciliatorias.
Alternativamente, si alguna organización puede utilizar procedimientos para iniciar,
registrar, procesar y reportar transacciones en cuyo caso, los registros en formato
electrónico reemplazan a tales documentos como ordenes de compra, factura, documentos
de embarque y otros documentos correspondientes. Los controles de los sistemas de TI
consisten en una combinación de controles automatizados (por ejemplo, los controles
insertos en los programas de computadoras) y controles manuales. Además los controles
manuales pueden ser independientes de la TI, pueden utilizar información producida por la
TI o puede estar limitado al seguimiento del funcionamiento efectivo de la TI y de los
controles automatizados y para el manejo de las excepciones. Cuando se recurre a la TI
para iniciar, registrar, procesar y reportar transacciones o cualesquier otra información
financiera para que sea incluida en los estados financieros, los sistemas y programas
pueden incluir controles relativos a las respectivas aseveraciones sobre las cuentas
significativas o que pueden ser esenciales para el funcionamiento efectivo de los controles
manuales que dependen de la TI. Los controles manuales y mixtos o una mezcla
automatizada varían de acuerdo a naturaleza y complejidad de las operaciones de la
empresa con respecto al uso de la TI.
59. Por lo general, la TI proporciona los beneficios potenciales de eficiencia y efectividad del
control interno de cada organización y permite a la empresa:
5
El párrafo 9 del Apéndice 2 define la iniciación, registro, procesamiento y reporte tal como se indica en esta NIA.
· Pérdida potencial de datos o incapacidad para acceder a los datos que se están
requiriendo.
61. Los aspectos manuales de los sistemas pueden ser más convenientes cuando se requiere el
uso de criterio y discreción para las siguientes circunstancias:
· Circunstancias en las que, los errores son difíciles de definir, anticipar o producir.
· Al cambiar las circunstancias que requieran una respuesta inmediata sobre el alcance
del control automatizado existente.
62. Los controles manuales son ejecutados por personas y, por consiguiente, presentan riesgos
específicos para el control interno de la organización. Los controles manuales pueden ser
menos confiables que los controles automatizados, debido a que ellos pueden ser más
fácilmente pasados por alto, ignorados o superados y además si tienen tendencia a señalar
errores simples y sin mayor complejidad. La consistencia en la aplicación de un elemento
de control manual no puede asumirse. Los sistemas manuales pueden ser menos
convenientes para lo siguiente:
· Las actividades de control en los que las maneras específicas de ejecutar el control
pueden ser adecuadamente diseñadas y automatizadas.
63. El alcance y naturaleza de los riesgos para el control interno varían dependiendo de la
naturaleza y características del sistema de información de la organización. Por lo tanto, al
entender el control interno, el auditor considerará si la organización ha respondido
adecuadamente a los riesgos que surgen del uso de la TI o sistemas manuales para
establecer controles efectivos.
64. El control interno, sin considerar cuán bien organizado y cuán bien se le opera, puede
proporcionar a la organización solamente seguridad razonable para lograr los objetivos de
presentación de informes de la organización. La probabilidad del logro es afectada por las
limitaciones inherentes del control interno. Estas limitaciones incluyen la realidad de que
el criterio humano al efectuar la toma de decisiones puede tener errores y que el derrumbe
de los controles internos puede ocurrir debido a error humano, tales como simples
equivocaciones y errores. Por ejemplo, si el personal del sistema de información no
entiende completamente cómo es el proceso de ingreso de las transacciones de ventas, es
posible que efectúen cambios en el diseño del sistema para procesar las ventas de una
nueva línea de productos. Por otro lado, tales cambios pueden estar correctamente
diseñados pero es posible que no hayan sido entendidos correctamente por las personas que
traducen el diseño en código de programas. También pueden producirse errores en el uso
de información producida por la TI. Por ejemplo, los controles automatizados pueden estar
diseñados para reportar transacciones que superen un monto determinado para revisión por
parte de la administración, pero las personas responsables de realizar la revisión puede que
no entiendan el propósito de tales reportes y, consecuentemente, es posible que dejen de
revisar o investigar partidas inusuales.
65. Adicionalmente, los controles pueden estar restringidos debido a colusión por parte de dos
o más personas o anulación inadecuada del control interno por parte de la administración.
Por ejemplo, la administración puede celebrar acuerdos adicionales con clientes que alteran
los términos y condiciones de los contratos de ventas estándares de la organización, lo cual
resultaría en un reconocimiento inadecuado de ingresos. Además, editar cheques en un
software que está diseñado para identificar y reportar transacciones que exceden límites de
crédito especificados, puede ser ignorados o anulados.
66. Las organizaciones más pequeñas por lo general tienen pocos empleados, lo cual puede
limitar la medida en la que se puede efectuar una verdadera segregación de
responsabilidades. Sin embargo, para áreas clave, inclusive en una organización muy
pequeña, puede ser factible implantar determinado grado de segregación de
responsabilidades o alguna otra forma poco sofisticada pero efectiva de control. El
potencial de que el dueño-gerente anule los controles depende en gran medida del
ambiente de control y en particular de las actitudes del dueño-gerente sobre la importancia
del control interno.
Ambiente de Control
68. La responsabilidad primaria por la prevención y detección de fraude y error recae tanto en
aquellos encargados del gobierno como de la administración de una organización. Al
evaluar el diseño del ambiente de control y determinar si ha sido implantado, el auditor
evalúa la forma en que la administración, con la supervisión de aquellos encargados del
gobierno ha creado y mantenido una cultura de honestidad y conducta ética y ha
establecido los controles adecuados para prevenir y detectar el fraude y error dentro de la
organización.
69. Al evaluar el diseño del ambiente de control de la organización, el auditor considerará los
siguientes elementos y cómo han sido incorporados en los procesos de la organización:
(c) La participación por parte de aquellos encargados del gobierno que son independientes
de la administración, su experiencia y status, el grado de su participación y actividades
de escrutinio, la información que reciben, la medida en que se hagan preguntas delicadas
y se busque la respuesta en la administración y su interacción con los auditores internos
y externos.
(g) Las políticas y prácticas de recursos humanos entre ellas, las de reclutamiento,
orientación, capacitación, evaluación, asesoría, ascensos, compensación y acciones
correctivas.
70. Al entender los elementos del ambiente de control, el auditor también toma en
consideración si estos han sido implantados. Generalmente, el auditor obtiene evidencia de
auditoría relevante mediante la indagación en conjunto con otros procedimientos de
evaluación de riesgo, por ejemplo, corroborando las indagaciones mediante la observación
o inspección de los documentos. Por ejemplo, mediante la indagación con la
administración y con los empleados, el auditor puede lograr un entendimiento acerca de
cómo la administración comunica a sus empleados sus puntos de vista sobre las prácticas
del negocio y su comportamiento ético. El auditor determina si los controles han sido
implantados tomando en consideración, por ejemplo, si la administración ha establecido un
código formal de conducta y si la misma actúa en forma coherente con el código o
condona las violaciones al código o autoriza excepciones del mismo.
71. Es posible que no exista evidencia de auditoría con respecto a los elementos del ambiente
de control en documentos, especialmente en el caso de organizaciones pequeñas donde la
comunicación entre la administración y el personal suele ser informal, aunque efectiva. Por
ejemplo, el compromiso de la administración con los valores éticos y la competencia es
247 NIA 315
ENTENDIENDO A LA ORGANIZACIÓN Y SU AMBIENTE Y EVALUANDO
LOS RIESGOS DE IMPRECISIONES O ERRORES SIGNIFICATIVOS
72. Las responsabilidades generales de aquellas personas encargadas del gobierno son
reconocidas en el código de práctica y otras regulaciones o guías creadas para el beneficio
de aquellas personas. Está no es la única función de los encargados del gobierno para
contrarrestar las presiones de la administración con relación a la presentación de
información financiera. Por ejemplo, la base para la remuneración de la administración
podría provocar tensión en ella. Tensión que puede surgir de una situación conflictiva por
presentar reportes razonables y beneficios percibidos de resultados mejorados. Al entender
el diseño del ambiente de control el auditor considera aspectos tales como la independencia
de los directores y su habilidad para evaluar las acciones de la administración. El auditor
también toma en consideración si existe un comité de auditoría que entienda las
transacciones del negocio de la organización y evalúa si los estados financieros reflejan
adecuadamente (o sí presentan razonablemente en todos sus aspectos significativos) de
acuerdo con el marco de referencia aplicable para la presentación de información
financiera.
73. La naturaleza del ambiente de control de una organización deberá ser tal que tenga un
efecto diseminado en la evaluación de los riesgos de imprecisiones o errores significativos.
Por ejemplo, probablemente los controles del dueño-gerente mitiguen la carencia de
segregación de deberes en un negocio pequeño o un directorio activo e independiente
probablemente pueda influenciar en la filosofía y el estilo operativo de la administración
principal en las grandes organizaciones. La evaluación del auditor sobre el diseño del
ambiente de control de la organización incluye la consideración sobre si las fortalezas en
los elementos del ambiente de control brindan colectivamente un pilar o base apropiada
para los otros componentes del control interno y no socavadas por las deficiencias del
ambiente de control. Por ejemplo, las políticas de recursos humanos y las prácticas
dirigidas hacia la contratación de personal competente en el área financiera, contable y de
TI probablemente no podrían mitigar una fuerte tendencia existente en la alta
administración para sobrestimar sus ganancias. Los cambios en el ambiente de control
podrían afectar la relevancia de la información obtenida en auditorías previas. Por ejemplo,
la decisión de la administración de comprometer recursos adicionales para capacitar e
informar sobre las actividades requeridas para la presentación de información financiera
podría reducir el riesgo de errores en el procesamiento de información financiera.
Alternativamente, la incapacidad de la administración para conseguir los recursos
suficientes para abordar los riesgos que se presentan en el área de TI podría afectar el
control interno permitiendo que se realicen cambios inapropiados en la computadora, los
programas o datos o permitiendo el procesamiento de transacciones no autorizadas.
74. La existencia de un ambiente de control satisfactorio puede ser un factor positivo cuando el
auditor evalúa los riesgos de imprecisiones significativas y como se explica en el párrafo 5
de la NIA 330, influencia la naturaleza, oportunidad, y alcance de los procedimientos de
auditoría adicionales. En particular, probablemente ayude a la reducción del riesgo de
fraude, a pesar de que un ambiente de control satisfactorio no sea un elemento disuasivo y
absoluto de fraude. Inversamente, la deficiencia en el ambiente de control podría socavar
la efectividad de los controles y convertirse por lo tanto en factores negativos para la
75. El ambiente de control no permite por sí mismo prevenir o detectar y corregir una
imprecisión significativa en las clases de transacciones, saldos de cuentas y revelaciones de
información y sus respectivas aseveraciones. Por lo tanto, el auditor generalmente
considera el efecto de otros componentes junto con el ambiente de control cuando evalúa
los riesgos de errores significativos, por ejemplo, el seguimiento de los controles y el
funcionamiento de las actividades de control específicas.
76. El auditor debería obtener un entendimiento del proceso que existe en la organización
para identificar los riesgos del negocio relevantes para los objetivos y decidir qué
acciones se deben tomar para abordar dichos riesgos y los resultados
correspondientes. Se describe al proceso como “el proceso de evaluación de riesgo de la
organización” y forma la base sobre cómo la administración determina los riesgos que
tienen que ser manejados.
78. El auditor indaga acerca de los riesgos del negocio que la administración ha identificado y
evalúa si pudiesen resultar en un error significativo. Durante el proceso de auditoría el
auditor podría identificar los riesgos que no hayan sido identificados por la organización.
En dichos casos el auditor considera si hubo un riesgo subyacente de algún tipo que el
proceso de evaluación de riesgos de la organización debió haber identificado y de ser así
porqué el proceso no lo identificó y si éste es apropiado para las circunstancias
programadas. Si como resultado el auditor llega a la conclusión de que existe una
deficiencia significativa en el proceso de evaluación de riesgos de la organización, éste
informará a los encargados del gobierno de la organización tal como se establece en el
párrafo 120.
Sistema de Información, Incluyendo los Procesos del Negocio, Relevantes para la Presentación de
Información Financiera y la Comunicación
81. El auditor deberá obtener un entendimiento del sistema de información, los procesos
relacionados al negocio y relevantes para la presentación de información financiera,
incluyendo las siguientes áreas:
· Los procedimientos, dentro de las operaciones de TI, por los cuales estas
transacciones son iniciadas, registradas, procesadas y reportadas en los estados
financieros.
82. Al obtener este conocimiento el auditor considera los procedimientos utilizados para
transferir la información desde los sistemas de procesamiento de las transacciones al libro
mayor general o los sistemas de presentación de información financiera. Asimismo, el
auditor comprende los procedimientos seguidos en la organización para la toma de datos
relevantes para la presentación de los estados financieros y para los sucesos y situaciones
referentes a las transacciones, tales como la depreciación y amortización de los activos y
los cambios en la capacidad de recuperación de las cuentas por cobrar.
83. Generalmente, el sistema de información de una organización incluye los asientos de diario
estándares que son requeridos de forma recurrente para el registro de las transacciones
como las ventas, compras, y desembolsos de efectivo en el libro mayor general o para el
registro de los estimados contables que la administración realiza periódicamente como los
cambios en las estimaciones de las cuentas por cobrar incobrables.
Actividades de Control
evaluados. Las actividades de control son las políticas y procedimientos que ayudan a
asegurar que se están llevando a cabo las directivas de la administración; por ejemplo,
cuando se toman las acciones necesarias para abordar los riesgos que amenazan el
cumplimiento con los objetivos de la organización. Las actividades de control, tanto dentro
de los sistemas de TI o los sistemas manuales, tienen diversos objetivos y se aplican en
diferentes niveles organizacionales y funcionales. Los ejemplos de las actividades de
control específicas incluyen aquellas relacionadas con los siguientes puntos:
· Autorización.
· Revisiones de ejecución.
· Procesamiento de información.
· Controles físicos.
· Segregación de deberes.
91. Al obtener un entendimiento sobre las actividades de control, en primer lugar el auditor
considera si una actividad de control especifica individual o en conjunto con otras,
previene o detecta y corrige las imprecisiones significativas en las clases de transacciones,
saldos de cuentas o revelaciones de información y cómo lo hace. Las actividades de control
relevantes al proceso de auditoría son aquellas que el auditor considera necesarias para la
obtención del entendimiento para evaluar los riesgos de imprecisión significativa en el
nivel de aseveración. Un proceso de auditoría no requiere el entendimiento de todas las
actividades de control relacionados a cada clase significativa de transacción, saldo de
cuentas y revelación de información en los estos financieros o cada aseveración relevante
para alguno de estos. El énfasis del auditor se encuentra en la identificación y obtención
del entendimiento de las actividades de control que se aplican en las áreas donde el auditor
considera existe la probabilidad de que ocurran errores significativos. Cuando múltiples
actividades de control están enfocadas en un mismo objetivo es necesario obtener el
entendimiento de cada actividad de control relacionada a dicho objetivo.
94. Los controles de la TI son políticas y procedimientos que relacionan a muchas aplicaciones
y respaldan el funcionamiento efectivo de los controles de aplicación ayudando a asegurar
la continuidad de una operación adecuada del control de los sistemas de información de la
TI y la seguridad de los datos, generalmente incluyen los controles de los siguientes
puntos:
Generalmente se implantan para enfrentar los riesgos que se mencionan en el párrafo 60.
95. Los controles de aplicación son procedimientos manuales o automáticos que generalmente
se operan en un nivel de procesos de negocios. Los controles de aplicación pueden ser de
prevención o de detección por naturaleza y están diseñados para asegurar la integridad de
los registros contables. Consecuentemente, los controles de aplicación se relacionan a
procedimientos usados para iniciar, registrar, procesar y reportar transacciones u otro dato
financiero. Estos controles contribuyen a asegurar que las transacciones realizadas son
autorizadas y son registradas y procesadas con exactitud. Ejemplos que incluyen revisiones
o verificaciones de los datos ingresados y verificación de la secuencia numérica
presentando informes sobre las excepciones o corrección en el momento de ingreso de la
información.
98. En muchas organizaciones, los auditores internos o el personal con funciones similares
contribuyen a la supervisión de las actividades en la organización. Ver NIA 610
“Consideración del Trabajo de Auditoría Interna” sobre información adicional. Las
actividades de seguimiento administrativo también incluyen información de las
comunicaciones de las partes externas como: Queja de los clientes y comentarios de los
entes reguladores que indican problemas o resaltan áreas que requieren mejora.
99. Es posible que gran parte de la información usada para el seguimiento fue producida por el
sistema de información de la organización. Si la administración asume que los datos
usados para el seguimiento son correctos sin tener una base para está suposición, es posible
que existan errores en la información, lo cual puede dar lugar a que la administración
llegue a conclusiones incorrectas sobre sus actividades de seguimiento. El auditor obtiene
conocimiento de los recursos con los que cuenta la organización en relación con las
actividades de seguimiento de la organización y en qué se basa la administración para
considerar que la información es lo suficientemente fidedigna para sus fines. Cuando el
auditor intenta hacer uso de la información de la organización producida por las
actividades de seguimiento como los informes de los auditores internos, el auditor
considerará si la información provee una base fidedigna y si está suficientemente detallada
para propósitos de la auditoría.
· Considera si los riesgos son de magnitud los cuales podrían resultar de las errores
significativos en el estado financiero; y
· Considera la probabilidad que los riesgos puedan resultar de los errores significativos
en los estados financieros.
101.El auditor usa información recogida por los procedimientos de evaluación de riesgos,
incluyendo la evidencia de auditoría obtenida en la evaluación del diseño de controles y
determina si han sido implantadas, como evidencia de auditoría para sustentar la
evaluación de riesgos. El auditor utiliza dichos riesgos para determinar la naturaleza,
oportunidad y alcance de los procedimientos de auditoría a ser aplicados.
102.El auditor determina si los riesgos identificados de errores significativos están relacionados
a tipos específicos de transacciones, cuentas de balance, revelaciones y aseveraciones
correspondientes o si tienen en su totalidad un alcance más amplio en los estados
financieros y que afectan significativamente muchas aseveraciones. Los últimos riesgos
(riesgos a nivel de los estados financieros) quizás deriven en particular de un ambiente de
control débil.
103.La naturaleza de los riesgos que surgen de un entorno de control deficiente, probablemente
no sea reducida a un riesgo específico individual de errores significativos en tipos
particulares de transacciones, saldos de cuentas, o aseveraciones. Más bien, la deficiencia
como la incompetencia administrativa quizás tienen un efecto más dominante en los
estados financieros y quizá requieran de una reacción global por parte del auditor.
104.Al realizar la evaluación de riesgos, el auditor deberá identificar los controles que podrían
prevenir, detectar y corregir los errores significativos en aseveraciones específicas. Por lo
general, el auditor obtiene conocimiento del control y los relaciona con las aseveraciones
en el contexto de los procesos y sistemas en los cuales se presentan. Hacer esto es más útil
porque las actividades individuales de control frecuentemente no están dirigidas de por sí a
riesgos. Con frecuencia, muchas de las actividades múltiples de control junto con otros
elementos de control interno pueden ser suficientes para abordar un riesgo.
105.En cambio, algunas de las actividades de control pueden tener un efecto específico en una
aseveración individual expresada en una clase particular de transacciones o saldos de
cuentas. Por ejemplo, el control de actividades que una organización establece para
asegurar que su personal cuente apropiadamente y registre el inventario físico anual está
relacionado directamente a las aseveraciones sobre la existencia y totalidad del inventario.
107.El entendimiento del auditor sobre los controles internos quizás incremente dudas acerca
de la auditoría en los estados financieros de la organización. Las dudas con respecto a la
integridad de la administración de la organización pueden ser tan graves que cause que el
auditor concluya que el riesgo de imprecisiones o errores en los estados financieros es tan
grande que no se puede efectuar una auditoría. Es posible también que las condiciones y
legitimidad de los registros de la organización lleve al auditor a concluir que es poco
probable que se encuentre suficiente evidencia relevante de auditoría para respaldar una
opinión sin salvedades sobre los estados financieros. En estas circunstancias, el auditor
considera la posibilidad de expresar una salvedad o abstención de opinión en su dictamen,
pero en algunos casos, el auditor solamente cumple con retirarse del compromiso.
109.La determinación de los riesgos significativos, los cuales aumentan en muchas de las
auditorías, es un asunto de criterio profesional para los auditores. Al usar este criterio, el
auditor excluye los efectos de los controles identificados relacionados con el riesgo para
determinar si la naturaleza de los riesgos y la probable magnitud de las impresiones
potenciales, incluye la posibilidad de que el riesgo de lugar a imprecisiones múltiples y la
probabilidad de que el riesgo ocurra es tal que amerita una consideración especial para la
auditoría. Transacciones rutinarias no complejas que están sujetas a procesos sistemáticos
tienen menos probabilidades de incrementar los riesgos significativos porque tienen riesgos
inherentes menores. Por otro lado, los riesgos significativos son frecuentemente derivados
de los riesgos en los negocios que pueden resultar en una imprecisión significativa. Al
considerar la naturaleza de los riesgos, el auditor considera un número de temas,
incluyendo los siguientes:
· Si el riesgo envuelve transacciones significativas que estén fuera del curso normal de
los negocios de la organización que parecen ser inusuales.
111.Los riesgos de imprecisiones o errores significativos pueden ser más grandes que los
riesgos relacionados con las transacciones no rutinarias significativas que surgen de:
112.Es posible que los riesgos de errores significativos sean más grandes en los riesgos
relacionados con temas del uso del criterio que requiere la preparación de estimados
contables, que surgen de temas tales como:
· El requerimiento del uso del criterio puede ser subjetivo o complejo o con nociones
requeridas acerca de los efectos de futuros eventos, por ejemplo: Uso del criterio
profesional sobre el valor razonable.
113. Con respecto a los riesgos significativos, en la medida que el auditor no lo haya hecho
así, el auditor evaluará el diseño de los controles relacionados con la organización,
incluyendo las actividades del control relevante y determinará si éstas han sido
implantadas. El entendimiento de los controles de la organización sobre los riesgos
significativos proporciona al auditor una información adecuada para desarrollar un enfoque
NIA 315 256
ENTENDIENDO A LA ORGANIZACIÓN Y SU AMBIENTE Y EVALUANDO
LOS RIESGOS DE IMPRECISIONES O ERRORES SIGNIFICATIVOS
Riesgos para los cuales los Procedimientos Sustantivos no Proporcionan Suficiente Evidencia
Relevante de Auditoría
116.El entendimiento del sistema de información de la organización relevante para preparar los
informes permite que el auditor identifique los riesgos de errores significativos que están
relacionadas directamente con el registro de transacciones rutinarias o saldos de cuenta y la
preparación de estados financieros fidedignos; dentro de estos riesgos, están los riesgos en
el procesamiento incorrecto e incompleto. Habitualmente, tales riesgos están relacionados
con tipos de transacciones significativas tales como, ingresos, compras, recepción de
efectivo y pagos en efectivo de la organización.
· Una organización que conduce su negocio usando la TI para iniciar pedidos para la
compra y entrega de bienes sobre la base de normas predeterminadas sobre qué
ordenar, qué cantidades a pagar sobre las correspondientes cuentas por pagar, sobre la
base de decisiones generadas por el sistema originadas por la recepción confirmada
de pagos de bienes y términos. No se produce ninguna otra información sobre pedidos
colocados o sobre bienes recibidos a través de otro sistema que no sea la TI.
· Una organización que proporciona servicios al cliente por medio de una vía
electrónica (por ejemplo, servicio de Internet, proporcionada por la compañía de
telecomunicaciones) y usa la TI para crear un registro de los servicios proporcionados
a sus clientes, para iniciar y procesar sus facturas por dichos servicios y registrar
automáticamente tales montos en los informes contables electrónicos que son parte del
sistema usado para preparar los estados financieros de la organización.
119.La evaluación que efectúa el auditor sobre los riesgos de errores significativos a nivel de
aseveración se basa en la evidencia de auditoría disponible y que puede cambiar durante el
curso de la auditoría en la medida que se obtiene evidencia de auditoría adicional. En
particular, es posible que la evaluación de riesgos se base en una expectativa de que los
controles estén operando efectivamente para prevenir, o detectar y corregir un error
significativo en el nivel de la aseveración. Al ejecutar las pruebas de control para obtener
evidencia de auditoría sobre la efectividad de los controles, el auditor puede obtener
evidencia de auditoría de que los controles no están funcionando eficientemente en
momentos importantes de la auditoría. De igual modo, al ejecutar los procedimientos
sustantivos es posible que el auditor detecte errores significativos en los montos o una
frecuencia mayor que la que es consistente con las evaluaciones de riesgo del auditor. En
circunstancias en las que el auditor obtiene evidencia de auditoría como resultado de
ejecutar procedimientos de auditoría adicionales, que tienden a contradecir la evidencia de
auditoría en la que originalmente se basó la evaluación, el auditor revisa la evaluación y
modifica los procedimientos adicionales planificados consecuentemente. Para mayor
orientación vea los párrafos 66 y 70 de la NIA 330.
Documentación
122.El auditor deberá documentar:
(a) La discusión / debate efectuada por el equipo del compromiso con respecto a la
susceptibilidad de los estados financieros de la organización de tener errores
significativos debido a un error o fraude y las principales decisiones tomadas;
(b) Los elementos clave para la comprensión obtenida de cada uno de los aspectos de
la organización y de su ambiente identificado en el párrafo 20, incluyendo cada
uno de los componentes del control interno identificados en el párrafo 43, para
evaluar el riesgo de errores significativos en los estados financieros, las fuentes de
información de las que se obtuvo el entendimiento y los procedimientos de
evaluación de riesgos;
123.El auditor deberá recurrir a su criterio profesional para determinar cómo se documentarán
estos temas. Particularmente, los resultados de las evaluaciones de riesgos pueden ser
documentados de forma separada o como parte de los documentos de procedimientos de
auditoría adicionales (para mayor información véase párrafo 73 de la NIA 330.) Ejemplos
de las técnicas comunes, usadas solas o en combinación incluyen descripciones,
cuestionarios, listas de revisión y diagramas de flujo. Estas técnicas pueden ser muy útiles
al documentar las evaluaciones de riesgo de errores significativos tanto en los niveles de
los estados financieros como de las aseveraciones. La forma y alcance de está
documentación está influenciada por la naturaleza, tamaño y complejidad de la
organización y de su control interno, por la disponibilidad de información de la
organización y por la metodología y tecnología específica de auditoría utilizada en el
proceso. Por ejemplo, la documentación de entendimiento del sistema de información
compleja en el que una gran cantidad de transacciones se inician, registran, procesan y
reportan de forma electrónica deberá incluir diagramas de flujo, cuestionarios o tablas de
decisión. La documentación en forma de memorando deberá ser suficiente para un sistema
de información que no utiliza la TI o lo hace en forma limitada o que procesa pocas
transacciones (por ejemplo, las deudas a largo plazo.) Habitualmente, mientras más
compleja sea la organización y más extensos sean los procedimientos realizados por el
auditor, más extensa será la documentación. La NIA 230,6 “Documentación” proporciona
mayor orientación sobre la documentación en el contexto de las auditorías de estados
financieros.
6
La NIA 230, “Documentación” será retirada cuando la NIA 230 (Revisada), “Documentación de Auditoría” entre en vigencia. La NIA 230
(Revisada) está en vigencia para las auditorías de información financiera para periodos que comienzan él, o después del, 15 de Junio de 2006.
124.Está NIA está vigente para auditorías de estados financieros para períodos que empiezan
él, o después del, 15 de diciembre de 1994.
2. Los párrafos 47-53 de está NIA, explican los controles adecuados para la auditoría. Con
frecuencia, los auditores del sector público tienen responsabilidades adicionales en lo que
respecta a los controles internos. Por ejemplo, informar que cumplan con el Código de
Práctica establecido y con las autoridades legislativas. Su revisión de controles internos
puede ser general o detallada.
3. Los párrafos 120 y 121 que están contenidos en la NIA, abordan el tema de la
comunicación de deficiencias. Puede que no exista información o comunicaciones de
requerimientos adicionales para los auditores del sector público. Por ejemplo, es posible
que las deficiencias del control interno deben reportarse al ente legislativo o cualesquier
otro ente del gobierno.
Apéndice 1
· Condiciones de la industria
· Ambiente de regulación
- Requerimientos de regulación.
- Fiscal
Naturaleza de la Organización
· Naturaleza y fuentes de los ingresos (por ejemplo, el fabricante, el mayorista, la banca, los
seguros y otros servicios financieros, comercio de importación / exportación, servicios
públicos, transporte y productos y servicios de tecnología)
· Productos o servicios en el mercado (por ejemplo, los principales clientes y contratos, términos
y condiciones de pago, margen de ganancia, participación del mercado, competencia,
exportadores, políticas de precios, reputación de los productos, garantías, libro de pedidos,
tendencias, estrategia de marketing y objetivos, procesos de fabricación)
· Involucrarse en el comercio electrónico, que incluye las ventas por Internet y las actividades de
marketing.
· Clientes clave
· Proveedores importantes de bienes y servicios (por ejemplo, contratos a largo lazo, estabilidad
del abastecimiento, términos de pago, importaciones, formas de entrega “Justo a Tiempo”)
· Empleo (por ejemplo, por ubicación, provisión, niveles de sueldo, contratos con el sindicato,
pensiones y otro tipo de beneficios de retiro, opciones de acciones o arreglos de gratificaciones
y normas de gobierno relacionadas a temas laborales)
Inversiones
Financiamiento
· Partes vinculadas.
· Categorías significativas de una industria específica (por ejemplo, préstamos e inversiones para
bancos, cuentas por cobrar e inventario de los obreros, investigación y desarrollo de fármacos)
· Presencia de objetivos (es decir, cómo la organización enfrenta el sector económico o industria,
los factores de regulación y otros factores externos) que tienen relación, por ejemplo, con lo
siguiente:
o Desarrollos en la industria (un riesgo potencial del negocio relacionado puede ser, por
ejemplo, que la organización no tenga el personal o la pericia para tratar los cambios o
nuevos desarrollos en la industria)
o Los nuevos productos y servicios (un riesgo potencial del negocio puede ser, por ejemplo,
que la demanda no haya sido estimada con precisión)
o Los nuevos requerimientos contables (un riesgo potencial del negocio puede ser, por
ejemplo, la implantación no adecuada o incompleta, o el incremento de los costos)
o Requerimientos de regulación (un riesgo de negocio potencial puede ser, por ejemplo, que
exista un incremento en la exposición legal)
o Requerimientos financieros actuales y futuros (un riesgo potencial del negocio puede ser,
por ejemplo, la pérdida de adeudos financieros debido a la incapacidad de la organización
para reunir los requisitos)
o Uso de la TI (un riesgo potencial del negocio puede ser, por ejemplo, que los procesos y
sistemas sean incompatibles)
· Tendencias
Apéndice 2
Este apéndice brinda una mayor explicación de estos puntos en la medida que tienen
relación con la auditoría de los estados financieros.
Ambiente de Control
(c) Participación de las personas encargadas del gobierno. La conciencia que una
organización puede tener sobre lo que es control, está influenciada significativamente
por aquellas personas encargadas del gobierno. Los atributos de estas personas
incluyen ser independientes de la administración, su experiencia y moral, el grado en
que se involucran en el escrutinio de las actividades, la conveniencia o propiedad de
sus acciones, la información que reciben, el grado en que se presentan preguntas
difíciles a la administración y en que medida se busca obtener respuesta a esas
preguntas, su interacción con auditores internos externos. La importancia de las
responsabilidades de las personas encargadas del gobierno se reconoce en los códigos
de práctica y otras regulaciones o guías producidas para su beneficio. Otras de sus
responsabilidades incluyen la supervisión del diseño y la operación efectiva de los
procedimientos para que cualesquier persona pueda sin mayores riesgos proporcionar
información sobre manejos inapropiados, así como los procesos utilizados en la
revisión de la efectividad del control interno.
(g) Las políticas y prácticas de recursos humanos. Están relacionadas con las actividades
de selección de personal, orientación, capacitación, evaluación, consejería, promoción,
compensación salarial y acciones correctivas. Por ejemplo, las normas utilizadas en la
selección de los más calificados (con énfasis en la educación, experiencia laboral,
logros anteriores y pruebas de comportamiento íntegro y ético) demuestran el
compromiso de una organización con la competencia y con las personas dignas de
confianza. Las políticas de capacitación que comunican los roles y responsabilidades
futuras e incluyen prácticas como las escuelas de capacitación y seminarios,
4. Las organizaciones pequeñas, en comparación con las más grandes, implantan los
elementos del ambiente de control de manera distinta. Por ejemplo, puede que las
organizaciones pequeñas no tengan un código de conducta escrito, pero en vez de eso,
desarrollan una cultura que pone énfasis en la importancia del comportamiento íntegro y
ético a través de la comunicación oral y el ejemplo de la administración. A su vez, es
posible que las personas encargadas del gobierno en este tipo de organizaciones no sean
miembros independientes o externos.
10. Por consiguiente, un sistema de información comprende los métodos y registros que:
· Describen oportunamente las transacciones con los detalles necesarios que permitan la
clasificación adecuada de las transacciones para la preparación de los informes
financieros.
· Miden el valor de las transacciones de tal manera que permita registrar su propio valor
monetario en los estados financieros.
13. Los sistemas de información y los procesos correspondientes de negocios, adecuados a los
informes financieros en organizaciones pequeñas, tienen probabilidades de ser menos
formales que las más grandes, pero su rol es igual de significativo. En las organizaciones
pequeñas donde se involucra activamente la administración, puede que no se necesite
descripciones extensas de los procedimientos contables, registros contables sofisticados o
políticas por escrito. En las organizaciones pequeñas, a diferencia de las grandes, las
comunicaciones pueden ser menos formales y más fáciles de lograr debido al tamaño y a
los pocos niveles, así como a una mayor presencia y disponibilidad de la administración.
Control de Actividades
14. El control de actividades corresponde a las políticas y los procedimientos que contribuyen
a asegurar que se seguirán las directivas de administración. Por ejemplo, que se tomen las
acciones necesarias para dirigir los riesgos que significan una amenaza para que la
organización logre sus objetivos. Las actividades de control con la TI o sistemas manuales,
tienen diversos objetivos y se aplican en diferentes niveles organizacionales y funcionales.
15. Generalmente, las actividades de control que pueden ser relevantes para la auditoría,
pueden ser clasificadas como políticas y procedimientos en relación con:
16. Ciertas actividades de control pueden depender de la existencia de niveles más altos de
políticas establecidos por la administración o por aquellos encargados del gobierno. Por
ejemplo, la autorización de controles se puede delegar bajo los lineamientos establecidos,
como los criterios de inversión establecidos por los encargados del gobierno;
alternativamente, transacciones no rutinarias como grandes adquisiciones o ventas pueden
requerir un nivel de aprobación específico, que incluye en algunos casos a los accionistas.
17. Es probable que los conceptos referentes a las actividades de control en organizaciones
pequeñas tengan similitud con las de organizaciones grandes, pero la formalidad con la que
operan varía. Además, las organizaciones pequeñas pueden encontrar que algunos tipos de
controles de actividades no son adecuados debido a los controles aplicados por la
administración. Por ejemplo: la retención de la autoridad para aprobar ventas a crédito por
parte de la administración, compras importantes y pagos con cargo al capital en líneas de
crédito, pueden brindar un gran control de estas actividades, disminuyendo o eliminando la
necesidad de actividades de control más detalladas. En muchos casos, una apropiada
segregación de deberes en las organizaciones pequeñas puede presentar dificultades. Sin
embargo, incluso las compañías que solo cuentan con pocos empleados pueden ser capaces
de asignar las responsabilidades para lograr una apropiada segregación o, si es posible,
utilizar la supervisión de la administración para detectar actividades incompatibles para
lograr los objetivos de control.
19. El monitoreo de los controles es un proceso que evalúa la calidad del rendimiento del
control interno. Esto involucra la evaluación del diseño y operación de los controles y la
aplicación de acciones correctivas necesarias. El monitoreo se realiza para asegurar que los
controles continúen operando efectivamente. Por ejemplo: Si no monitorean la oportunidad
21. En muchas organizaciones, los auditores internos o personal realizan funciones similares
que contribuyen al monitoreo de los controles de la organización a través de evaluaciones
separadas. Regularmente, ellos brindan información sobre el funcionamiento del control
interno, centrando su atención en la evaluación del diseño y operación del control interno.
Comunican la información sobre los puntos fuertes y débiles y dan recomendaciones para
mejorar el uso del control interno.
23. Es muy probable que las actividades de monitoreo continuadas en las organizaciones
pequeñas sean más informales y estén realizadas típicamente como parte de las funciones
generales de la administración de la organización. La gran participación de la
administración en las operaciones con frecuencia logrará que se identifiquen las principales
variaciones con respecto a las expectativas e inexactitudes de la información financiera,
todo lo cual conducirá a la toma de acciones correctivas en el control.
Apéndice 3
· Uso de finanzas fuera de libros, organizaciones con propósitos especiales y otros arreglos
financieros complejos.
· Falta de personal con habilidades adecuadas para preparar informes contables y financieros.
· Las transacciones que se registran sobre la base del propósito de la administración. Por
ejemplo, refinanciamiento de la deuda, activos para la venta y clasificación de valores
negociables.