NIA315

NORMA INTERNACIONAL DE AUDITORIA 315
ENTENDIENDO A LA ORGANIZACION Y SU AMBIENTE Y EVALUANDO

LOS RIESGOS DE ERRORES SIGNIFICATIVOS
(En vigencia para auditorías de estados financieros para periodos
que comienzan él, o después del, 15 de diciembre del 2004)
CONTENIDO
Párrafo
Introducción ................................................................................................................................. 1-5

Procedimientos de Evaluación de Riesgos y
Fuentes de Información Acerca de la Organización
y su Ambiente, Incluyendo su control Interno .................................................................... 6-19
Entendiendo la Organización y su Ambiente, Incluyendo el Control Interno ......................... 20-99
Evaluando los Riesgos de Errores Significativos ................................................................ 100-119
Comunicándose con Aquellos Encargados del
Gobierno de la Empresa y de la Administración .......................................................... 120-121
Documentación .................................................................................................................... 122-123
Fecha Efectiva de Vigencia......................................................................................................... 124
Apéndice 1: Entendiendo la Organización y su Ambiente
Apéndice 2: Componentes del Control Interno
Apéndice 3: Condiciones y Eventos que Pueden Indicar Riesgos de Errores Significativos
La Norma Internacional de Auditoría (NIA) 315, “Entendiendo a la Organización y su Ambiente y

Evaluando los Riesgos de Imprecisiones o Errores Significativos” deberá leerse en el contexto del
“Prefacio a las Normas Internacionales sobre Control de Calidad, Auditoría, Revisión y Otros
Compromisos de Aseguramiento y de Servicios Afines”, el cual precisa la aplicación y autoridad de
las NIAs.
NIA 315 229

ENTENDIENDO A LA ORGANIZACIÓN Y SU AMBIENTE Y EVALUANDO
LOS RIESGOS DE IMPRECISIONES O ERRORES SIGNIFICATIVOS
Introducción
1. El propósito de la presente NIA es establecer normas y proporcionar orientación para
obtener un entendimiento de la organización y su ambiente, incluyendo su control interno y
en la evaluación de los riesgos de errores significativos en una auditoría de estados
financieros. La importancia de la evaluación del riesgo de auditoría como base para
efectuar procedimientos de auditoría adicionales, se desarrolla en la explicación del riesgo
de auditoría en la NIA 200, “Objetivo y Principios Generales que Rigen una Auditoría de
Estados Financieros.”
2. El auditor deberá lograr un entendimiento de la organización y su ambiente,

incluyendo su control interno, suficiente para identificar y evaluar los riesgos de que
se produzcan imprecisiones y errores significativos en los estados financieros, ya sea
debido a fraude o error, y para diseñar y ejecutar procedimientos de auditoría
adicionales. La NIA 500 “Evidencia de Auditoría”, requiere que el auditor use
aseveraciones en suficiente detalle para formar las bases para una evaluación de los riesgos
de que se produzcan errores significativos y para diseñar y ejecutar procedimientos de
auditoría adicionales. La presente NIA requiere que el auditor efectúe evaluaciones de
riesgos al nivel de los estados financieros y de las aseveraciones contenidas en ellos sobre
la base de un entendimiento adecuado de la organización y de su ambiente, incluyendo el
control interno. La NIA 330, “Los Procedimientos del Auditor Frente a los Riesgos
Evaluados”, aborda el tema de la responsabilidad del auditor para determinar las respuestas
globales y para diseñar y ejecutar procedimientos de auditoría adicionales, cuya naturaleza,
oportunidad y alcance se determinan en respuesta a las evaluaciones de riesgos. Los
requerimientos y orientación para la aplicación de la presente NIA serán aplicados en
conjunto con los requerimientos y orientación proporcionados en otras NIAs. En particular,
se proporciona orientación adicional con respecto a la responsabilidad del auditor de
evaluar los riesgos de errores significativos debido a fraude que es discutido en la NIA
240, “Responsabilidad del Auditor de Considerar el Fraude y Error en una Auditoría de
Estados Financieros”.
3. La siguiente es una síntesis de los principales requerimientos de la presente norma:
· Evaluación de riesgos y fuentes de información acerca de la organización y su

ambiente, incluyendo su control interno. Está sección explica los procedimientos de
auditoría que el auditor tiene que ejecutar para obtener un entendimiento de la
organización y su ambiente, incluyendo su control interno (procedimientos de
evaluación de riesgos.) También requiere que se lleve a cabo debates al interior del
equipo del compromiso sobre la susceptibilidad a la que están sujetos los estados
financieros de la organización a errores significativos.
· Entendiendo la organización y su ambiente, incluyendo su control interno. Está

sección requiere que el auditor entienda aspectos específicos de la organización y su
ambiente, así como los componentes de su control interno con el fin de identificar y
evaluar los riesgos de errores significativos.
· Evaluando los riesgos de errores significativos. Está sección requiere que el auditor
identifique y evalúe los riesgos de errores significativos a nivel de los estados
financieros y de las aseveraciones contenidas en ellas. El auditor:
NIA 315 230

o Identifica riesgos al considerar la organización y su ambiente, incluyendo los

controles relevantes al considerar los tipos de transacciones, saldos de cuentas y
revelaciones de información en los estados financieros;
o Establece una relación entre los riesgos identificados y lo que puede o podría estar
mal en el nivel de las aseveraciones; y
o Considera la importancia y probabilidad de los riesgos.
o La presente sección también requiere que el auditor determine si cualquiera de los

riesgos evaluados son riesgos significativos que requieran consideración especial
de auditoría o riesgos para los cuales los procedimientos sustantivos solamente no
proporcionan suficiente evidencia relevante de auditoría. Se requiere que el
auditor evalúe el diseño de los controles de la organización, incluyendo las
correspondientes actividades de control sobre tales riesgos y determine si han sido
implantados.
· Comunicándose con aquellos encargados de la Dirección de la Empresa y de su

Administración. Está sección aborda temas relacionados con errores en el control
interno que el auditor comunica a aquellos encargados de la Dirección de la Empresa y
de su Administración.
· Documentación. Está sección establece los requerimientos de documentación

pertinentes.
4. Obtener un entendimiento de la organización y su ambiente, es un aspecto esencial en la

ejecución de una auditoría de acuerdo con las NIAs. En particular, ese entendimiento
establece un marco de referencia dentro del cual el auditor planifica la auditoría y ejerce un
criterio profesional en la evaluación de riesgos de errores en los estados financieros y en su
respuesta a esos riesgos en toda la auditoría. Por ejemplo al:
· Establecer el grado de importancia y evaluar si su consideración del grado de

importancia sigue siendo adecuado a medida que la auditoría avanza;
· Considerar la idoneidad de la selección y aplicación de políticas contables y la

idoneidad de las revelaciones de información en los estados financieros;
· Identificar áreas en las que se requiere consideración especial de auditoría, por

ejemplo, en lo que respecta a transacciones entre empresas vinculadas, la idoneidad
del uso del supuesto de empresa en marcha por la empresa o el propósito comercial de
las transacciones;
· Desarrollar expectativas de uso al ejecutar procedimientos analíticos;
· Diseñar y ejecutar procedimientos de auditoría adicionales para reducir el riesgo de

auditoría a un nivel aceptablemente bajo; y
· Evaluar la suficiencia e idoneidad de la evidencia de auditoría obtenida, tales como la

propiedad de los supuestos usados y las declaraciones orales o escritas de la
administración.
231 NIA 315

5. El auditor recurre a su criterio profesional para determinar el alcance del entendimiento

requerido sobre la organización y su ambiente, incluyendo su control interno. La
consideración básica del auditor es si el entendimiento que se ha obtenido es suficiente
para evaluar los riesgos de errores significativos en los estados financieros y para diseñar y
ejecutar procedimientos de auditoría adicionales. El grado del entendimiento general que
se requiere por parte del auditor al ejecutar la auditoría es menor que el que posee la
administración de la organización.
Procedimientos de Evaluación de Riesgos y Fuentes de Información Acerca de la

Organización y su Ambiente, Incluyendo su Control Interno
6. Obtener un entendimiento de la organización y su ambiente, incluyendo su control interno,
es un proceso continuo y dinámico de recolección, actualización y análisis de información
durante todo el proceso de auditoría. Tal como se describe en la NIA 500, los
procedimientos de auditoría para obtener este entendimiento a que se hace referencia, son
los “procedimientos de evaluación de riesgos”, debido a que parte de la información
obtenida al ejecutar tales procedimientos pueden ser usados por el auditor como evidencia
de auditoría para respaldar las evaluaciones de riesgos de errores significativos. Además, al
ejecutar procedimientos de evaluación de riesgos, el auditor puede obtener evidencia de
auditoría sobre los tipos de transacciones, saldos de cuentas o revelaciones de información
y las respectivas aseveraciones y sobre la efectividad operativa de los controles, aun
cuando tales procedimientos de auditoría no fueron específicamente planificados como
procedimientos sustantivos o como pruebas de control. El auditor también puede escoger
ejecutar procedimientos sustantivos o pruebas de control concurrentemente con los
procedimientos de evaluación de riesgos considerando que se gana eficiencia al hacerlo
así.
Procedimientos de Evaluación de Riesgos
7. El auditor deberá ejecutar los siguientes procedimientos de evaluación de riesgos,

para obtener un entendimiento de la organización y su ambiente, incluyendo su
control interno:
(a) Indagaciones con la administración y otros, dentro de la organización;
(b) Procedimientos analíticos; y
(c) Observación e inspección.
No se requiere que el auditor ejecute todos los procedimientos de evaluación de riesgos

que acabamos de describir para cada aspecto del entendimiento descrito en el párrafo 20.
Sin embargo, todos los procedimientos de evaluación de riesgos son ejecutados por el
auditor al tratar de obtener el requerido entendimiento.
8. Adicionalmente, el auditor ejecuta otros procedimientos de auditoría cuando la

información obtenida puede ser útil al identificar riesgos de imprecisiones o errores
significativos. Por ejemplo, el auditor puede considerar efectuar indagaciones con el asesor
legal externo de la organización o con peritos tasadores a los que la organización ha
recurrido. Revisar información obtenida de fuentes externas tales como informes de
analistas, bancos o de clasificadoras de riesgo, literatura comercial o económica o
publicaciones de entes reguladores o instituciones financieras, puede resultar útil al tratar
de obtener información acerca de la empresa.
NIA 315 232

9. Aunque gran parte de la información que obtiene el auditor sobre la base de indagaciones
puede ser obtenida de la administración y otros responsables de la presentación de
informes financieros, efectuar indagaciones en otros dentro de la organización, tales como
personal de producción y auditoría interna y otros empleados con diferentes niveles de
autoridad puede resultar útil al proporcionar al auditor una perspectiva diferente en su
propósito de identificar riesgos de imprecisiones o errores. Al determinar a quienes otros
dentro de la organización se dirigirán sus indagaciones, y el alcance de tales indagaciones,
el auditor considera que información puede ser obtenida que ayude a este a identificar los
riesgos de errores. Por ejemplo:
· Indagaciones dirigidas hacia aquellos encargados de la Dirección de la organización

pueden ayudar al auditor a entender el ambiente en el cual los estados financieros son
preparados.
· Indagaciones dirigidas hacia el personal de auditoría interna pueden contribuir a sus

actividades con respecto al diseño y efectividad del control interno de la organización
y si la administración ha respondido satisfactoriamente a los hallazgos de auditoría
interna.
· Indagaciones con empleados dedicados a iniciar, procesar o registrar transacciones

complejas o inusuales pueden contribuir a que el auditor evalúe la propiedad de la
selección y aplicación de ciertas políticas contables.
· Indagaciones dirigidas a los asesores legales dentro de la organización pueden

contribuir con temas como procesos legales, cumplimiento con leyes y regulaciones,
conocimiento de fraude o indicios de fraude que afectan la organización, garantías,
obligaciones posteriores a la venta, acuerdos (tales asociaciones en participación) con
socios de negocios y el significado de las condiciones contractuales.
· Indagaciones dirigidas a personal de marketing o ventas pueden proporcionar

información sobre cambios en las estrategias de marketing de la organización,
tendencias de las ventas o los acuerdos contractuales con los clientes.
10. Los procedimientos analíticos pueden ser útiles al identificar la existencia de transacciones
inusuales o eventos y montos, ratios y tendencias que puedan indicar asuntos con
implicancias en los estados financieros y la auditoría. Al ejecutar los procedimientos
analíticos como procedimientos de evaluación de riesgos, el auditor desarrolla expectativas
sobre la relación plausible que se espera razonablemente exista. Al comparar tales
expectativas con los montos registrados o los ratios desarrollados sobre la base de los
montos registrados se descubren relaciones inusuales o inesperadas. Sin embargo, cuando
tales procedimientos analíticos usan datos agregados en un nivel alto (como se da
frecuentemente el caso), los resultados de dichos procedimientos analíticos solamente
proporcionan una indicación inicial genérica sobre la posible existencia de una imprecisión
o error significativo. Consecuentemente, el auditor considera los resultados de tales
procedimientos analíticos junto con otra información recogida al identificar los riesgos de
errores significativos. Ver la NIA 520, “Procedimientos Analíticos” para obtener mayor
orientación sobre el uso de procedimientos analíticos.
11. La observación e inspección pueden respaldar las indagaciones efectuadas con la

administración y otros tambien pueden proporcionar información sobre la organización y
su ambiente. Tales procedimientos de auditoría incluyen los siguientes:
233 NIA 315

· Observación de las actividades y operaciones de la organización
· Inspección de documentos (tales como planes de negocios y estrategias) registros y

manuales de control interno.
· Lectura de informes preparados por la administración (tales como los informes

trimestrales preparados por la administración y los estados financieros de periodos
parciales) y aquellos encargados del gobierno de la organización (actas de sesiones del
directorio.)
· Visitas a las oficinas e instalaciones de la organización.
· Rastrear las transacciones a través de sistemas de información relevantes a informes

financieros (rastreo de todo el proceso que sigue una determinada transacción.)
12. Cuando el auditor trata de usar información acerca de la organización y su ambiente

obtenida en periodos anteriores, el auditor deberá determinar si han ocurrido
cambios que puedan afectar la relevancia de tal información en la auditoría en curso.
Para compromisos continuos, la experiencia previa de auditor de la organización
contribuye a su entendimiento de la misma. Por ejemplo, los procedimientos de auditoría
en auditorías previas por lo general proporcionan evidencia de auditoría sobre la estructura
organizacional, negocio y controles, así como información sobre imprecisiones o errores
pasados y si fueron corregidos oportunamente o no. Todo esto contribuye a que el auditor
tenga una evaluación adecuada sobre los riesgos de imprecisiones o errores significativos
en la auditoría en curso. Sin embargo, tal información puede ser ahora irrelevante debido a
cambios en la organización o su ambiente. El auditor efectúa indagaciones y ejecuta otros
procedimientos de auditoría adecuados, tales como rastreo de sistemas, para determinar si
han ocurrido cambios que puedan afectar la relevancia de tal información.
13. Cuando sea relevante para la auditoría, el auditor también considera otra información tales
como la obtenida del proceso de aceptación y continuación o, cuando sea práctico, la
experiencia obtenida en otros encargos ejecutados para la organización, por ejemplo,
encargos de revisión de los estados financieros en fechas intermedias.
Debate y Discusión entre los Miembros del Equipo del Compromiso
14. Los miembros del equipo del compromiso deben debatir sobre la susceptibilidad de
los estados financieros de la organización a las imprecisiones o errores significativos.
15. El objetivo de este debate y discusión es importante para los miembros del equipo del
compromiso para ganar un mejor entendimiento sobre el potencial de imprecisiones o
errores significativos de los estados financieros que resultan de fraude o error en las áreas
específicas asignadas a ellos y para entender cómo los resultados de los procedimientos de
auditoría que efectúan pueden afectar otros aspectos de la auditoría incluyendo las
decisiones sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría.
16. La discusión proporciona una oportunidad para que los miembros más experimentados del
equipo del compromiso, incluyendo al socio del encargo, compartan su perspectiva y el
conocimientos que adquirió de la organización y para que los miembros del equipo
intercambien información sobre los riesgos del negocio1 a los cuales la organización está
1 .
Ver párrafo 30
NIA 315 234

sujeta y sobre cómo y dónde los estados financieros pueden ser más susceptibles a errores
significativos. Tal como lo requiere la NIA 240, se da particular énfasis a la susceptibilidad
de que los estados financieros de la organización tengan errores significativos. La
discusión también aborda el tema de la aplicación del marco de referencia aplicable para la
presentación de información financiera a los hechos y circunstancias de la organización.
17. Se deberá usar el juicio profesional al determinar qué miembros del equipo del
compromiso se incluyen en la discusión, cómo y cuando ocurre y el alcance de la
discusión. Los miembros claves del equipo del compromiso se encuentran normalmente
envueltos en la discusión; sin embargo, no es necesario que todos los miembros tengan un
conocimiento integral de todos los aspectos de la auditoría. El alcance de las discusiones
estará influenciada por los roles, experiencia y necesidades de información de los
miembros del equipo del compromiso. En una auditoría en múltiples lugares geográficos,
por ejemplo, se producirán múltiples debates que involucren a los miembros claves de los
equipos del compromiso en cada ubicación geográfica significativa. Otro factor a
considerar al planificar las discusiones es si se incluirán a expertos o especialistas
asignados al equipo del encargo. Por ejemplo, la auditoría puede decidir incluir a un
profesional que posee habilidades especializadas en tecnología de la información (TI)2
necesario en el equipo del compromiso y por lo tanto incluir a esa persona en la discusión.
18. Tal como lo requiere la NIA 200, el auditor planifica y ejecuta la auditoría con una actitud
de profesional. El debate y la discusión entre los miembros del equipo del compromiso
escepticismo enfatizan la necesidad de mantener escepticismo profesional durante todo el
compromiso para estar alerta a información u otras condiciones que indiquen un error
significativo debido a fraude o error el cual puedo haber ocurrido y ser muy riguroso al
efectuar el seguimiento a esos indicios.
19. Dependiendo de las circunstancias de la auditoría, se pueden producir debates adicionales

con el fin de facilitar el actual intercambio de información entre los miembros del equipo
del compromiso con respecto a la susceptibilidad de los estados financieros de la
organización a errores significativos. El propósito es que los miembros del equipo del
encargo comuniquen y compartan información obtenida en toda la auditoría que pueden
afectar la evaluación de los riesgos de errores significativos debidos a fraude o error o que
pueden afectar los procedimientos de auditoría ejecutados para abordar esos riesgos.
Entendiendo a la Organización y su Ambiente, Incluyendo el Control Interno
20. El entendimiento del auditor sobre la organización y su ambiente consiste en el

entendimiento de los siguientes aspectos:
(a) Sector económico, marco de referencia regulatorio y otros factores externos,

incluyendo el marco de referencia aplicable para la presentación de información
financiera.
(b) Naturaleza de las operaciones de la organización, incluyendo la selección y aplicación

del marco de referencia para la presentación de la información financiera.
(c) Objetivos y estrategias y los riesgos de negocio correspondientes que pueden resultar
en una imprecisión o error significativo en los estados financieros.
2
Ambiente de Tecnología de la Información (TI) comprende la automatización que significa el inicio, el proceso, almacenaje y comunicación de
la información, incluyendo el registro de los artefactos, sistemas de comunicación, sistemas computarizados (incluyendo los equipos y paquetes
de procesamiento de datos e información), y otros equipos electrónicos.
235 NIA 315

(d) Medición y revisión del rendimiento financiero de la organización.
(e) Control interno.
El Apéndice 1 contiene ejemplos de temas que el auditor puede considerar al lograr un

entendimiento de la organización y su ambiente relativos a las categorías (a) hasta (d). El
Apéndice 2 contiene una explicación detallada de los componentes del control interno.
21. La naturaleza, oportunidad y alcance de los procedimientos de evaluación de riesgos

ejecutados dependen de las circunstancias del compromiso, tales como el tamaño y
complejidad de la organización, y la experiencia del auditor con la misma. Además,
identificar cambios significativos en cualquiera de los aspectos de la organización
mencionados líneas arriba con respecto a años anteriores es particularmente importante al
obtener un entendimiento de la organización para identificar los riesgos evaluados de
errores significativos.
Sector Económico, Regulaciones y Otros Factores Externos, Incluyendo él Marco de

referencia Aplicable para la Presentación de Información Financiera
22. El auditor deberá lograr un entendimiento del sector económico, marco de referencia
regulador y otros factores externos, incluyendo el marco de referencia aplicable para
la presentación de información financiera. Estos factores incluyen condiciones del
sector económico tales como competencia, ambiente, relaciones proveedor-cliente y
desarrollo tecnológico. El marco de referencia regulador comprende entre otros aspectos,
temas sobre el marco de referencia aplicable para la presentación de información
financiera, el ambiente legal y político, los requerimientos relativos al medio ambiente que
afectan al sector económico y a la organización y otros factores externos tales como las
condiciones económicas generales. Remítase a la NIA 250, “Consideración de Leyes y
Regulaciones en la Auditoría de Estados Financieros” para evaluar los requerimientos
adicionales relativos al marco de referencia legal y regulador aplicable a la organización y
al sector económico o tipo de industria.
23. El sector económico en el que opera la organización puede dar lugar a riesgos específicos
de errores significativos que surgen de la naturaleza de las operaciones del negocio o del
grado de reglamentación. Por ejemplo, los contratos de largo plazo pueden involucrar
estimados significativos de ingresos y costos que dan lugar a riesgos de errores
significativos. En tales casos, el auditor considera si el equipo del compromiso incluye
miembros que tengan suficiente conocimiento y experiencia.
24. Los requerimientos reglamentarios y legislativos por lo general determinan el marco de

referencia aplicable para la presentación de información financiera que será usado por la
administración al preparar los estados financieros de la organización. En la mayoría de los
casos, el marco de referencia aplicable para la presentación de información financiera, será
el de la jurisdicción donde la organización está registrada u opera y donde también opera el
auditor. Por lo general el auditor y la organización tendrán un entendimiento común de ese
marco de referencia. En algunos casos, puede que no haya un marco de referencia local
para la presentación de información financiera, en cuyo caso la elección de la organización
será determinada por la práctica local, la práctica difundida en el sector económico o
industria, las necesidades del usuario u otros factores. Por ejemplo, las organizaciones que
representan la competencia de una organización determinada pueden estar aplicando las
Normas Internacionales de Información Financiera (NIIF), por ende, la organización puede
decidir que las NIIFs también son adecuadas para sus requerimientos de presentación de
NIA 315 236

informes financieros. El auditor considera si las regulaciones locales especifican ciertos

requerimientos para la presentación de información financiera para el sector económico o
industria en la que la organización opera, puesto que los estados financieros pueden
contener imprecisiones o errores significativos en el contexto del marco de referencia para
la presentación de informes financieros, si la administración no prepara los estados
financieros de acuerdo con tales regulaciones.
Naturaleza de las Operaciones de la Organización
25. El auditor deberá obtener un entendimiento de la naturaleza de la organización. La

naturaleza de una organización se refiere a las operaciones de la organización, su
propiedad y gobierno, los tipos de inversiones que está haciendo y los planes que tiene y la
manera cómo está estructurada la organización y cómo está siendo financiada. El
entendimiento de la naturaleza de la organización permite que el auditor entienda los tipos
de transacciones, los saldos de cuentas y revelaciones de información que se esperan en los
estados financieros.
26. Es posible que la organización tenga una estructura compleja con subsidiarias y otros
componentes en múltiples lugares geográficos. Aparte de las dificultades de consolidación
en esos casos, otros problemas que se presentan con las estructuras complejas y que
pueden dar lugar a riesgos de imprecisiones o errores significativos son los siguientes: la
provisión para plusvalía mercantil de los segmentos de negocios, y su deterioro, si las
inversiones son negocios conjuntos, subsidiarias o inversiones contabilizadas para usar el
método de participación patrimonial y si las organizaciones para propósitos especiales son
contabilizadas como corresponde.
27. El entendimiento de la propiedad y relaciones entre los propietarios y otras personas u

organizaciones es también importante al determinar si las transacciones entre partes
vinculadas han sido identificadas y contabilizadas adecuadamente. La NIA 550, “Partes
Vinculadas” proporciona orientación adicional sobre las consideraciones que el auditor
deberá efectuar con respecto a las partes vinculadas.
28. El auditor deberá obtener un entendimiento de la selección de la organización y la

aplicación de las políticas contables y considerar si son adecuadas para sus negocios y
consistentes con el marco de referencia aplicable para la presentación de información
financiera y las políticas contables usadas en el sector o industria específicos. Este
entendimiento implica los métodos usados por la organización para contabilizar
transacciones significativas e inusuales, el efecto de las principales políticas contables en
áreas controversiales o emergentes para las cuales no existe mayor guía u orientación
autorizada o consenso y cambios en las políticas contables de la organización. El auditor
también identifica las normas para la presentación de información financiera y las normas
y regulaciones que son nuevos para la organización y considera cómo y cuando la
organización adoptará tales requerimientos. En los casos en los que la organización ha
cambiado su selección de un método de aplicación de una política contable, el auditor
considera las razones para el cambio, y si es adecuado y consistente con los requerimientos
del marco de referencia para la presentación de información financiera.
29. La presentación de los estados financieros de conformidad con el marco de referencia

aplicable para la presentación de información financiera incluye la revelación de
información adecuada de temas importantes. Estos temas tienen relación con la forma,
acuerdos y contenido de los estados financieros y sus notas, incluyendo, por ejemplo, la
terminología usada, el monto de detalle dado, la clasificación de las partidas en los estados
237 NIA 315

y la base de los montos establecidos. El auditor considera si la organización ha revelado un

tema en particular a la luz de las circunstancias y hechos de los cuales el auditor tiene
conocimiento en ese momento.
Objetivos y Estrategias y Riesgos del Negocio Correspondientes
30. El auditor deberá obtener un entendimiento de los objetivos y estrategias de la

organización y los correspondientes riesgos de negocios que pueden resultar en
errores significativos en los estados financieros. La organización conduce sus negocios
en el contexto del sector económico o industria en el que opera, del marco de referencia
regulador y otros factores internos y externos. Para responder a estos factores, la
administración de la organización o aquellos encargados de su gobierno, definen objetivos,
que son los planes globales para toda la organización. Las estrategias son enfoques
operacionales por medio de los cuales la administración intenta lograr sus objetivos. Los
riesgos del negocio resultan de las principales condiciones, eventos, circunstancias, acción
o inacción que podría afectar negativamente la capacidad de la administración para lograr
sus objetivos y ejecutar sus estrategias o a través del establecimiento de objetivos y
estrategias inadecuados. Así como cambia el ambiente externo, la conducción de los
negocios de la organización es también un proceso dinámico y las estrategias y objetivos
de la organización también cambian con la oportunidad.
31. El riesgo del negocio es más amplio que el riesgo de errores significativos, aunque incluye
a este último. El riesgo del negocio puede surgir particularmente por cambios o
complejidades, aunque el dejar de reconocer la necesidad de cambio también puede dar
lugar a riesgo. La necesidad de cambio puede surgir, por ejemplo, del desarrollo de nuevos
productos que pueden fallar, de un mercado inadecuado, aun cuando hayan sido
desarrollados exitosamente o de fallas que pueden dar lugar a pasivos y riesgo de
reputación. Un entendimiento de los riesgos del negocio puede incrementar la probabilidad
de identificar riesgos de errores significativos. Sin embargo, el auditor no tiene
responsabilidad de identificar o evaluar todos los riesgos de negocio.
32. La mayoría de los riesgos del negocio por lo general tendrán consecuencias financieras y,
por lo tanto, un efecto en los estados financieros. Sin embargo, no todos los riesgos dan
lugar a riesgos de errores significativos. Es posible que un riesgo tenga una consecuencia
inmediata en lo que respecta al riesgo de errores significativos en los tipos de
transacciones, saldos de cuentas y revelaciones de información, en el nivel de las
aseveraciones o en el de los estados financieros en su conjunto. Por ejemplo, el riesgo del
negocio que surge en relación con una base de clientes contratistas debido a la
consolidación en esa determinada industria puede elevar el riesgo de errores relacionado
con la valorización de las cuentas por cobrar. Sin embargo, el mismo riesgo,
particularmente en combinación con una economía en contracción, también puede tener
una consecuencia de largo plazo, que el auditor considera al evaluar la idoneidad del
supuesto de empresa en marcha. La consideración que haga el auditor sobre si un riesgo de
negocio puede dar lugar a un error significativo se hace, por lo tanto, a la luz de las
circunstancias de la organización. Algunos ejemplos de eventos y condiciones que pueden
dar lugar a un error significativo se presentan en el Apéndice 3.
33. Por lo general la administración identifica los riesgos del negocio y desarrolla enfoques
para enfrentarlos. Tal evaluación de riesgos es parte del control interno y se discute en los
párrafos 76-79.
NIA 315 238

34. Las organizaciones más pequeñas por lo general no determinan sus objetivos y estrategias
o administran los riesgos correspondientes del negocio a través de planes formales o
procesos. En muchos casos es posible que no exista documentación sobre tales temas. En
tales organizaciones, el auditor logra un entendimiento a través de indagaciones con la
administración y la observación de cómo la organización responde a tales temas.
Medición y Revisión del Rendimiento Financiero de la Organización
35. El auditor deberá obtener un entendimiento de la medición y revisión del rendimiento

financiero de la organización. Las mediciones del rendimiento y su revisión señalan al
auditor aspectos del rendimiento de la organización que la administración y otros
consideran de importancia. Las mediciones de rendimiento, ya sean externas o internas,
crean presiones sobre la organización que, a su vez, pueden motivar a la administración a
tomar una medida para mejorar el rendimiento del negocio o para presentar estados
financieros imprecisos o con errores. Obtener un entendimiento de las medidas de
rendimiento de la organización contribuye a la consideración que efectúa el auditor sobre
si tales presiones dieron lugar a acciones por parte de la administración que pueden haber
incrementado los riesgos de errores significativos.
36. La medición y revisión que haga la administración del rendimiento financiero de la

organización deberá diferenciarse del seguimiento de los controles (que se abordan en el
componente de control interno en los párrafos 96-99) aunque su propósito pueda pasarse
por alto. El seguimiento o monitoreo de los controles tiene una relación directa y específica
con la efectividad del funcionamiento del control interno a través de la consideración de la
información sobre el control interno. La medición y revisión del rendimiento tiene por
objetivo saber si el rendimiento del negocio está cumpliendo con los objetivos establecidos
por la administración (o terceros), pero en algunos casos los indicadores de rendimiento
también proporcionan información que permite que la administración pueda identificar
deficiencias en el control interno.
37. Información que se genera internamente utilizada por la administración para este fin puede
incluir indicadores claves de rendimiento (financieros y no financieros), presupuestos,
análisis de variaciones, información por segmentos de negocios y divisiones o
departamentos y comparaciones del rendimiento de una organización con el de su
competencia. Terceros externos también pueden medir y revisar el rendimiento financiero
de la organización. Por ejemplo, información externa tal como los informes de los analistas
e informes sobre la clasificación de riesgo pueden proporcionar información útil para el
entendimiento por parte del auditor sobre la organización y su ambiente.
38. Las mediciones internas pueden traer resultados inesperados o tendencias que requieran
que la administración realice indagaciones con otros con el fin de determinar su causa y
llevar a cabo una acción correctiva (incluyendo, en algunos casos, la detección y
corrección de errores de manera oportuna.) Las mediciones del rendimiento también
pueden señalar al auditor un riesgo de error en la información de los estados financieros.
Por ejemplo, las mediciones del rendimiento pueden indicar que la organización tiene un
crecimiento o utilidad inusual al compararse con las de otras organizaciones en el mismo
sector económico o industria. Tal información, especialmente si son combinadas con otros
factores tales como las gratificaciones sobre la base del rendimiento o incentivos saláriales
puede indicar el riesgo potencial de prejuicio por parte de la administración para preparar
sus estados financieros.
239 NIA 315

39. Gran parte de la información usada en la medición del rendimiento puede ser producida
por el sistema de la organización. Si la administración asume que esos datos usados para
revisar el rendimiento de la organización son exactos sin tener una base para ese supuesto,
es posible que exista algún error en esa información, conduciendo a la administración a
conclusiones potencialmente incorrectas con respecto al rendimiento. Cuando el auditor
intenta hacer uso de las mediciones del rendimiento para efectos de la auditoría (por
ejemplo, para los procedimientos analíticos), el auditor considera si la información relativa
a la revisión por parte de la administración del rendimiento de la organización proporciona
una base confiable y es suficientemente precisa para tal efecto. Al hacer uso de las
mediciones de rendimiento, el auditor considerará si son lo suficientemente precisas para
detectar imprecisiones o errores significativos.
40. Las organizaciones más pequeñas no tienen procesos formales para medir y revisar el
rendimiento financiero de la organización. La administración, no obstante, depende de
ciertos indicadores claves, los cuales, tomando en cuenta el conocimiento y experiencia
que se tiene del negocio, constituyen una base confiable para evaluar el rendimiento
financiero y emprender acciones correctivas.
Control Interno
41. El auditor deberá obtener un entendimiento del control interno relevante para la
auditoría. El auditor usa su entendimiento del control interno para identificar los tipos de
errores potenciales, considerar los factores que afectan el riesgo de errores y determinar la
naturaleza, oportunidad y alcance de procedimientos de auditoría adicionales. El control
interno relevante para auditoría se trata en los párrafos 47-53 más adelante. Además, la
profundidad o dimensión del entendimiento se trata en los párrafos 54-56 más adelante.
42. El control interno es el proceso diseñado y puesto en práctica por aquellos encargados del
gobierno de la organización, la administración y otro personal para proporcionar un
aseguramiento razonable sobre el logro de los objetivos de la organización con respecto a
la confiabilidad de los informes financieros, la efectividad y eficiencia de las operaciones
y el cumplimiento con las leyes y regulaciones aplicables. Como consecuencia lógica el
control interno está diseñada e implantado para enfrentar riesgos identificados del negocio
que amenazan el logro de cualquiera de estos objetivos.
43. El control interno, según se discute en la presente NIA, tiene los siguientes componentes:
(a) El ambiente de control.
(b) El proceso de evaluación de riesgos de la organización.
(c) El sistema de información, incluyendo los procesos de los negocios relevantes para la
presentación de informes financieros y comunicación.
(d) Monitoreo de los controles.
(e) Seguimiento de los controles.
El Apéndice 2 contiene una discusión detallada de los componentes del control interno.
44. La división del control interno en cinco componentes proporciona un marco de referencia
útil para que los auditores consideren cómo diferentes aspectos del control interno de una
organización puede afectar la auditoría. Está división no refleja necesariamente, cómo una
NIA 315 240

organización considera e implanta el control interno. Además, la consideración principal

del auditor es determinar cómo un control interno específico evita o detecta y corrige
errores significativos en tipos de transacciones, saldos de cuentas o revelaciones de
información y sus aseveraciones correspondientes, antes que su clasificación en un
componente en particular. Consecuentemente, los auditores pueden usar diferente
terminología o marco de referencia para describir los diversos aspectos del control interno
y su efecto en la auditoría que aquellos que están usados en la NIA, siempre y cuando
todos los componentes descritos en el presente sean abordados.
45. La manera en la que se han diseñado e implantado los controles internos varía de acuerdo
al tamaño y complejidad de la organización. Específicamente, las organizaciones más
pequeñas pueden recurrir a medios menos formales y procesos y procedimientos más
simples para lograr sus objetivos. Por ejemplo, es posible que las organizaciones más
pequeñas con una administración que realmente se involucra y participa en el proceso de
presentación de informes financieros no tengan una descripción amplia de sus
procedimientos contables o políticas escritas y detalladas. En algunas organizaciones,
especialmente las más pequeñas, el dueño-gerente3 realiza funciones que en una medida
más amplia serían vistas, como algunos de los componentes de control interno. Por
consiguiente, es posible que los componentes del control interno no sean claramente
identificables en una organización pequeña; sin embargo, su propósito subyacente es
igualmente válido.
46. Para efectos de está NIA, la frase “control interno” conlleva todos los cinco componentes
mencionados anteriormente. Además, el término “controles” denota una o más de los
componentes, o cualesquier aspecto de los mismos.
Controles Relevantes a la Auditoría
47. Existe una relación directa entre los objetivos de la organización y los controles que
implanta para proporcionar un aseguramiento razonable sobre su consecución. Los
objetivos de la organización y por ende sus controles, tienen directa relación con la
presentación de informes financieros, las operaciones y el cumplimiento; sin embargo, no
todos estos objetivos y controles son relevantes para la evaluación de riesgos que efectuará
el auditor.
48. Por lo general, los controles que son relevantes para la auditoría tienen relación con el
objetivo de la organización de preparar estados financieros para propósitos externos que
reflejen adecuadamente (o sean presentados razonablemente, en todos sus aspectos
significativos) de acuerdo a un marco de referencia aplicable para la presentación de
información financiera y la administración de riesgos que podrían dar lugar a un error
significativo en dichos estados financieros. Es un asunto de criterio profesional del auditor,
determinar, sujeto a los requerimientos de la presente NIA, si un control, individual o
colectivamente con otros, es relevante al evaluar los riesgos de posibles errores
significativos y diseñar e implantar procedimientos adicionales en respuesta a los riesgos
evaluados. Al ejercer su criterio profesional, el auditor considerará las circunstancias, el
componente aplicable y los factores tales como:
· El criterio del auditor sobre el grado de importancia.
· El tamaño o dimensión de la organización.

3
Esta NIA utiliza el término “dueño-gerente” para indicar que es el propietario de la empresa y que esta involucrado en las transacciones y
movimiento diario de la empresa.
241 NIA 315

· La naturaleza del negocio de la organización, incluyendo las características de su

estructura organizacional y propiedad.
· La diversidad y complejidad de las operaciones de la organización.
· Los requerimientos legales y reguladores aplicables.
· La naturaleza y la complejidad del sistema es parte del control interno de la empresa,

incluyendo el uso de servicios de terceras organizaciones.
49. Los controles sobre la integridad y exactitud de la información producida por la

organización también pueden ser relevantes para la auditoría si el auditor intenta hacer uso
de esa información al diseñar y ejecutar procedimientos de auditoría adicionales. La
experiencia previa del auditor con la organización y la información obtenida al entender la
organización y su ambiente en todo el proceso de auditoría contribuye a que el auditor
pueda identificar aquellos controles que son relevantes para la auditoría. Además, aunque
el control interno se aplica a toda la organización o a alguna de sus unidades operativas y
procesos de negocios, un entendimiento del control interno relativo a cada una de las
unidades operativas de la organización y procesos de negocios puede no ser relevante para
la auditoría.
50. Los controles relacionados con los objetivos operativos y de cumplimiento pueden, sin
embargo, ser relevante para una auditoría si se trata de datos que el auditor evalúa o usa al
aplicar sus procedimientos de auditoría. Por ejemplo, los controles que tienen relación con
datos no financieros que el auditor utiliza en sus procedimientos analíticos, como los de
estadísticas de producción o los controles que tienen relación con la detección de
incumplimiento con las leyes y regulaciones aplicables que podrían tener un efecto directo
y significativo en los estados financieros, tales como los controles sobre el cumplimiento
con las leyes del impuesto a la renta y regulaciones usadas para determinar la provisión
para el impuesto a la renta, pueden ser relevantes para la auditoría.
51. Una organización por lo general tiene controles relativos a los objetivos que no son
relevantes para una auditoría y por lo tanto no tienen que ser considerados. Por ejemplo,
una organización puede depender de un sistema sofisticado de controles automatizados
para tener operaciones eficientes y efectivas (tales como el sistema de aerolínea comercial
de los controles automatizados que mantiene los horarios de vuelos), sin embargo estos
controles no serían relevantes para la auditoría.
52. El control interno para salvaguardar los activos contra adquisiciones, uso o disposición no
autorizados pueden incluir controles relativos a los objetivos de presentación de
información financiera y operaciones. Al obtener un entendimiento de cada uno de los
componentes del control interno, la consideración que haga el auditor de los controles para
proteger los activos está limitada generalmente a aquellos controles relevantes para la
confiabilidad de los informes financieros. Por ejemplo, el uso de controles de acceso, tales
como “contraseñas”, que limitan el acceso a los datos y programas que procesan los
desembolsos de caja pueden ser relevantes para una auditoría de estados financieros.
53. Puede existir un control relevante para la auditoría en cada uno de los componentes del
control interno. Una explicación un poco más extensa se encuentra bajo el encabezado de
cada componente de control interno más adelante. Además, los párrafos 113 – 115 abordan
el tema de ciertos riesgos que requiere que el auditor evalúe el diseño de los controles
sobre tales riesgos y determine si han sido implantados.
NIA 315 242

Profundidad del Entendimiento del Control Interno
54. Obtener un entendimiento del control interno comprende la evaluación del diseño de
control, considerando si el control, individualmente o en combinación con otros controles,
es capaz de prevenir efectivamente o detectar y corregir imprecisiones o errores
significativos. Se proporciona mayor información más adelante en la sección de cada uno
de los componentes del control interno. La implantación del control significa que el
control existe y que la organización lo está usando. El auditor considerará el diseño de un
control al determinar si considerará su implantación. Un control inadecuadamente diseñado
puede representar una deficiencia significativa4 en el control interno de la organización y
el auditor considerará si deberá comunicar esto a los encargados del gobierno de la
organización y la administración según lo requiere el párrafo 120.
55. Los procedimientos para la evaluación de riesgos para obtener evidencia de auditoría sobre
el diseño e implantación de los controles relevantes, pueden incluir indagaciones con el
personal de la organización, observando la aplicación de controles específicos, revisando
documentos e informes y rastreando las transacciones a través de los sistemas de
información relevantes para la presentación de información financiera. La indagación por
sí sola no es suficiente para evaluar el diseño de un control relevante para una auditoría y
para determinar si ha sido implantado.
56. Obtener un entendimiento de los controles de una organización no es suficiente para

ejecutar pruebas sobre la efectividad operativa de los controles, a menos que exista cierto
grado de automatización que se encarga de la aplicación consistente de la operación del
control (los elementos manuales y automatizados del control interno relevante
relacionados con la auditoría se describen más adelante.) Por ejemplo, obtener evidencia de
auditoría sobre un control manejado manualmente en un punto en la oportunidad no
proporciona evidencia de auditoría sobre la efectividad operativa del control en otros
momentos durante el periodo que duró la auditoría. Sin embargo, la TI permite que una
organización procese grandes volúmenes de datos consistentemente y mejora la capacidad
de la organización para efectuar seguimiento del rendimiento de las actividades de control
y lograr una efectiva segregación de responsabilidades, implantando controles de seguridad
en las aplicaciones, bases de datos y sistemas operativos. Por lo tanto, debido a la
consistencia inherente del procesamiento de la TI, ejecutar procedimientos de auditoría
para determinar si un control efectivo que ha sido implantado puede servir como prueba de
la efectividad operativa del control, depende de la evaluación del auditor y su ejecución de
pruebas sobre los controles tales como los controles para cambios de programas. Las
pruebas sobre la efectividad operativa de los controles se detallan en la NIA 330.
Características de los Elementos Manuales y Automatizados del Control Interno Relevante para la
Evaluación de los Riesgos por parte del Auditor
57. La mayoría de las organizaciones recurren a los sistemas de la TI para la presentación de

informes financieros y operativos. Sin embargo, aún cuando la TI tenga un uso tan
difundido, existen elementos que son manuales en el sistema. La relación entre los
elementos manuales y automatizados varían. En ciertos casos, especialmente en
organizaciones muy pequeñas, poco complejas, los sistemas pueden ser principalmente
manuales. En otros casos, el alcance de la automatización puede variar con algunos
sistemas sustancialmente automatizados con pocos elementos manuales y otros, aún
dentro de la misma organización, sean predominantemente manuales. Como resultado, es
4
Una deficiencia significativa en el control interno es aquella que pudiera tener efecto importante sobre los estados financieros.
243 NIA 315

probable que el sistema de control interno de la organización contenga elementos

manuales y automatizados, cuyas características son relevantes para la evaluación de riesgo
de auditor así como para los procedimientos de auditoría adicionales.
58. El uso de los elementos manuales o automatizados en el control interno también afecta la
manera en la que se inician, registran, procesan y reportan5 las transacciones. Los controles
en un sistema manual pueden incluir procedimientos tales como aprobaciones y revisiones
de actividades, además de la reconciliación y seguimiento de las partidas conciliatorias.
Alternativamente, si alguna organización puede utilizar procedimientos para iniciar,
registrar, procesar y reportar transacciones en cuyo caso, los registros en formato
electrónico reemplazan a tales documentos como ordenes de compra, factura, documentos
de embarque y otros documentos correspondientes. Los controles de los sistemas de TI
consisten en una combinación de controles automatizados (por ejemplo, los controles
insertos en los programas de computadoras) y controles manuales. Además los controles
manuales pueden ser independientes de la TI, pueden utilizar información producida por la
TI o puede estar limitado al seguimiento del funcionamiento efectivo de la TI y de los
controles automatizados y para el manejo de las excepciones. Cuando se recurre a la TI
para iniciar, registrar, procesar y reportar transacciones o cualesquier otra información
financiera para que sea incluida en los estados financieros, los sistemas y programas
pueden incluir controles relativos a las respectivas aseveraciones sobre las cuentas
significativas o que pueden ser esenciales para el funcionamiento efectivo de los controles
manuales que dependen de la TI. Los controles manuales y mixtos o una mezcla
automatizada varían de acuerdo a naturaleza y complejidad de las operaciones de la
empresa con respecto al uso de la TI.
59. Por lo general, la TI proporciona los beneficios potenciales de eficiencia y efectividad del
control interno de cada organización y permite a la empresa:
· Aplicar consistentemente las reglas del negocio y ejecutar cálculos complejos al

procesar grandes volúmenes de transacciones y datos;
· Mejorar la disponibilidad y exactitud de la información;
· Facilitar el análisis adicional de la información;
· Mejorar la capacidad para efectuar seguimiento sobre el rendimiento de las actividades

de la organización y sus políticas y procedimientos;
· Reducir el riesgo de que los controles estén limitados; y
· Mejorar la capacidad para lograr la efectiva segregación de responsabilidades

implantando controles de seguridad en las aplicaciones, base de datos y sistemas
operativos.
60. La TI también presenta riesgos específicos al control interno de una organización,

incluyendo lo siguiente:
· Dependencia en sistemas o programas que procesen información inexacta, que

procesan datos acumulados inexactos o ambos,
5
El párrafo 9 del Apéndice 2 define la iniciación, registro, procesamiento y reporte tal como se indica en esta NIA.
NIA 315 244

· Acceso no autorizado a datos que pueden resultar en la destrucción de datos o cambios

inadecuados en los datos, incluyendo el registro de transacciones no autorizadas o no
existentes o el registro inadecuado de las transacciones. Pueden surgir riesgos
particulares en los que existe un acceso múltiple a una base de datos común.
· La posibilidad de que personal de la TI tenga privilegios de acceso y pueda ir más allá

de los requeridos para efectuar sus responsabilidades asignadas, evitando la apropiada
segregación de funciones.
· Cambios no autorizados en datos o archivos maestros.
· Cambios no autorizados en los sistemas o programas.
· Falla al tratar de efectuar ciertos cambios en los sistemas y procesos.
· Intervención manual inadecuada.
· Pérdida potencial de datos o incapacidad para acceder a los datos que se están
requiriendo.
61. Los aspectos manuales de los sistemas pueden ser más convenientes cuando se requiere el
uso de criterio y discreción para las siguientes circunstancias:
· Transacciones importantes, inusuales, no recurrentes.
· Circunstancias en las que, los errores son difíciles de definir, anticipar o producir.
· Al cambiar las circunstancias que requieran una respuesta inmediata sobre el alcance
del control automatizado existente.
· Al efectuar un seguimiento de la efectividad de los controles automatizados.
62. Los controles manuales son ejecutados por personas y, por consiguiente, presentan riesgos
específicos para el control interno de la organización. Los controles manuales pueden ser
menos confiables que los controles automatizados, debido a que ellos pueden ser más
fácilmente pasados por alto, ignorados o superados y además si tienen tendencia a señalar
errores simples y sin mayor complejidad. La consistencia en la aplicación de un elemento
de control manual no puede asumirse. Los sistemas manuales pueden ser menos
convenientes para lo siguiente:
· Grandes volúmenes de transacciones recurrentes o situaciones en las que los errores

que pueden ser anticipados o predecibles pueden ser prevenidos o detectados por los
parámetros de control que son automatizados.
· Las actividades de control en los que las maneras específicas de ejecutar el control
pueden ser adecuadamente diseñadas y automatizadas.
63. El alcance y naturaleza de los riesgos para el control interno varían dependiendo de la
naturaleza y características del sistema de información de la organización. Por lo tanto, al
entender el control interno, el auditor considerará si la organización ha respondido
adecuadamente a los riesgos que surgen del uso de la TI o sistemas manuales para
establecer controles efectivos.
245 NIA 315

Limitación del Control Interno
64. El control interno, sin considerar cuán bien organizado y cuán bien se le opera, puede
proporcionar a la organización solamente seguridad razonable para lograr los objetivos de
presentación de informes de la organización. La probabilidad del logro es afectada por las
limitaciones inherentes del control interno. Estas limitaciones incluyen la realidad de que
el criterio humano al efectuar la toma de decisiones puede tener errores y que el derrumbe
de los controles internos puede ocurrir debido a error humano, tales como simples
equivocaciones y errores. Por ejemplo, si el personal del sistema de información no
entiende completamente cómo es el proceso de ingreso de las transacciones de ventas, es
posible que efectúen cambios en el diseño del sistema para procesar las ventas de una
nueva línea de productos. Por otro lado, tales cambios pueden estar correctamente
diseñados pero es posible que no hayan sido entendidos correctamente por las personas que
traducen el diseño en código de programas. También pueden producirse errores en el uso
de información producida por la TI. Por ejemplo, los controles automatizados pueden estar
diseñados para reportar transacciones que superen un monto determinado para revisión por
parte de la administración, pero las personas responsables de realizar la revisión puede que
no entiendan el propósito de tales reportes y, consecuentemente, es posible que dejen de
revisar o investigar partidas inusuales.
65. Adicionalmente, los controles pueden estar restringidos debido a colusión por parte de dos
o más personas o anulación inadecuada del control interno por parte de la administración.
Por ejemplo, la administración puede celebrar acuerdos adicionales con clientes que alteran
los términos y condiciones de los contratos de ventas estándares de la organización, lo cual
resultaría en un reconocimiento inadecuado de ingresos. Además, editar cheques en un
software que está diseñado para identificar y reportar transacciones que exceden límites de
crédito especificados, puede ser ignorados o anulados.
66. Las organizaciones más pequeñas por lo general tienen pocos empleados, lo cual puede
limitar la medida en la que se puede efectuar una verdadera segregación de
responsabilidades. Sin embargo, para áreas clave, inclusive en una organización muy
pequeña, puede ser factible implantar determinado grado de segregación de
responsabilidades o alguna otra forma poco sofisticada pero efectiva de control. El
potencial de que el dueño-gerente anule los controles depende en gran medida del
ambiente de control y en particular de las actitudes del dueño-gerente sobre la importancia
del control interno.
Ambiente de Control
67. El auditor deberá obtener un entendimiento del ambiente de control. El ambiente de

control incluye el gobierno de la organización y las funciones de la administración y las
actitudes, conciencia y acciones de aquellos encargados del gobierno y de la
administración con respecto al control interno de la organización y su importancia en la
organización. El ambiente de control establece el tono de una organización respecto al
control interno, influenciando la conciencia de su gente con respecto al control. Es la base
para un control interno efectivo, proporcionando disciplina y estructura.
68. La responsabilidad primaria por la prevención y detección de fraude y error recae tanto en
aquellos encargados del gobierno como de la administración de una organización. Al
evaluar el diseño del ambiente de control y determinar si ha sido implantado, el auditor
evalúa la forma en que la administración, con la supervisión de aquellos encargados del
gobierno ha creado y mantenido una cultura de honestidad y conducta ética y ha
NIA 315 246

establecido los controles adecuados para prevenir y detectar el fraude y error dentro de la
organización.
69. Al evaluar el diseño del ambiente de control de la organización, el auditor considerará los
siguientes elementos y cómo han sido incorporados en los procesos de la organización:
(a) La comunicación y el cumplimiento de los valores éticos y de integridad son elementos

esenciales que influencian la efectividad del diseño, administración y seguimiento de los
controles
(b) El compromiso con las competencias y la consideración que haga la administración de

los niveles de competencia para trabajos particulares y cómo estos niveles se traducen en
habilidades y conocimiento requeridos.
(c) La participación por parte de aquellos encargados del gobierno que son independientes
de la administración, su experiencia y status, el grado de su participación y actividades
de escrutinio, la información que reciben, la medida en que se hagan preguntas delicadas
y se busque la respuesta en la administración y su interacción con los auditores internos
y externos.
(d) La filosofía de la administración y estilo de operaciones en el enfoque de la

administración al enfrentar y administrar los riesgos del negocio y sus actitudes y
acciones frente a la preparación de informes financieros, el procesamiento de la
información y las funciones contables y de personal.
(e) La estructura organizacional en el marco de referencia dentro del cual se planifican,

ejecutan, controlan y revisan las actividades de una organización para lograr sus
objetivos.
(f) La asignación de autoridad y responsabilidad y cómo la autoridad y responsabilidad de

las actividades operativas son asignadas y cómo se establecen las relaciones para la
presentación de informes y las jerarquías de autoridad.
(g) Las políticas y prácticas de recursos humanos entre ellas, las de reclutamiento,
orientación, capacitación, evaluación, asesoría, ascensos, compensación y acciones
correctivas.
70. Al entender los elementos del ambiente de control, el auditor también toma en
consideración si estos han sido implantados. Generalmente, el auditor obtiene evidencia de
auditoría relevante mediante la indagación en conjunto con otros procedimientos de
evaluación de riesgo, por ejemplo, corroborando las indagaciones mediante la observación
o inspección de los documentos. Por ejemplo, mediante la indagación con la
administración y con los empleados, el auditor puede lograr un entendimiento acerca de
cómo la administración comunica a sus empleados sus puntos de vista sobre las prácticas
del negocio y su comportamiento ético. El auditor determina si los controles han sido
implantados tomando en consideración, por ejemplo, si la administración ha establecido un
código formal de conducta y si la misma actúa en forma coherente con el código o
condona las violaciones al código o autoriza excepciones del mismo.
71. Es posible que no exista evidencia de auditoría con respecto a los elementos del ambiente
de control en documentos, especialmente en el caso de organizaciones pequeñas donde la
comunicación entre la administración y el personal suele ser informal, aunque efectiva. Por
ejemplo, el compromiso de la administración con los valores éticos y la competencia es
247 NIA 315
implantado generalmente mediante el comportamiento y la actitud que demuestra la

administración del negocio de la organización a través de un código de conducta escrito.
En consecuencia, las actitudes, conciencia y acciones de la administración tienen una
importancia significativa en el diseño del ambiente de control en una organización
pequeña. Además, la función de las personas encargadas del gobierno es generalmente
asumida por el dueño-gerente donde no existen otros dueños.
72. Las responsabilidades generales de aquellas personas encargadas del gobierno son
reconocidas en el código de práctica y otras regulaciones o guías creadas para el beneficio
de aquellas personas. Está no es la única función de los encargados del gobierno para
contrarrestar las presiones de la administración con relación a la presentación de
información financiera. Por ejemplo, la base para la remuneración de la administración
podría provocar tensión en ella. Tensión que puede surgir de una situación conflictiva por
presentar reportes razonables y beneficios percibidos de resultados mejorados. Al entender
el diseño del ambiente de control el auditor considera aspectos tales como la independencia
de los directores y su habilidad para evaluar las acciones de la administración. El auditor
también toma en consideración si existe un comité de auditoría que entienda las
transacciones del negocio de la organización y evalúa si los estados financieros reflejan
adecuadamente (o sí presentan razonablemente en todos sus aspectos significativos) de
acuerdo con el marco de referencia aplicable para la presentación de información
financiera.
73. La naturaleza del ambiente de control de una organización deberá ser tal que tenga un
efecto diseminado en la evaluación de los riesgos de imprecisiones o errores significativos.
Por ejemplo, probablemente los controles del dueño-gerente mitiguen la carencia de
segregación de deberes en un negocio pequeño o un directorio activo e independiente
probablemente pueda influenciar en la filosofía y el estilo operativo de la administración
principal en las grandes organizaciones. La evaluación del auditor sobre el diseño del
ambiente de control de la organización incluye la consideración sobre si las fortalezas en
los elementos del ambiente de control brindan colectivamente un pilar o base apropiada
para los otros componentes del control interno y no socavadas por las deficiencias del
ambiente de control. Por ejemplo, las políticas de recursos humanos y las prácticas
dirigidas hacia la contratación de personal competente en el área financiera, contable y de
TI probablemente no podrían mitigar una fuerte tendencia existente en la alta
administración para sobrestimar sus ganancias. Los cambios en el ambiente de control
podrían afectar la relevancia de la información obtenida en auditorías previas. Por ejemplo,
la decisión de la administración de comprometer recursos adicionales para capacitar e
informar sobre las actividades requeridas para la presentación de información financiera
podría reducir el riesgo de errores en el procesamiento de información financiera.
Alternativamente, la incapacidad de la administración para conseguir los recursos
suficientes para abordar los riesgos que se presentan en el área de TI podría afectar el
control interno permitiendo que se realicen cambios inapropiados en la computadora, los
programas o datos o permitiendo el procesamiento de transacciones no autorizadas.
74. La existencia de un ambiente de control satisfactorio puede ser un factor positivo cuando el
auditor evalúa los riesgos de imprecisiones significativas y como se explica en el párrafo 5
de la NIA 330, influencia la naturaleza, oportunidad, y alcance de los procedimientos de
auditoría adicionales. En particular, probablemente ayude a la reducción del riesgo de
fraude, a pesar de que un ambiente de control satisfactorio no sea un elemento disuasivo y
absoluto de fraude. Inversamente, la deficiencia en el ambiente de control podría socavar
la efectividad de los controles y convertirse por lo tanto en factores negativos para la
NIA 315 248

evaluación de los riesgos de imprecisiones y errores significativos que realiza el auditor,

especialmente con relación al fraude.
75. El ambiente de control no permite por sí mismo prevenir o detectar y corregir una
imprecisión significativa en las clases de transacciones, saldos de cuentas y revelaciones de
información y sus respectivas aseveraciones. Por lo tanto, el auditor generalmente
considera el efecto de otros componentes junto con el ambiente de control cuando evalúa
los riesgos de errores significativos, por ejemplo, el seguimiento de los controles y el
funcionamiento de las actividades de control específicas.
Proceso de Evaluación de Riesgo de la Organización
76. El auditor debería obtener un entendimiento del proceso que existe en la organización
para identificar los riesgos del negocio relevantes para los objetivos y decidir qué
acciones se deben tomar para abordar dichos riesgos y los resultados
correspondientes. Se describe al proceso como “el proceso de evaluación de riesgo de la
organización” y forma la base sobre cómo la administración determina los riesgos que
tienen que ser manejados.
77. Al evaluar el diseño y la implantación del proceso de evaluación de riesgos de la

organización, el auditor determina cómo la administración identifica los riesgos del
negocio relevantes a la presentación de información financiera, estima la relevancia de los
riesgos, evalúa la posibilidad de su ocurrencia, y decide las acciones para administrar
dichos riesgos. Si el proceso de evaluación de riesgo de la organización es apropiado para
dichas circunstancias, ayudará al auditor a identificar los riesgos de errores significativos.
78. El auditor indaga acerca de los riesgos del negocio que la administración ha identificado y
evalúa si pudiesen resultar en un error significativo. Durante el proceso de auditoría el
auditor podría identificar los riesgos que no hayan sido identificados por la organización.
En dichos casos el auditor considera si hubo un riesgo subyacente de algún tipo que el
proceso de evaluación de riesgos de la organización debió haber identificado y de ser así
porqué el proceso no lo identificó y si éste es apropiado para las circunstancias
programadas. Si como resultado el auditor llega a la conclusión de que existe una
deficiencia significativa en el proceso de evaluación de riesgos de la organización, éste
informará a los encargados del gobierno de la organización tal como se establece en el
párrafo 120.
79. En una organización más pequeña probablemente la administración no cuente con un

proceso de evaluación de riesgos formal tal como se establece en el párrafo 76. Para dichas
organizaciones el auditor pregunta a la administración sobre cómo ella identifica los
riesgos del negocio y cómo estos riesgos son enfrentados.
Sistema de Información, Incluyendo los Procesos del Negocio, Relevantes para la Presentación de
Información Financiera y la Comunicación
80. El sistema de información relevante para los objetivos de la presentación de información

financiera, que incluye el sistema contable, consiste en procedimientos y registros
establecidos para iniciar, registrar, procesar e informar sobre las transacciones de la
organización (así como sobre sucesos y situaciones) y mantener la contabilidad de los
relacionados activos, pasivos y patrimonio.
249 NIA 315

81. El auditor deberá obtener un entendimiento del sistema de información, los procesos
relacionados al negocio y relevantes para la presentación de información financiera,
incluyendo las siguientes áreas:
· Las clases de transacciones en las operaciones de la organización que son

significativas para los estados financieros.
· Los procedimientos, dentro de las operaciones de TI, por los cuales estas
transacciones son iniciadas, registradas, procesadas y reportadas en los estados
financieros.
· Los registros contables correspondientes, sean electrónicos o manuales, la

información de respaldo y cuentas específicas en los estados financieros respecto
de las transacciones de iniciación, registro, proceso e información.
· Cómo el sistema de información captura información sobre eventos y situaciones

diferentes a las clases de transacciones que son significativos para los estados
financieros.
· El proceso de presentación de información financiera utilizado para la

preparación de estados financieros de la organización incluyendo los estimados e
información contable significativos que se van a presentar.
82. Al obtener este conocimiento el auditor considera los procedimientos utilizados para
transferir la información desde los sistemas de procesamiento de las transacciones al libro
mayor general o los sistemas de presentación de información financiera. Asimismo, el
auditor comprende los procedimientos seguidos en la organización para la toma de datos
relevantes para la presentación de los estados financieros y para los sucesos y situaciones
referentes a las transacciones, tales como la depreciación y amortización de los activos y
los cambios en la capacidad de recuperación de las cuentas por cobrar.
83. Generalmente, el sistema de información de una organización incluye los asientos de diario
estándares que son requeridos de forma recurrente para el registro de las transacciones
como las ventas, compras, y desembolsos de efectivo en el libro mayor general o para el
registro de los estimados contables que la administración realiza periódicamente como los
cambios en las estimaciones de las cuentas por cobrar incobrables.
84. El proceso de presentación de información financiera de la organización también incluye el

uso de asientos de diario no estándares parar registrar las transacciones o ajustes inusuales
o no recurrentes. Algunos ejemplos de dichos asientos son los ajustes de consolidación y
los asientos para un negocio conjunto, o estimados sobre disposición de activos u otros
estimados no recurrentes como la disminución en el valor de los activos. En los sistemas
manuales basados en los sistemas del libro o mayor general, los asientos no estándares
podrían ser identificados a través de la inspección de los mismos libros, mayor general,
diarios y documentación de respaldo. Sin embargo, cuando se recurre a procesos
automatizados para la preparación de los estados financieros, dichos asientos podrían
existir solamente de forma electrónica y ser identificadas más fácilmente mediante las
técnicas de auditoría asistidas por computadora.
85. La preparación de los estados financieros de la organización incluye procedimientos que

son diseñados para asegurar que la información que se requiere ser revelada por el marco
NIA 315 250

de referencia aplicable para la presentación de información financiera sea acumulada,

registrada, procesada, resumida y adecuadamente reportada en los estados financieros.
86. Al obtener un entendimiento, el auditor considerará los riesgos de imprecisión o error

significativo asociado con la anulación inapropiada de los controles sobre los asientos de
diario y los controles alrededor de los asientos de diario no asientos manuales. Por
ejemplo, los procesos automáticos y los controles podrían reducir el riesgo de un error
inadvertido pero no podría hacer frente al riesgo de que las personas puedan manipular /
anular indebidamente dichos procesos automáticos. Por ejemplo, mediante el cambio de
los montos que están siendo transferidos automáticamente al libro mayor general o al
sistema de presentación de información financiera. Además, el auditor es consciente que
cuando se utiliza la TI para transferir la información automáticamente, puede que exista
muy poco o ninguna evidencia visible de dicha intervención en los sistemas de
información.
87. El auditor también comprende cómo se resuelve el procesamiento incorrecto de las

transacciones, por ejemplo si existe un llamado archivo automático en suspenso de espera
y cómo podría ser utilizado por la organización con el fin de asegurar que los asientos en
espera sean liberados de forma oportuna y cómo se procesan y tienen en cuenta las
anulaciones y saltos que puede efectuar el sistema con respecto a los controles.
88. El auditor obtiene un entendimiento del sistema de información de la organización

relevante a la presentación de información financiera de una forma apropiada para las
circunstancias de la organización. Esto incluye el entendimiento del origen de las
transacciones dentro de los procesos de negocio de la organización. Los procesos del
negocio de una organización son actividades diseñadas para el desarrollo, compra,
producción, venta y distribución de los productos y servicios de una empresa que aseguran
el cumplimiento de las leyes y regulaciones y registran la información, incluyendo
información contable y financiera.
89. El auditor deberá entender cómo la organización comunica las funciones y

responsabilidades respecto de la presentación de la información financiera. La
comunicación incluye la provisión de un entendimiento de las funciones y
responsabilidades individuales que pertenecen al control interno para la presentación de
información financiera y podría tomar dichas formas como manuales de políticas y
manuales para la presentación de estados financieros. Esto incluye en qué medida el
personal comprende cómo sus actividades en el sistema establecido para la presentación de
información financiera están relacionadas con el trabajo de otros y los medios que existen
para presentar información sobre excepciones a un nivel más alto y apropiado dentro de la
organización. Los canales abiertos de comunicación colaboran asegurando que las
excepciones son informadas y que se toma una acción al respecto. El entendimiento del
auditor sobre la comunicación que deberá existir con respecto a los temas de presentación
de información financiera también incluye su entendimiento de que existe comunicación
entre la administración y las personas encargadas del gobierno de la organización,
particularmente el comité de auditoría así como las comunicaciones externas con las
autoridades reguladoras.
Actividades de Control
90. El auditor deberá obtener un entendimiento suficiente sobre las actividades de

control para evaluar los riesgos de imprecisión significativa en el nivel de aseveración
y diseñar los procedimientos de auditoría adicionales para abordar los riesgos
251 NIA 315

evaluados. Las actividades de control son las políticas y procedimientos que ayudan a
asegurar que se están llevando a cabo las directivas de la administración; por ejemplo,
cuando se toman las acciones necesarias para abordar los riesgos que amenazan el
cumplimiento con los objetivos de la organización. Las actividades de control, tanto dentro
de los sistemas de TI o los sistemas manuales, tienen diversos objetivos y se aplican en
diferentes niveles organizacionales y funcionales. Los ejemplos de las actividades de
control específicas incluyen aquellas relacionadas con los siguientes puntos:
· Autorización.
· Revisiones de ejecución.
· Procesamiento de información.
· Controles físicos.
· Segregación de deberes.
91. Al obtener un entendimiento sobre las actividades de control, en primer lugar el auditor
considera si una actividad de control especifica individual o en conjunto con otras,
previene o detecta y corrige las imprecisiones significativas en las clases de transacciones,
saldos de cuentas o revelaciones de información y cómo lo hace. Las actividades de control
relevantes al proceso de auditoría son aquellas que el auditor considera necesarias para la
obtención del entendimiento para evaluar los riesgos de imprecisión significativa en el
nivel de aseveración. Un proceso de auditoría no requiere el entendimiento de todas las
actividades de control relacionados a cada clase significativa de transacción, saldo de
cuentas y revelación de información en los estos financieros o cada aseveración relevante
para alguno de estos. El énfasis del auditor se encuentra en la identificación y obtención
del entendimiento de las actividades de control que se aplican en las áreas donde el auditor
considera existe la probabilidad de que ocurran errores significativos. Cuando múltiples
actividades de control están enfocadas en un mismo objetivo es necesario obtener el
entendimiento de cada actividad de control relacionada a dicho objetivo.
92. El auditor tiene en consideración el conocimiento acerca de la presencia o ausencia de

actividades de control obtenido sobre la base del entendimiento de los otros componentes
del control interno para determinar si es necesario prestar atención adicional para la
obtención del entendimiento de las actividades de control. Cuando el auditor considera si
las actividades de control son relevantes para el proceso de auditoría, el auditor tendrá en
consideración si los riesgos que ha identificado pudiesen originar una imprecisión o error
significativo. Asimismo, las actividades de control son relevantes para el proceso de
auditoría si se requiere que el auditor los evalúe, tal como se describe en los párrafos 113 y
115.
93. El auditor deberá obtener el conocimiento de cómo la organización ha respondido

frente a los riesgos provenientes de la TI. El uso de la TI afecta la forma en que las
actividades se ejecutan. El auditor considera si la organización ha respondido
adecuadamente frente a los riesgos que surgen de la TI estableciendo controles generales y
controles efectivos de aplicación. Desde la perspectiva del auditor, los controles sobre los
sistemas de la TI son efectivos cuando mantienen la integridad de la información y la
seguridad de los datos que tales sistemas procesan.
NIA 315 252

94. Los controles de la TI son políticas y procedimientos que relacionan a muchas aplicaciones
y respaldan el funcionamiento efectivo de los controles de aplicación ayudando a asegurar
la continuidad de una operación adecuada del control de los sistemas de información de la
TI y la seguridad de los datos, generalmente incluyen los controles de los siguientes
puntos:
· Centro de datos y operaciones en redes de trabajo.
· Adquisición, cambio y mantenimiento del sistema de programas de cómputo.
· Seguridad del acceso
· Adquisición, desarrollo y mantenimiento del sistema de aplicación.
Generalmente se implantan para enfrentar los riesgos que se mencionan en el párrafo 60.
95. Los controles de aplicación son procedimientos manuales o automáticos que generalmente
se operan en un nivel de procesos de negocios. Los controles de aplicación pueden ser de
prevención o de detección por naturaleza y están diseñados para asegurar la integridad de
los registros contables. Consecuentemente, los controles de aplicación se relacionan a
procedimientos usados para iniciar, registrar, procesar y reportar transacciones u otro dato
financiero. Estos controles contribuyen a asegurar que las transacciones realizadas son
autorizadas y son registradas y procesadas con exactitud. Ejemplos que incluyen revisiones
o verificaciones de los datos ingresados y verificación de la secuencia numérica
presentando informes sobre las excepciones o corrección en el momento de ingreso de la
información.
Seguimiento de los Controles
96. El auditor obtendrá un entendimiento de los principales tipos de actividades que la

organización ejecuta para efectuar un seguimiento sobre el control interno para la
presentación de información financiera, incluyendo lo relacionado con las actividades
de control relevantes para la auditoría y como la organización inicia acciones de
corrección en sus controles.
97. El seguimiento de control es un proceso para evaluar la eficacia del rendimiento en el

control interno en el tiempo. Esto involucra la evaluación del diseño y operación de los
controles de manera oportuna y teniendo en cuenta las acciones de corrección necesarias
modificadas de acuerdo a cambios en la situación. La administración realiza el seguimiento
sobre el control a través de actividades simultáneas, evaluaciones separadas o una
combinación de las dos. Frecuentemente, las actividades de seguimiento simultáneas que
están dentro de las actividades recurrentes normales de una organización, incluyen
actividades de supervisión y administración permanente.
98. En muchas organizaciones, los auditores internos o el personal con funciones similares
contribuyen a la supervisión de las actividades en la organización. Ver NIA 610
“Consideración del Trabajo de Auditoría Interna” sobre información adicional. Las
actividades de seguimiento administrativo también incluyen información de las
comunicaciones de las partes externas como: Queja de los clientes y comentarios de los
entes reguladores que indican problemas o resaltan áreas que requieren mejora.
253 NIA 315

99. Es posible que gran parte de la información usada para el seguimiento fue producida por el
sistema de información de la organización. Si la administración asume que los datos
usados para el seguimiento son correctos sin tener una base para está suposición, es posible
que existan errores en la información, lo cual puede dar lugar a que la administración
llegue a conclusiones incorrectas sobre sus actividades de seguimiento. El auditor obtiene
conocimiento de los recursos con los que cuenta la organización en relación con las
actividades de seguimiento de la organización y en qué se basa la administración para
considerar que la información es lo suficientemente fidedigna para sus fines. Cuando el
auditor intenta hacer uso de la información de la organización producida por las
actividades de seguimiento como los informes de los auditores internos, el auditor
considerará si la información provee una base fidedigna y si está suficientemente detallada
para propósitos de la auditoría.
Evaluación de Riesgos de Errores Significativos
100.El auditor identificará y evaluará los riesgos de imprecisiones o errores significativos

en el nivel del estado financiero y el nivel de aseveración para los tipos de transacción,
saldos de cuentas y revelaciones. Para estos propósitos, el auditor:
· Identifica los riesgos a través del proceso, obteniendo conocimiento de la organización

y su ambiente, incluyendo controles relevantes que relacionan los riesgos teniendo en
cuenta los tipos de transacciones, saldo de cuentas y revelaciones en el estado
financiero;
· Relaciona los riesgos identificados para que no exista un error en el nivel de la

aseveración;
· Considera si los riesgos son de magnitud los cuales podrían resultar de las errores
significativos en el estado financiero; y
· Considera la probabilidad que los riesgos puedan resultar de los errores significativos
en los estados financieros.
101.El auditor usa información recogida por los procedimientos de evaluación de riesgos,
incluyendo la evidencia de auditoría obtenida en la evaluación del diseño de controles y
determina si han sido implantadas, como evidencia de auditoría para sustentar la
evaluación de riesgos. El auditor utiliza dichos riesgos para determinar la naturaleza,
oportunidad y alcance de los procedimientos de auditoría a ser aplicados.
102.El auditor determina si los riesgos identificados de errores significativos están relacionados
a tipos específicos de transacciones, cuentas de balance, revelaciones y aseveraciones
correspondientes o si tienen en su totalidad un alcance más amplio en los estados
financieros y que afectan significativamente muchas aseveraciones. Los últimos riesgos
(riesgos a nivel de los estados financieros) quizás deriven en particular de un ambiente de
control débil.
103.La naturaleza de los riesgos que surgen de un entorno de control deficiente, probablemente
no sea reducida a un riesgo específico individual de errores significativos en tipos
particulares de transacciones, saldos de cuentas, o aseveraciones. Más bien, la deficiencia
como la incompetencia administrativa quizás tienen un efecto más dominante en los
estados financieros y quizá requieran de una reacción global por parte del auditor.
NIA 315 254

104.Al realizar la evaluación de riesgos, el auditor deberá identificar los controles que podrían
prevenir, detectar y corregir los errores significativos en aseveraciones específicas. Por lo
general, el auditor obtiene conocimiento del control y los relaciona con las aseveraciones
en el contexto de los procesos y sistemas en los cuales se presentan. Hacer esto es más útil
porque las actividades individuales de control frecuentemente no están dirigidas de por sí a
riesgos. Con frecuencia, muchas de las actividades múltiples de control junto con otros
elementos de control interno pueden ser suficientes para abordar un riesgo.
105.En cambio, algunas de las actividades de control pueden tener un efecto específico en una
aseveración individual expresada en una clase particular de transacciones o saldos de
cuentas. Por ejemplo, el control de actividades que una organización establece para
asegurar que su personal cuente apropiadamente y registre el inventario físico anual está
relacionado directamente a las aseveraciones sobre la existencia y totalidad del inventario.
106.Los controles pueden estar directos e indirectamente relacionados a una aseveración.

Cuanta más indirecta es la relación, menos efectivo será ese control para prevenir, detectar
y corregir las impresiones en la aseveración. Por ejemplo, la revisión que efectúa el gerente
de ventas del resumen de las actividades de ventas en tiendas especificas por región,
habitualmente está sólo de manera indirecta relacionada con la aseveración sobre la
integridad o totalidad de las ganancias por ventas. Por consiguiente, será menos efectiva al
reducir los riesgos de tal aseveración que los controles más directamente relacionados con
esa aseveración, tales como hacer que los documentos de embarque correspondan con los
documentos de facturación.
107.El entendimiento del auditor sobre los controles internos quizás incremente dudas acerca
de la auditoría en los estados financieros de la organización. Las dudas con respecto a la
integridad de la administración de la organización pueden ser tan graves que cause que el
auditor concluya que el riesgo de imprecisiones o errores en los estados financieros es tan
grande que no se puede efectuar una auditoría. Es posible también que las condiciones y
legitimidad de los registros de la organización lleve al auditor a concluir que es poco
probable que se encuentre suficiente evidencia relevante de auditoría para respaldar una
opinión sin salvedades sobre los estados financieros. En estas circunstancias, el auditor
considera la posibilidad de expresar una salvedad o abstención de opinión en su dictamen,
pero en algunos casos, el auditor solamente cumple con retirarse del compromiso.
Riesgos Significativos que Requieren Consideración Especial para la Auditoría
108.Como parte de la evaluación de riesgos descrita en el párrafo 100, el auditor

determinará cuáles de los riesgos identificados son, a juicio del auditor, los riesgos
que requieren una consideración especial para la auditoría (los riesgos son definidos
como “riesgos significativos”.) Además, la NIA 330, párrafos 44 y 51, describe como
significativas las consecuencias de efectuar procedimientos de auditoría adicionales para
identificar un riesgo.
109.La determinación de los riesgos significativos, los cuales aumentan en muchas de las
auditorías, es un asunto de criterio profesional para los auditores. Al usar este criterio, el
auditor excluye los efectos de los controles identificados relacionados con el riesgo para
determinar si la naturaleza de los riesgos y la probable magnitud de las impresiones
potenciales, incluye la posibilidad de que el riesgo de lugar a imprecisiones múltiples y la
probabilidad de que el riesgo ocurra es tal que amerita una consideración especial para la
auditoría. Transacciones rutinarias no complejas que están sujetas a procesos sistemáticos
tienen menos probabilidades de incrementar los riesgos significativos porque tienen riesgos
255 NIA 315

inherentes menores. Por otro lado, los riesgos significativos son frecuentemente derivados
de los riesgos en los negocios que pueden resultar en una imprecisión significativa. Al
considerar la naturaleza de los riesgos, el auditor considera un número de temas,
incluyendo los siguientes:
· Si el riesgo es un riesgo de fraude.
· Si el riesgo está relacionado con un desarrollo reciente en la economía, contabilidad u

otros desarrollos y que por lo tanto requieren una atención especifica.
· La complejidad de las transacciones.
· El grado de subjetividad en la medición de la información financiera correspondiente,

especialmente en las mediciones que involucran un alto grado de incertidumbre de
medición.
· Si el riesgo envuelve transacciones significativas que estén fuera del curso normal de
los negocios de la organización que parecen ser inusuales.
110.Frecuentemente, los riesgos significativos están relacionados con las transacciones

significativas no rutinarias y con los temas de uso de criterio. Las transacciones no
rutinarias son transacciones que son inusuales, debido a su tamaño o naturaleza, y que no
ocurren frecuentemente. Los temas de uso de criterio incluyen el desarrollo de una
contabilidad estimada para lo cual existe una medida significativa de incertidumbre.
111.Los riesgos de imprecisiones o errores significativos pueden ser más grandes que los
riesgos relacionados con las transacciones no rutinarias significativas que surgen de:
· Gran intervención administrativa para especificar el tratamiento de la contabilidad.
· Gran intervención manual para los datos de recolección y procesamiento.
· Cálculos complejos o principios contables.
· La naturaleza de las transacciones no rutinarias, las cuales pueden dificultar la tarea de

la organización de implantar controles efectivos sobre los riesgos.
112.Es posible que los riesgos de errores significativos sean más grandes en los riesgos
relacionados con temas del uso del criterio que requiere la preparación de estimados
contables, que surgen de temas tales como:
· Principios contables para las estimaciones contables o para el reconocimiento de

ingresos sujeto a diferentes interpretaciones.
· El requerimiento del uso del criterio puede ser subjetivo o complejo o con nociones
requeridas acerca de los efectos de futuros eventos, por ejemplo: Uso del criterio
profesional sobre el valor razonable.
113. Con respecto a los riesgos significativos, en la medida que el auditor no lo haya hecho
así, el auditor evaluará el diseño de los controles relacionados con la organización,
incluyendo las actividades del control relevante y determinará si éstas han sido
implantadas. El entendimiento de los controles de la organización sobre los riesgos
significativos proporciona al auditor una información adecuada para desarrollar un enfoque
NIA 315 256
de auditoría efectivo. La administración tiene que estar consciente de los riesgos

significativos; aunque los riesgos relacionados con los temas de criterio y los no rutinarios
sean menos frecuentes, probablemente porque están sujetos a un control de rutina. Por lo
tanto, el entendimiento del auditor sobre si la organización ha diseñado e implantado
controles para cada riesgo significativo incluye saber cómo la administración responde a
los riesgos y sí las actividades de control así como la revisión de los supuestos por un alto
ejecutivo o expertos, los procesos formales para estimaciones o aprobaciones por aquellos
encargados del gobierno han sido implantados para abordar los riesgos. Por ejemplo,
cuando existe un acontecimiento extraordinario como la notificación de un juicio
importante, la consideración de la respuesta de la organización incluirá asuntos como si se
comunicó a los expertos correspondientes (tal como un asesor legal externo o interno), si
se ha evaluado el posible efecto y cómo se propone presentar está circunstancia en los
estados financieros.
114.Si la administración no responde apropiadamente implantando controles sobre los riesgos

significativos, y si como resultado, el auditor juzga que existe una deficiencia significativa
en el control interno de la organización, el auditor comunicará este asunto a aquellos
encargados del gobierno según se requiere en el párrafo 120. En estas circunstancias, el
auditor considerará también las consecuencias de los riesgos en la evaluación.
Riesgos para los cuales los Procedimientos Sustantivos no Proporcionan Suficiente Evidencia
Relevante de Auditoría
115.Como parte de la evaluación de riesgos descritos en el párrafo 100, el auditor

evaluará el diseño y determinará la implantación de los controles en la organización,
incluyendo actividades de control relevante, sobre estos riesgos para los cuales, a
juicio del auditor, no es posible o impracticable reducir los riesgos de imprecisiones o
errores significativos en el nivel de la aseveración para un nivel bajo aceptable con
evidencia de auditoría obtenida sólo por procedimientos sustantivos. El párrafo 25 de
la NIA 330, describe las ventajas de ejecutar procedimientos de auditoría adicionales al
identificar riesgos.
116.El entendimiento del sistema de información de la organización relevante para preparar los
informes permite que el auditor identifique los riesgos de errores significativos que están
relacionadas directamente con el registro de transacciones rutinarias o saldos de cuenta y la
preparación de estados financieros fidedignos; dentro de estos riesgos, están los riesgos en
el procesamiento incorrecto e incompleto. Habitualmente, tales riesgos están relacionados
con tipos de transacciones significativas tales como, ingresos, compras, recepción de
efectivo y pagos en efectivo de la organización.
117.Las características de las transacciones de negocios de rutina diaria permiten

frecuentemente un procesamiento altamente automatizado con una escasa o nula
intervención manual. En estas circunstancias no es posible efectuar procedimientos con
relación al riesgo. Por ejemplo, en circunstancias donde una cantidad significativa de
información de la organización es iniciada, registrada, procesada o reportada
electrónicamente como en un sistema integrado, el auditor determinará que no es posible
diseñar procedimientos sustantivos efectivos que por si mismo proporcionen una suficiente
evidencia de auditoría de que los tipos de transacciones correspondientes o saldos de
cuentas no contengan errores significativos. En tales casos, es posible que sólo exista
evidencia de auditoría en medios electrónicos y su suficiencia y relevancia por lo general
dependerá de la efectividad de los controles sobre su exactitud y totalidad. Además, es
posible que el potencial de que ocurra una iniciación incorrecta o alteración y no sea
257 NIA 315

detectada, si la información es iniciada, registrada, procesada o reportada sólo en forma

electrónica y por controles apropiados que no operan efectivamente.
118.Ejemplos de situaciones donde el auditor no tenga la posibilidad de diseñar procedimientos

sustantivos efectivos que por ellos mismos proporcionen una evidencia de auditoría
relevante de que ciertas aseveraciones no contienen imprecisiones o errores significativos,
incluyen lo siguiente:
· Una organización que conduce su negocio usando la TI para iniciar pedidos para la
compra y entrega de bienes sobre la base de normas predeterminadas sobre qué
ordenar, qué cantidades a pagar sobre las correspondientes cuentas por pagar, sobre la
base de decisiones generadas por el sistema originadas por la recepción confirmada
de pagos de bienes y términos. No se produce ninguna otra información sobre pedidos
colocados o sobre bienes recibidos a través de otro sistema que no sea la TI.
· Una organización que proporciona servicios al cliente por medio de una vía
electrónica (por ejemplo, servicio de Internet, proporcionada por la compañía de
telecomunicaciones) y usa la TI para crear un registro de los servicios proporcionados
a sus clientes, para iniciar y procesar sus facturas por dichos servicios y registrar
automáticamente tales montos en los informes contables electrónicos que son parte del
sistema usado para preparar los estados financieros de la organización.
Revisión de la Evaluación del Riesgo
119.La evaluación que efectúa el auditor sobre los riesgos de errores significativos a nivel de
aseveración se basa en la evidencia de auditoría disponible y que puede cambiar durante el
curso de la auditoría en la medida que se obtiene evidencia de auditoría adicional. En
particular, es posible que la evaluación de riesgos se base en una expectativa de que los
controles estén operando efectivamente para prevenir, o detectar y corregir un error
significativo en el nivel de la aseveración. Al ejecutar las pruebas de control para obtener
evidencia de auditoría sobre la efectividad de los controles, el auditor puede obtener
evidencia de auditoría de que los controles no están funcionando eficientemente en
momentos importantes de la auditoría. De igual modo, al ejecutar los procedimientos
sustantivos es posible que el auditor detecte errores significativos en los montos o una
frecuencia mayor que la que es consistente con las evaluaciones de riesgo del auditor. En
circunstancias en las que el auditor obtiene evidencia de auditoría como resultado de
ejecutar procedimientos de auditoría adicionales, que tienden a contradecir la evidencia de
auditoría en la que originalmente se basó la evaluación, el auditor revisa la evaluación y
modifica los procedimientos adicionales planificados consecuentemente. Para mayor
orientación vea los párrafos 66 y 70 de la NIA 330.
Comunicaciones con Aquellos Encargados del Gobierno y de la Administración

120.El auditor deberá hacer de conocimiento de las personas encargadas de la dirección y
de la administración, tan pronto sea aplicable, y en un nivel de responsabilidad
adecuado, las deficiencias significativas en el diseño o implantación del control
interno que haya llamado la atención del auditor.
121.Si el auditor identifica riesgos de errores significativos que la organización no ha

controlado, ni tiene un control adecuado o si, a criterio del auditor, esa deficiencia
representa una deficiencia significativa en el proceso de evaluación de riesgos de la
organización, entonces el auditor incluirá está deficiencia del control interno en la
NIA 315 258

comunicación de asuntos de auditoría de interés para los encargados de la dirección. Vea

la NIA 260, “Comunicaciones de Asuntos de Auditoría con Aquellos con Jerarquía Plena
de la Organización.”
Documentación
122.El auditor deberá documentar:
(a) La discusión / debate efectuada por el equipo del compromiso con respecto a la
susceptibilidad de los estados financieros de la organización de tener errores
significativos debido a un error o fraude y las principales decisiones tomadas;
(b) Los elementos clave para la comprensión obtenida de cada uno de los aspectos de
la organización y de su ambiente identificado en el párrafo 20, incluyendo cada
uno de los componentes del control interno identificados en el párrafo 43, para
evaluar el riesgo de errores significativos en los estados financieros, las fuentes de
información de las que se obtuvo el entendimiento y los procedimientos de
evaluación de riesgos;
(c) Los riesgos de errores significativos identificados y evaluados en el nivel de los

estados financieros y en el nivel de aseveración como se requieren en el párrafo
100; y
(d) El riesgo identificado y los controles correspondientes evaluados como resultado

de los requerimientos en el párrafo 113 y 115.
123.El auditor deberá recurrir a su criterio profesional para determinar cómo se documentarán
estos temas. Particularmente, los resultados de las evaluaciones de riesgos pueden ser
documentados de forma separada o como parte de los documentos de procedimientos de
auditoría adicionales (para mayor información véase párrafo 73 de la NIA 330.) Ejemplos
de las técnicas comunes, usadas solas o en combinación incluyen descripciones,
cuestionarios, listas de revisión y diagramas de flujo. Estas técnicas pueden ser muy útiles
al documentar las evaluaciones de riesgo de errores significativos tanto en los niveles de
los estados financieros como de las aseveraciones. La forma y alcance de está
documentación está influenciada por la naturaleza, tamaño y complejidad de la
organización y de su control interno, por la disponibilidad de información de la
organización y por la metodología y tecnología específica de auditoría utilizada en el
proceso. Por ejemplo, la documentación de entendimiento del sistema de información
compleja en el que una gran cantidad de transacciones se inician, registran, procesan y
reportan de forma electrónica deberá incluir diagramas de flujo, cuestionarios o tablas de
decisión. La documentación en forma de memorando deberá ser suficiente para un sistema
de información que no utiliza la TI o lo hace en forma limitada o que procesa pocas
transacciones (por ejemplo, las deudas a largo plazo.) Habitualmente, mientras más
compleja sea la organización y más extensos sean los procedimientos realizados por el
auditor, más extensa será la documentación. La NIA 230,6 “Documentación” proporciona
mayor orientación sobre la documentación en el contexto de las auditorías de estados
financieros.
Fecha Efectiva de Vigencia
6
La NIA 230, “Documentación” será retirada cuando la NIA 230 (Revisada), “Documentación de Auditoría” entre en vigencia. La NIA 230
(Revisada) está en vigencia para las auditorías de información financiera para periodos que comienzan él, o después del, 15 de Junio de 2006.
259 NIA 315

124.Está NIA está vigente para auditorías de estados financieros para períodos que empiezan
él, o después del, 15 de diciembre de 1994.
Perspectiva del Sector Público

1. Cuando se realiza una auditoría en organizaciones del sector público, el auditor tiene en
cuenta la estructura legislativa y cualesquier otra norma, ordenanza o directiva
ministerial adecuada que afecte el mandato o cualesquier otro requerimiento especial de
auditoría. Por lo tanto, al obtener un entendimiento sobre la estructura de regulación
como se indica en el párrafo 22 de está NIA, los auditores deben considerar la legislación
y la auditoría adecuada que gobierna la operación de una organización. De manera
similar, en lo que respecta al párrafo 30 de está NIA, el auditor deberá de darse cuenta
que “los objetivos de la administración” de las organizaciones del sector público puede
estar influenciadas por dudas sobre responsabilidad ante los entes gubernamentales y
pueden incluir objetivos que se derivan de legislaciones, normas, ordenanzas de gobierno
y directivas ministeriales.
2. Los párrafos 47-53 de está NIA, explican los controles adecuados para la auditoría. Con
frecuencia, los auditores del sector público tienen responsabilidades adicionales en lo que
respecta a los controles internos. Por ejemplo, informar que cumplan con el Código de
Práctica establecido y con las autoridades legislativas. Su revisión de controles internos
puede ser general o detallada.
3. Los párrafos 120 y 121 que están contenidos en la NIA, abordan el tema de la
comunicación de deficiencias. Puede que no exista información o comunicaciones de
requerimientos adicionales para los auditores del sector público. Por ejemplo, es posible
que las deficiencias del control interno deben reportarse al ente legislativo o cualesquier
otro ente del gobierno.
NIA 315 260

Apéndice 1
Entendiendo la Organización y su Ambiente

El presente apéndice brinda información adicional en asuntos que el auditor deberá tener en cuenta
al obtener el entendimiento de la industria, regulación y otros factores externos que afectan a la
organización, que incluyen el marco de referencia aplicable para la presentación de información
financiera, la naturaleza de la organización, los objetivos y estrategias y riesgos de negocios
correspondientes y la medida y revisión del rendimiento financiero de la organización. Los
ejemplos brindados cubren una amplia gama de asuntos aplicables a muchos de los encargos, sin
embargo, no todos los asuntos son adecuados para cada encargo y la lista de ejemplos no está
necesariamente completa. Para mayor información sobre control interno véase el Apéndice 2.
Industria, Regulación y otros Factores Externos, incluyendo el Marco de referencia

Identificado para la Presentación de Información Financiera
Seguidamente se presentan ejemplos de temas que un auditor puede tener en consideración:
· Condiciones de la industria
o El mercado y la competencia que incluyen la demanda, la capacidad y el precio de

competencia.
o Actividad por ciclo o por estación.
o Tecnología del producto con relación al producto de la organización.
o Abastecimiento de energía y costo.
· Ambiente de regulación
o Principios contables y prácticas de una industria específica.
o Estructura de regulación para industria relacionada.
o Legislación y regulación que afecte significativamente las operaciones de la organización.
- Requerimientos de regulación.
- Actividades directas de supervisión.
o Impuestos (corporativos y otros)
o Políticas de gobierno que afectan actualmente la conducta de los negocios de la

organización.
- Monetario, que incluye los controles de cambio de moneda extranjera.
- Fiscal
- Incentivos financieros (por ejemplo, programas de ayuda del gobierno)
NIA 315 APÉNDICE 261

- Tarifas, restricciones de comercio
o Requerimientos de ambiente que afectan la industria y los negocios de la organización.
· Otros factores externos que actualmente afectan los negocios de la organización
o Nivel general de la actividad económica (por ejemplo, recesión, crecimiento)
o Tasa de interés y disponibilidad de financiamiento
o Inflación, variaciones de la moneda.
Naturaleza de la Organización
Seguidamente se presentan ejemplos de asuntos que un auditor puede considerar:
Operaciones de los Negocios
· Naturaleza y fuentes de los ingresos (por ejemplo, el fabricante, el mayorista, la banca, los
seguros y otros servicios financieros, comercio de importación / exportación, servicios
públicos, transporte y productos y servicios de tecnología)
· Productos o servicios en el mercado (por ejemplo, los principales clientes y contratos, términos
y condiciones de pago, margen de ganancia, participación del mercado, competencia,
exportadores, políticas de precios, reputación de los productos, garantías, libro de pedidos,
tendencias, estrategia de marketing y objetivos, procesos de fabricación)
· Conducta de las operaciones (por ejemplo, etapas y métodos de producción, segmentos de

negocios, entrega de productos y servicios, detalles del rechazo o expansión de las operaciones)
· Alianzas, unión de empresas y actividades de fuente externa.
· Involucrarse en el comercio electrónico, que incluye las ventas por Internet y las actividades de
marketing.
· Dispersión geográfica y segmentación de la industria
· Ubicación de las instalaciones, almacenes y oficinas relacionadas a los productos
· Clientes clave
· Proveedores importantes de bienes y servicios (por ejemplo, contratos a largo lazo, estabilidad
del abastecimiento, términos de pago, importaciones, formas de entrega “Justo a Tiempo”)
· Empleo (por ejemplo, por ubicación, provisión, niveles de sueldo, contratos con el sindicato,
pensiones y otro tipo de beneficios de retiro, opciones de acciones o arreglos de gratificaciones
y normas de gobierno relacionadas a temas laborales)
· Gastos y actividades de investigación y desarrollo
· Transacciones con las empresas vinculadas.
Inversiones

· Adquisiciones, fusiones o eliminación de actividades de negocios (planificadas o ejecutadas

recientemente)
· Inversiones y negociaciones de valores y préstamos
· Actividades de inversión de capital, que incluyen inversiones en planta y requerimientos y

tecnología, y cualesquier cambio reciente o planificado.
· Inversiones en organizaciones no consolidadas que incluyen sociedades, asociaciones en

participación y organizaciones con propósitos especiales.
Financiamiento
· Estructura del grupo – Principales subsidiarias y organizaciones asociadas que incluyen

estructuras consolidadas y no consolidadas.
· Estructura de la deuda que incluye convenios, restricciones, garantías y arreglos financieros

fuera de balance.
· Arrendamiento de una propiedad, planta o equipo para uso del negocio.
· Beneficiarios (locales, extranjeros, reputación y experiencia del negocio)
· Partes vinculadas.
· Uso de instrumentos financieros derivados.
Presentación de Informes Financieros
· Principios de contabilidad y prácticas específicas de la industria
· Principios de reconocimiento de ingresos
· Contabilidad para valores razonables
· Inventarios (por ejemplo, ubicación, cantidades)
· Categorías significativas de una industria específica (por ejemplo, préstamos e inversiones para
bancos, cuentas por cobrar e inventario de los obreros, investigación y desarrollo de fármacos)
· Contabilidad por transacciones inusuales o complejas que incluyen aquellas en áreas

controversiales o en desarrollo (por ejemplo, contabilidad para compensaciones basadas en
acciones)
· Presentación de estados financieros y revelación de información.
Objetivos y Estrategias y Riesgos Relacionados con los Negocios
· Presencia de objetivos (es decir, cómo la organización enfrenta el sector económico o industria,
los factores de regulación y otros factores externos) que tienen relación, por ejemplo, con lo
siguiente:
263 NIA 315 APÉNDICE

o Desarrollos en la industria (un riesgo potencial del negocio relacionado puede ser, por
ejemplo, que la organización no tenga el personal o la pericia para tratar los cambios o
nuevos desarrollos en la industria)
o Los nuevos productos y servicios (un riesgo potencial del negocio puede ser, por ejemplo,
que la demanda no haya sido estimada con precisión)
o Los nuevos requerimientos contables (un riesgo potencial del negocio puede ser, por
ejemplo, la implantación no adecuada o incompleta, o el incremento de los costos)
o Requerimientos de regulación (un riesgo de negocio potencial puede ser, por ejemplo, que
exista un incremento en la exposición legal)
o Requerimientos financieros actuales y futuros (un riesgo potencial del negocio puede ser,
por ejemplo, la pérdida de adeudos financieros debido a la incapacidad de la organización
para reunir los requisitos)
o Uso de la TI (un riesgo potencial del negocio puede ser, por ejemplo, que los procesos y
sistemas sean incompatibles)
· Efectos de implantación de estrategia, particularmente cualesquier efecto que llevará a nuevos

requerimientos contables (un riesgo potencial del negocio puede ser, por ejemplo, implantación
inadecuada o incompleta)
Medida y Revisión del Rendimiento Financiero de la Organización
· Ratios claves y estadísticas de operaciones
· Indicadores clave de rendimiento
· Medida del rendimiento del trabajador y políticas de compensación e incentivos
· Tendencias
· Uso de proyecciones, presupuestos y análisis de variaciones
· Análisis de informes y reportes de rotación y clasificación de créditos
· Análisis del competidor
· Rendimiento financiero período a período (crecimiento de los ingresos, beneficios y

apalancamiento)

Apéndice 2
Componentes del Control Interno

1. Como se establece en el párrafo 43 y se describe en los párrafos 67-99, el control interno
consta de los siguientes componentes:
(a) El ambiente de control;
(b) El proceso de evaluación de riesgo de la organización;
(c) El sistema de información, incluyendo los correspondientes procesos de negocios,

adecuado para la presentación de información financiera y para la comunicación;
(d) Monitoreo de los controles; y
(e) Supervisión de los controles.
Este apéndice brinda una mayor explicación de estos puntos en la medida que tienen
relación con la auditoría de los estados financieros.
Ambiente de Control
2. El ambiente de control incluye las actitudes, el conocimiento y las acciones de la

administración y de aquellos con cargos de autoridad relacionados al control interno de la
organización y a su importancia dentro de ella. El ambiente de control incluye además las
funciones del gobierno y la administración y establece el nivel de una organización, que
influencian la conciencia de control de su gente. Esto es el fundamento para lograr un
control interno efectivo, con disciplina y estructura.
3. El ambiente de control comprende los siguientes elementos:
(a) Comunicación y refuerzo de la integridad de los valores éticos. La efectividad de los

controles no puede pasar sobre la integridad y los valores éticos de las personas que
las crean, administran y supervisan. La integridad y los valores éticos son elementos
imprescindibles del ambiente de control que influencian la efectividad del diseño, la
administración y el monitoreo de otros componentes de control interno. La integridad
y la conducta ética son el producto de las normas de ética y conducta de la
organización, la manera en la que se comunican y como se refuerza su práctica. Ellos
incluyen acciones de la administración para remover o reducir los incentivos y
tentaciones que puedan llevar al personal a cometer actos deshonestos, ilegales o con
falta de ética. Además, incluye la comunicación de los valores de la organización y los
códigos de conducta del personal establecida en las declaraciones de políticas, los
códigos de conducta y a través del ejemplo.
(b) Compromiso con la competencia. La competencia comprende el conocimiento y las

habilidades necesarias para culminar tareas que definan el trabajo individual. El
compromiso con la competencia incluye la consideración por parte de la
administración de los niveles de competencia que se requieren para determinados
trabajos y cómo esos niveles se convierten en habilidades y conocimiento exigidos.

(c) Participación de las personas encargadas del gobierno. La conciencia que una
organización puede tener sobre lo que es control, está influenciada significativamente
por aquellas personas encargadas del gobierno. Los atributos de estas personas
incluyen ser independientes de la administración, su experiencia y moral, el grado en
que se involucran en el escrutinio de las actividades, la conveniencia o propiedad de
sus acciones, la información que reciben, el grado en que se presentan preguntas
difíciles a la administración y en que medida se busca obtener respuesta a esas
preguntas, su interacción con auditores internos externos. La importancia de las
responsabilidades de las personas encargadas del gobierno se reconoce en los códigos
de práctica y otras regulaciones o guías producidas para su beneficio. Otras de sus
responsabilidades incluyen la supervisión del diseño y la operación efectiva de los
procedimientos para que cualesquier persona pueda sin mayores riesgos proporcionar
información sobre manejos inapropiados, así como los procesos utilizados en la
revisión de la efectividad del control interno.
(d) La filosofía y estilo operativo de la administración. La filosofía y estilo operativo de la

administración involucra toda una serie de características. Tal característica puede
incluir las siguientes: El enfoque de la administración para asumir y monitorear los
riesgos del negocio, las actitudes y acciones de la administración con respecto a
presentación de información financiera (selección conservadora o agresiva de los
principios contables alternativos disponibles y espíritu conciente y conservador al
desarrollar los estimados contables) y las actitudes de la administración frente al
procesamiento de la información, las funciones contables y el personal.
(e) Estructura organizacionl. La estructura organizacional de una entidad brinda el marco

de referencia dentro del cual se planifican, ejecutan, controlan y revisan las actividades
para lograr los objetivos en toda la organización. El establecimiento de una estructura
organizativa apropiada toma en cuenta las áreas clave de autoridad y responsabilidad,
así como los lineamientos relevantes para la presentación de informes. El desarrollo de
la estructura organizacional se da teniendo en consideración sus necesidades. Que la
estructura de la organización sea apropiada depende, en parte, de su tamaño y de la
naturaleza de sus actividades.
(f) Asignación de autoridad y responsabilidad. Este factor incluye la manera cómo la

autoridad y responsabilidad están establecidas y asignadas para cada una de las
actividades operativas, además de la manera cómo se establecen las relaciones
relevantes para la presentación de información y las jerarquías de autoridad. A esto se
añade además, las políticas relativas a prácticas sanas de negocios, conocimiento y
experiencia del personal clave y recursos proporcionados para ejecutar las tareas
asignadas. Además, incluye las políticas y comunicaciones dirigidas a asegurar que
todo el personal entienda los objetivos de la organización, que sepan de qué manera, al
actuar de forma individual, sé interrelacionan y contribuyen a estos objetivos y que
reconozcan cómo y con respecto a qué serán considerados responsables.
(g) Las políticas y prácticas de recursos humanos. Están relacionadas con las actividades
de selección de personal, orientación, capacitación, evaluación, consejería, promoción,
compensación salarial y acciones correctivas. Por ejemplo, las normas utilizadas en la
selección de los más calificados (con énfasis en la educación, experiencia laboral,
logros anteriores y pruebas de comportamiento íntegro y ético) demuestran el
compromiso de una organización con la competencia y con las personas dignas de
confianza. Las políticas de capacitación que comunican los roles y responsabilidades
futuras e incluyen prácticas como las escuelas de capacitación y seminarios,

demuestran los niveles de expectativa con respecto al rendimiento y el

comportamiento. Los ascensos sobre la base de estimaciones periódicas del
rendimiento demuestran el compromiso de la organización con la promoción del
personal calificado a niveles más altos de responsabilidad.
Aplicación a Organizaciones Pequeñas
4. Las organizaciones pequeñas, en comparación con las más grandes, implantan los
elementos del ambiente de control de manera distinta. Por ejemplo, puede que las
organizaciones pequeñas no tengan un código de conducta escrito, pero en vez de eso,
desarrollan una cultura que pone énfasis en la importancia del comportamiento íntegro y
ético a través de la comunicación oral y el ejemplo de la administración. A su vez, es
posible que las personas encargadas del gobierno en este tipo de organizaciones no sean
miembros independientes o externos.
Proceso de Evaluación de Riesgo de la Organización
5. El proceso de evaluación de riesgos de una organización es un proceso para identificar y

responder a los riesgos del negocio y a los resultados de la misma. Para propósitos de
presentación de información financiera, el proceso de evaluación de riesgo de una
organización incluye la forma en que la administración identifica los riesgos relevantes
para la preparación de estados financieros que reflejen adecuadamente (o presenten
razonablemente, en todos los aspectos significativos) de acuerdo con un marco de
referencia aplicable de presentación de información financiera, es la forma cómo la
administración estima su importancia, la probabilidad de que ocurran y decide sobre las
acciones que deberán tomarse para el manejo de tales riesgos. Por ejemplo, el proceso de
evaluación de riesgos de la organización puede estar dirigido a la manera cómo se
considera la posibilidad de que existan transacciones no registradas o la identificación y
análisis de estimaciones significativas registradas en los estados financieros. Los riesgos
relevantes a informes financieros confiables se relacionan además con eventos específicos
o transacciones.
6. Los riesgos relevantes para la presentación de información financiera incluyen eventos y

circunstancias que pueden ocurrir y afectar de manera negativa la capacidad de la
organización para iniciar, registrar, procesar y presentar la información financiera que
comprende las aseveraciones de la administración en los estados financieros. Una vez que
se identifican los riesgos, la administración considera su importancia, la probabilidad de
que ocurran y la manera en la que se deben manejar. La administración puede iniciar
planes, programas o acciones para abordar riesgos específicos o puede decidir aceptar un
riesgo debido a su costo u otra consideración. Los riesgos se pueden presentar o cambiar
por efecto de las siguientes circunstancias:
· Cambios en el ambiente operativo. Cambios en el ambiente de regulación u operación

pueden traer como resultado presiones competitivas y riesgos significativamente
diferentes.
· Personal nuevo. El personal nuevo puede tener un enfoque o entendimiento distinto

respecto al control interno.
· Sistemas de información nuevos o re-hechos. Los cambios rápidos y significativos en

el sistema de información, pueden alterar el riesgo relacionado al control interno.

· Crecimiento Rápido. El crecimiento rápido y significativo de las operaciones pueden

causar tensión en los controles y aumentar el riesgo de una falla en los controles.
· Nueva Tecnología. Incorporar nuevas tecnologías al proceso de producción o al

sistema de información, puede cambiar el riesgo asociado a los controles internos.
· Nuevos modelos de negocios, productos o actividades. El ingreso de una organización

en áreas de negocios o transacciones donde tiene muy poca experiencia, puede
provocar nuevos riesgos asociados con el control interno.
· Reestructuración Corporativa. Las reestructuraciones pueden estar acompañadas de

reducción de personal y además con cambios en la supervisión y separación de las
funciones que pueden cambiar el riesgo asociado con el control interno.
· Operaciones extranjeras incrementadas. El incremento o adquisición de operaciones

extranjeras puede involucrar riesgos nuevos y muchas veces únicos, que pueden
afectar el control interno. Por ejemplo, que las transacciones de moneda extranjera
presenten riesgos adicionales o distintos.
· Nuevos pronunciamientos contables. La adopción o el cambio de los nuevos principios

contables pueden afectar el riesgo en la preparación de la información financiera.
Aplicación a las Organizaciones Pequeñas.
7. Los conceptos básicos del proceso de evaluación de riesgos de la organización son

adecuados para cada una de ellas, sin importar el tamaño; pero es muy probable que el
proceso de evaluación de riesgos de las organizaciones pequeñas no sea ni tan formal ni
tan estructurado como el de las más grandes. Todas las organizaciones deben de haber
establecido los objetivos para la presentación de información financiera, pero en las
organizaciones pequeñas, estos pueden reconocerse de manera implícita, antes que
explícita. La administración puede conocer los riesgos relacionados a estos objetivos sin
utilizar un proceso formal, sino mediante una interacción personal directa con los
empleados y las empresas externas.
Sistema de Información, incluyendo los Procesos de Negocios Correspondientes, Relevantes

para la Presentación de Información Financiera y la Comunicación
8. Un sistema de información consiste en la infraestructura (componentes físicos) el

programa o componente intangible, las personas, los procedimientos y la información. La
infraestructura y el programa estarán ausentes o tendrán menos importancia en los sistemas
exclusivamente o principalmente manuales. Muchos sistemas de información utilizan en
gran medida del Ambiente de Tecnología de la Información (TI)
9. El sistema de información relevante para los objetivos de presentación de información

financiera, que incluye el sistema para la presentación de informes financieros, comprende
los procedimientos y registros establecidos para iniciar, registrar, procesar y presentar un
informe sobre las transacciones de la organización (así como los eventos y situaciones) y
mantener la responsabilidad por los activos, pasivos y acciones correspondientes. Los
procedimientos programados pueden iniciar las transacciones de forma manual o
automática. El registro se refiere a identificar y capturar la información relevante a las
transacciones o eventos. Sea que el procesamiento se realice mediante procedimientos
automatizados o manuales, incluye funciones como edición y validación, cálculo, medida,

valuación, resumen y reconciliación. La presentación de informes hace referencia a la

preparación de informes financieros así como de otra información, en formato electrónico
o impreso, que la organización utiliza tanto al medir como al revisar su rendimiento
financiero y en otras funciones. La calidad de la información generada por el sistema
afecta la capacidad de la administración para tomar sus propias decisiones sobre el manejo
y control de las actividades de la organización y preparar informes financieros confiables.
10. Por consiguiente, un sistema de información comprende los métodos y registros que:
· Identifican y registran todas las transacciones válidas.
· Describen oportunamente las transacciones con los detalles necesarios que permitan la
clasificación adecuada de las transacciones para la preparación de los informes
financieros.
· Miden el valor de las transacciones de tal manera que permita registrar su propio valor
monetario en los estados financieros.
· Determinan el período de tiempo en el que se producen las transacciones permitiendo

que se registren las transacciones en el período contable correspondiente.
· Presentan adecuadamente en los estados financieros las transacciones y las

revelaciones de información correspondiente.
11. La comunicación implica proporcionar un entendimiento de los roles individuales y de las

responsabilidades relativas al control interno para la presentación de información
financiera. Esto incluye, en gran medida, que el personal entienda cómo sus actividades en
el sistema de información para la presentación de informes se relacionan con el trabajo de
otros y con los medios que existen para reportar excepciones al nivel más alto que
corresponde al interior de la organización. Los canales de comunicación abiertos ayudan a
asegurar que las excepciones se informen e investiguen.
12. La comunicación toma la forma de manuales de política, informes financieros y contables

y memorandos. La comunicación se puede realizar, además, de forma electrónica, oral y
mediante las acciones de la administración.
Aplicación a las Organizaciones Pequeñas
13. Los sistemas de información y los procesos correspondientes de negocios, adecuados a los
informes financieros en organizaciones pequeñas, tienen probabilidades de ser menos
formales que las más grandes, pero su rol es igual de significativo. En las organizaciones
pequeñas donde se involucra activamente la administración, puede que no se necesite
descripciones extensas de los procedimientos contables, registros contables sofisticados o
políticas por escrito. En las organizaciones pequeñas, a diferencia de las grandes, las
comunicaciones pueden ser menos formales y más fáciles de lograr debido al tamaño y a
los pocos niveles, así como a una mayor presencia y disponibilidad de la administración.
Control de Actividades
14. El control de actividades corresponde a las políticas y los procedimientos que contribuyen
a asegurar que se seguirán las directivas de administración. Por ejemplo, que se tomen las
acciones necesarias para dirigir los riesgos que significan una amenaza para que la

organización logre sus objetivos. Las actividades de control con la TI o sistemas manuales,
tienen diversos objetivos y se aplican en diferentes niveles organizacionales y funcionales.
15. Generalmente, las actividades de control que pueden ser relevantes para la auditoría,
pueden ser clasificadas como políticas y procedimientos en relación con:
· Revisiones de rendimiento. Estas actividades de control incluyen las revisiones y

análisis de los resultados reales contra los presupuestos, pronósticos y resultados de
periodos anteriores, estableciendo relaciones entre los diferentes grupos de
información (de operación o financiera) además de los análisis de las relaciones y de
las acciones de investigación y corrección, comparando la información interna con las
fuentes de información externas y la revisión de los resultados funcionales o resultados
de las actividades, como la revisión de los informes de administración de los
préstamos de consumo de los bancos de cada sucursal, región y tipo de préstamo para
las aprobaciones de préstamo y cobranzas.
· Procesamiento de la información. Se realizan una variedad de controles para revisar la

precisión, integridad y la autorización de las transacciones. Los controles de aplicación
y los controles de la TI son los dos grupos de actividades de control de sistemas de
información más amplios. Los controles de aplicación se utilizan en el procesamiento
de las aplicaciones individuales. Estos controles ayudan a asegurar que las
transacciones realizadas sean autorizadas y registradas y procesadas en su totalidad y
con precisión. Ejemplos de controles de aplicación incluyen la revisión de la precisión
aritmética de los registros, el mantenimiento y revisión de cuentas y los saldos de
comprobación, los controles automatizados como la edición del control de ingreso de
datos y las revisiones de secuencia numérica y el seguimiento de los informes sobre
excepciones. Los controles generales de la TI son políticas y procedimientos
relacionados a muchas aplicaciones y que apoyan el funcionamiento efectivo de los
controles de aplicación al ayudar a asegurar un funcionamiento continuo y adecuado
de los sistemas de información. Los controles generales de la TI habitualmente
incluyen controles de centro de datos y operaciones de red, la adquisición del software
del sistema, el cambio y mantenimiento, seguridad de acceso y la adquisición,
mantenimiento, desarrollo del sistema de aplicación. Estos controles se aplican al
servidor principal, servidor secundario y a los ambientes del usuario final. Algunos
ejemplos de estos controles de la TI son los controles de cambio de programa, los
controles que restringen el acceso a los programas o a la información, los controles
sobre la implantación de nuevas versiones de paquetes de programas o aplicaciones y
controles sobre el programa / software del sistema que restringe el acceso o el
monitoreo del uso de los dispositivos del sistema que pueden cambiar información
financiera o registros sin dejar rastro de auditoría.
· Controles físicos. Estas actividades implican la seguridad física de los activos,

incluyendo salvaguardas adecuadas como instalaciones seguras sobre el acceso a los
activos y a los registros, la autorización de acceso a los programas de la computadora
y a los archivos de información y un conteo periódico y comparación con las
cantidades que se muestran en los registros de control (por ejemplo: Comparar los
resultados del efectivo, títulos valores y las cuentas del inventario con los registros
contables.) El alcance en la que los controles están destinados a prevenir el robo de
los activos es relevante para la confiabilidad en la preparación de los estados
financieros y por lo tanto también para la auditoría, y dependen de circunstancias de sí
los activos son altamente susceptibles a un error de apropiación ilícita. Por ejemplo,
estos controles normalmente no serían relevantes cuando se detecta la pérdida de
cualesquier inventario de conformidad como resultado de la inspección física

periódica y se registran en los estados financieros. Sin embargo, si la administración
depende únicamente de los registros de inventario permanentes para propósitos de
informe financiero, los controles de seguridad física serán relevantes en la auditoría.
· Segregación de funciones. La asignación a diferentes personas de las

responsabilidades de autorización de transacciones, registro de transacciones y
mantenimiento de la custodia de activos, tiene como fin la reducción de tiempo que
permitan a cualesquier persona cometer y ocultar errores o fraude en el curso normal
de las funciones de una persona. Los ejemplos de segregación incluyen presentación
de informes, revisión y aprobación de conciliaciones, y la aprobación y control de
documentos.
16. Ciertas actividades de control pueden depender de la existencia de niveles más altos de
políticas establecidos por la administración o por aquellos encargados del gobierno. Por
ejemplo, la autorización de controles se puede delegar bajo los lineamientos establecidos,
como los criterios de inversión establecidos por los encargados del gobierno;
alternativamente, transacciones no rutinarias como grandes adquisiciones o ventas pueden
requerir un nivel de aprobación específico, que incluye en algunos casos a los accionistas.
Aplicación a las Organizaciones Pequeñas
17. Es probable que los conceptos referentes a las actividades de control en organizaciones
pequeñas tengan similitud con las de organizaciones grandes, pero la formalidad con la que
operan varía. Además, las organizaciones pequeñas pueden encontrar que algunos tipos de
controles de actividades no son adecuados debido a los controles aplicados por la
administración. Por ejemplo: la retención de la autoridad para aprobar ventas a crédito por
parte de la administración, compras importantes y pagos con cargo al capital en líneas de
crédito, pueden brindar un gran control de estas actividades, disminuyendo o eliminando la
necesidad de actividades de control más detalladas. En muchos casos, una apropiada
segregación de deberes en las organizaciones pequeñas puede presentar dificultades. Sin
embargo, incluso las compañías que solo cuentan con pocos empleados pueden ser capaces
de asignar las responsabilidades para lograr una apropiada segregación o, si es posible,
utilizar la supervisión de la administración para detectar actividades incompatibles para
lograr los objetivos de control.
Monitoreo de los Controles
18. Una responsabilidad importante de la administración es establecer y mantener el control

interno de manera continuada. El monitoreo de los controles que efectúa la administración
incluye considerar si operan como deberían y si han sido modificados adecuadamente
frente a los cambios en la situación. El monitoreo de los controles puede incluir actividades
como la revisión por parte de la administración si las conciliaciones bancarias se están
preparando oportunamente, el cumplimiento del personal de ventas con las políticas de la
organización en términos de contratos de ventas y la supervisión por parte del
departamento legal del cumplimiento con el código de ética o políticas de prácticas del
negocio de la organización.
19. El monitoreo de los controles es un proceso que evalúa la calidad del rendimiento del
control interno. Esto involucra la evaluación del diseño y operación de los controles y la
aplicación de acciones correctivas necesarias. El monitoreo se realiza para asegurar que los
controles continúen operando efectivamente. Por ejemplo: Si no monitorean la oportunidad

y exactitud de las conciliaciones bancarias, es probable que el personal deje de prepararlas.

El monitoreo de los controles se cumple a través de actividades de monitoreo continuas,
evaluaciones por separado o una combinación de las dos.
20. Las actividades de monitoreo continuas se incorporan a las actividades normales

recurrentes de una organización e incluye regularmente actividades de gestión y
supervisión. Los gerentes de ventas, compras y producción en el ámbito de la división y
corporación están en contacto con las operaciones y pueden cuestionar los informes que
difieren significativamente de su conocimiento sobre las operaciones.
21. En muchas organizaciones, los auditores internos o personal realizan funciones similares
que contribuyen al monitoreo de los controles de la organización a través de evaluaciones
separadas. Regularmente, ellos brindan información sobre el funcionamiento del control
interno, centrando su atención en la evaluación del diseño y operación del control interno.
Comunican la información sobre los puntos fuertes y débiles y dan recomendaciones para
mejorar el uso del control interno.
22. Las actividades de monitoreo pueden incluir el uso de información proveniente de

comunicaciones que se derivan de fuentes externas que probablemente indiquen problemas
o destaquen áreas que necesiten ser mejoradas. Los clientes corroboran implícitamente la
información de sus facturas mediante el pago de sus recibos o mostrándose en desacuerdo
sobre lo que se les cobra. Además, los reguladores pueden comunicarse con la
organización con respecto a temas que afecten el funcionamiento del control interno, por
ejemplo, las comunicaciones sobre los exámenes realizados por las agencias reguladoras
bancarias. Además, la administración puede considerar las comunicaciones relacionadas al
control interno provenientes de los auditores externos al realizar actividades de monitoreo.
Aplicación a Organizaciones Pequeñas
23. Es muy probable que las actividades de monitoreo continuadas en las organizaciones
pequeñas sean más informales y estén realizadas típicamente como parte de las funciones
generales de la administración de la organización. La gran participación de la
administración en las operaciones con frecuencia logrará que se identifiquen las principales
variaciones con respecto a las expectativas e inexactitudes de la información financiera,
todo lo cual conducirá a la toma de acciones correctivas en el control.

Apéndice 3
Condiciones y Eventos que Puedan Indicar Riesgos de Errores Significativos

Los ejemplos que se presentan a continuación son condiciones o situaciones de eventos que puedan
indicar riesgos de imprecisiones significativas. Los ejemplos que se brindan abarcan una amplia
gama de situaciones y eventos, sin embargo, no todos ellos son adecuados para cada auditoría y la
lista no está necesariamente completa:
· Operaciones en regiones económicamente inestables, por ejemplo, países con devaluación de

moneda o economías con altos índices de inflación.
· Operaciones expuestas a mercados no permanentes, por ejemplo, comercio de los contratos a

futuro.
· Alto grado de dificultad en las regulaciones.
· Problemas de empresa en marcha y de liquidez, que incluyen pérdida significativa de clientes.
· Restricciones en la disponibilidad de capital y crédito.
· Cambios en la industria donde opera la organización.
· Cambios en la cadena de suministro.
· Desarrollo u ofrecimiento de nuevos productos o servicios o el cambio hacia nuevas líneas de

negocios.
· Expansión hacia nuevas ubicaciones geográficas.
· Cambios en la organización, como por ejemplo, grandes adquisiciones, reorganizaciones u

otros acontecimientos inusuales.
· Venta probable de segmentos de organizaciones o negocios.
· Alianzas o uniones de empresas complejas.
· Uso de finanzas fuera de libros, organizaciones con propósitos especiales y otros arreglos
financieros complejos.
· Transacciones significativas con las empresas vinculadas.
· Falta de personal con habilidades adecuadas para preparar informes contables y financieros.
· Cambios en el personal clave incluyendo la salida de ejecutivos clave.
· Control interno deficiente, especialmente en aquellos que no son abordados por la

administración.
· Incoherencias entre la estrategia de la TI y las estrategias administrativas de la organización.

· Cambios en el ambiente de la TI.
· Instalación de nuevos sistemas significativos de la TI relacionados con la presentación de

información financiera.
· Indagaciones en las operaciones o resultados financieros de la organización por parte de los

organismos de regulación o de gobierno.
· Imprecisiones anteriores, historia de errores o de una cantidad significativa de ajustes al final

del período.
· Cantidad significativa de transacciones habituales o no sistemáticas, que incluyen las

transacciones entre compañías vinculadas y transacciones que involucran grandes flujos de
ingresos al cierre del período.
· Las transacciones que se registran sobre la base del propósito de la administración. Por
ejemplo, refinanciamiento de la deuda, activos para la venta y clasificación de valores
negociables.
· Aplicación de nuevos pronunciamientos contables.
· Mediciones contables que comprenden procesos complejos.
· Eventos o transacciones que implican cierta incertidumbre en la medición, incluyendo

estimados contables.
· Procesos judiciales pendientes y pasivos contingentes, por ejemplo, garantías de venta,

garantías financieras y reparación sobre el medio ambiente.

NIA315

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

NIA315

Încărcat de

Drepturi de autor:

Formate disponibile

NORMA INTERNACIONAL DE AUDITORIA 315

ENTENDIENDO A LA ORGANIZACION Y SU AMBIENTE Y EVALUANDO

Introducción ................................................................................................................................. 1-5

La Norma Internacional de Auditoría (NIA) 315, “Entendiendo a la Organización y su Ambiente y

NIA 315 229

2. El auditor deberá lograr un entendimiento de la organización y su ambiente,

3. La siguiente es una síntesis de los principales requerimientos de la presente norma:

· Evaluación de riesgos y fuentes de información acerca de la organización y su

· Entendiendo la organización y su ambiente, incluyendo su control interno. Está

NIA 315 230

o Identifica riesgos al considerar la organización y su ambiente, incluyendo los

o Considera la importancia y probabilidad de los riesgos.

o La presente sección también requiere que el auditor determine si cualquiera de los

· Comunicándose con aquellos encargados de la Dirección de la Empresa y de su

· Documentación. Está sección establece los requerimientos de documentación

4. Obtener un entendimiento de la organización y su ambiente, es un aspecto esencial en la

· Establecer el grado de importancia y evaluar si su consideración del grado de

· Considerar la idoneidad de la selección y aplicación de políticas contables y la

· Identificar áreas en las que se requiere consideración especial de auditoría, por

· Desarrollar expectativas de uso al ejecutar procedimientos analíticos;

· Diseñar y ejecutar procedimientos de auditoría adicionales para reducir el riesgo de

· Evaluar la suficiencia e idoneidad de la evidencia de auditoría obtenida, tales como la

231 NIA 315

5. El auditor recurre a su criterio profesional para determinar el alcance del entendimiento

Procedimientos de Evaluación de Riesgos y Fuentes de Información Acerca de la

Procedimientos de Evaluación de Riesgos

7. El auditor deberá ejecutar los siguientes procedimientos de evaluación de riesgos,

(a) Indagaciones con la administración y otros, dentro de la organización;

(b) Procedimientos analíticos; y

(c) Observación e inspección.

No se requiere que el auditor ejecute todos los procedimientos de evaluación de riesgos

8. Adicionalmente, el auditor ejecuta otros procedimientos de auditoría cuando la

NIA 315 232

· Indagaciones dirigidas hacia aquellos encargados de la Dirección de la organización

· Indagaciones dirigidas hacia el personal de auditoría interna pueden contribuir a sus

· Indagaciones con empleados dedicados a iniciar, procesar o registrar transacciones

· Indagaciones dirigidas a los asesores legales dentro de la organización pueden

· Indagaciones dirigidas a personal de marketing o ventas pueden proporcionar

11. La observación e inspección pueden respaldar las indagaciones efectuadas con la

233 NIA 315

· Observación de las actividades y operaciones de la organización

· Inspección de documentos (tales como planes de negocios y estrategias) registros y

· Lectura de informes preparados por la administración (tales como los informes

· Visitas a las oficinas e instalaciones de la organización.

· Rastrear las transacciones a través de sistemas de información relevantes a informes

12. Cuando el auditor trata de usar información acerca de la organización y su ambiente

Debate y Discusión entre los Miembros del Equipo del Compromiso

NIA 315 234

19. Dependiendo de las circunstancias de la auditoría, se pueden producir debates adicionales

Entendiendo a la Organización y su Ambiente, Incluyendo el Control Interno

20. El entendimiento del auditor sobre la organización y su ambiente consiste en el

(a) Sector económico, marco de referencia regulatorio y otros factores externos,

(b) Naturaleza de las operaciones de la organización, incluyendo la selección y aplicación

235 NIA 315

(d) Medición y revisión del rendimiento financiero de la organización.

(e) Control interno.

El Apéndice 1 contiene ejemplos de temas que el auditor puede considerar al lograr un

21. La naturaleza, oportunidad y alcance de los procedimientos de evaluación de riesgos

Sector Económico, Regulaciones y Otros Factores Externos, Incluyendo él Marco de

24. Los requerimientos reglamentarios y legislativos por lo general determinan el marco de

NIA 315 236

informes financieros. El auditor considera si las regulaciones locales especifican ciertos

Naturaleza de las Operaciones de la Organización

25. El auditor deberá obtener un entendimiento de la naturaleza de la organización. La