Heyddy Escobar

Bienvenid@s a este espacio donde compartiremos información y experiencias sobre: Auditoría Interna, Gobierno, Riesgo, Control, Coaching Ejecutivo, Crecimiento Personal . © 2024. Todos los derechos reservados. Heyddy Escobar.

Auditoría Interna Control Interno

Técnicas para la Evaluación del Control Interno en una Auditoría de Estados Financieros

PorHeyddy Escobar

Jul 16, 2023

¿Qué es el control interno?

Según COSO (2013) el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones.

Los controles internos son importantes para la administración pues así dispone de información financiera confiable para tomar decisiones empresariales acertadas y salvaguardar sus activos. Además, la eficacia y eficiencia con que opera el negocio tiene un efecto directo en los resultados finales.

Evaluar la estructura del control interno

La evaluación de la estructura de control interno en un trabajo de auditoría, inicia en la etapa de planificación de auditoría y continúa a lo largo del ejercicio.

¿Qué tipo de trabajos de auditoría se efectúan?

  • Trabajos de aseguramiento
  • Trabajos de consultoría

Servicios de aseguramiento: un examen objetivo de la evidencia con el fin de proporcionar una evaluación independiente sobre los procesos de gobierno, gestión de riesgos y control para la organización. Los ejemplos pueden incluir revisiones de estados financieros, de evaluaciones de desempeño, de cumplimiento, de sistemas de información y de diligencia debida.

Las auditorías de estados financieros o de cuentas efectuadas por los auditores tienen como objetivo opinar sobre los estados financieros. Estas auditorías se centran en los controles internos de la Compañía.

El aseguramiento sobre el control interno es garantizar que la organización mantiene una estricta adherencia a los procesos y procedimientos que controlan todo tipo de actividad financiera que tenga lugar.

Fases de un compromiso de revisión de estados financieros

Aunque se suele describir las tres fases del compromiso como pasos secuenciales, los compromisos reales de auditoría interna en realidad no funcionan de esta manera.

El proceso de compromiso de aseguramiento centrado en los controles, comprende tres fases fundamentales: planificación, ejecución y comunicación.

No hay líneas estrictas entre la planificación, el desempeño y la comunicación. Es discutible dónde termina la planificación del compromiso y comienza la ejecución.

La planificación generalmente continúa durante todo el compromiso porque se pueden hacer ajustes a medida que se descubren nuevas pruebas.

La realización del compromiso comienza durante la planificación, ya que el equipo de auditoría interna aplica procedimientos para recopilar la información necesaria para desarrollar el compromiso.

La comunicación se lleva a cabo a lo largo del proceso de compromiso, ya que el equipo comunica asuntos importantes al auditado de forma provisional y no solo al final del proceso en la comunicación final del compromiso.

Planificación

La planificación efectiva es clave para la finalización exitosa de cualquier tipo de proyecto. La planificación previa adecuada evita la deficiente ejecución.

La planificación previa adecuada evita la deficiente ejecución.

Determinar los objetivos y el alcance del compromiso

Un primer paso importante en la planificación del compromiso es determinar los objetivos del compromiso (lo que se pretende lograr con el compromiso) y el alcance (lo que cubrirá y no cubrirá el compromiso).

Comprender al auditado, incluidos los objetivos del auditado y aseveraciones

Es prácticamente imposible auditar con eficacia algo que no se entiende lo suficiente. En última instancia, el éxito de cualquier compromiso depende en gran medida de qué tan bien el equipo de auditoría interna comprenda al auditado. Lo primero que los auditores internos deben comprender son los objetivos comerciales y las afirmaciones del auditado. Los objetivos comerciales indican lo que el auditado se esfuerza por lograr. Las afirmaciones son declaraciones posteriores a los hechos de lo que se logró.

Ejemplo: El departamento de servicio de la organización tiene un objetivo de responder a las solicitudes de servicio de los clientes dentro de las 48 horas posteriores a la recepción de las solicitudes.

Implícita en este objetivo está la afirmación de que el departamento de servicio ha implementado los controles necesarios para proporcionar una seguridad razonable de que se logra el objetivo.

El informe de rendimiento publicado en departamento de servicio afirma explícitamente que el departamento cumplió con este objetivo en el 92 por ciento de las solicitudes de servicio al cliente, recibidas durante los últimos tres meses.

Desde la perspectiva de un auditor interno, los objetivos y afirmaciones del auditado proporcionan un marco para definir los objetivos del trabajo (lo que el auditor interno quiere lograr). En última instancia, el vínculo directo entre los objetivos comerciales y las afirmaciones y los objetivos del compromiso de auditoría preparan el escenario para que los auditores internos ayuden al auditado a lograr sus objetivos, lo que a su vez ayuda a la organización en su conjunto a lograr sus objetivos.

Aspectos del proceso que el equipo de auditoría interna debe entender incluyen:

El propietario del proceso o el personal involucrado en el proceso puede proporcionar una lista de objetivos del proceso.

¿Por qué existe este proceso (es decir, cuál es su propósito principal)?
¿A cuál de los objetivos estratégicos de la organización afecta o influencia y como?
¿Qué iniciativas emprende/debe emprender el proceso para ayudar a la organización a lograr sus objetivos estratégicos?
¿Qué proporciona este proceso a la organización, sin el cual la organización tendría dificultades para tener éxito?
Al final del día/semana/mes/año, ¿qué les da a los empleados una sensación de logro con sus trabajos?
¿Qué logros tienden a hacer que los empleados sean reconocidos por la gerencia o los clientes internos?

Fuentes para obtener la información

Identificar y evaluar los riesgos

  • El equipo de auditoría interna debe identificar y evaluar los riesgos que amenazan el logro de los objetivos del auditado y, en última instancia, los objetivos de la organización.
  • El equipo de auditoría interna centra su atención en esta etapa del compromiso en el riesgo inherente, es decir, el riesgo para el auditado en ausencia de acciones directas o enfocadas por parte de la administración para alterar su gravedad.
  • La evaluación de riesgos implica medir tanto el impacto del riesgo (si debe ocurrir) como la probabilidad de que ocurra el riesgo. Expresar los riesgos en términos de causas y efectos ayuda al auditor interno a evaluar la magnitud del problema potencial y la probabilidad de que ocurra.

Sopesar los niveles de riesgo evaluados frente a los umbrales de tolerancia al riesgo de la administración y decidir si los riesgos se gestionan adecuadamente.

Los riesgos evaluados a niveles dentro de los umbrales de tolerancia al riesgo de la gerencia pueden aceptarse en sus niveles evaluados. Los riesgos que excedan los umbrales de tolerancia de la gerencia deben mitigarse a un nivel aceptable.

Las opciones de respuesta para mitigar los riesgos incluyen evitar los riesgos mediante la disolución de las actividades que los generan, compartir los riesgos mediante la transferencia de una parte de ellos a terceros, o reducir los riesgos mediante la implementación de controles diseñados para reducir su impacto. probabilidad, o ambos.

Identificar y evaluar escenarios de riesgos

Una organización establece procesos para ejecutar su plan de negocios y lograr sus objetivos.

Los riesgos existen en todos los procesos, independientemente de su amplitud, ubicación o enfoque. La primera tarea en la evaluación de riesgos a nivel de proceso es identificar los escenarios de riesgo que son inherentes al proceso.

Los escenarios de riesgo son eventos potenciales de la vida real que pueden afectar negativamente el logro de los objetivos.

Análisis de controles a nivel de entidad

Si bien es importante comprender las tareas y controles a nivel de proceso, también es importante comprender cómo los controles a nivel de entidad pueden influir en el desempeño de un proceso. Las deficiencias en los controles a nivel de entidad pueden eludir los controles bien diseñados dentro de un proceso.

Por ejemplo, si las políticas de toda la organización tienden a ser informales y se aplican de manera inconsistente, es posible que las políticas específicas del proceso que se audita no sean tan importantes para comprender el proceso.

De manera similar, si hay poco compromiso para atraer, capacitar y desarrollar empleados competentes en áreas clave que requieren habilidades para la toma de decisiones y juicios complejos, es posible que se deba modificar el enfoque de prueba, ya que se puede confiar menos en que las personas puedan realizar tareas complejas o complejas.

Evalúa la adecuación del diseño de control:

Adecuación del diseño Evaluación de si la dirección ha planificado y organizado (diseñado) los controles de manera que proporcione una seguridad razonable de que los riesgos relacionados pueden gestionarse a un nivel aceptable.

  • ¿Entiende el auditor interno qué es un “nivel aceptable” de es el riesgo, con base en los niveles de tolerancia al riesgo de la gerencia para el proceso?
  • Los controles clave, tomados individualmente o en conjunto, reducen los riesgos a nivel de proceso correspondientes a niveles aceptables?
  • ¿Existen controles de compensación adicionales de otros procesos que reduzcan aún más los riesgos a niveles aceptablemente bajos?
  • ¿Parece que los controles clave, si operan de manera efectiva, apoyarán el logro de los objetivos a nivel de proceso?
  • En la medida adecuada, ¿el diseño del proceso aborda la eficacia y la eficiencia de las operaciones, la confiabilidad de los informes, el cumplimiento de las leyes y reglamentos aplicables y el logro de los objetivos estratégicos?
  • ¿Qué brechas, si las hay, existen que impiden el proceso?

Entender el sistema de control interno

El grado de eficacia de un sistema de control interno dependerá de los dos factores siguientes:

  • El diseño del sistema de control interno y los controles internos individuales. ¿Es el sistema de control capaz de evitar las incorrecciones materiales, o es capaz de detectar y corregir las incorrecciones materiales si se producen? ¿Parece que los controles internos son adecuados y eficaces «sobre el papel»?
  • La correcta aplicación de los controles. Los controles no son eficaces si no se aplican correctamente. ¿Los controles son operados adecuadamente por la dirección del cliente y otros empleados? El resultado de esta evaluación ayuda al auditor a valorar el riesgo de control. Es el riesgo de que los controles internos no logren prevenir o detectar y corregir errores en los estados financieros.

Todas las actividades de planificación van encaminadas a la preparación de un programa de auditoría. El documento debe reflejar la aproximación sistemática, disciplinada y profesional a la práctica de auditoría interna, puesto que se van aplicar a la ejecución del trabajo.

El programa debe establecer:

  • Los objetivos del trabajo
  • Identificar los requisitos técnicos, objetivos, riesgos, procesos y transacciones que deben examinarse.
  • Establecer la naturaleza y extensión de las pruebas requeridas.
  • Documentar los procedimientos a obtener, analizar, interpretar, documentar la información durante el trabajo.
  • Incluir metodologías a utilizar, como técnicas de auditoría asistidas por ordenador, técnicas de muestreo o técnicas actuariales.

Ejecución

Las pruebas de auditoría que se diseñan para obtener evidencia suficiente y adecuada pueden ser de dos tipos:

Procedimientos sustantivos. Estas pruebas están encaminadas a detectar aquellas incorrecciones materiales en el trabajo de campo de la auditoría. Los procedimientos sustantivos comprenden.

  • Pruebas en detalle respecto a:
  • Las transacciones de compra, venta, pagos, cobros, Saldos contables deudores o acreedores que se necesiten comprobar.
  • Procedimientos analíticos sustantivos. Aquellas operaciones que el auditor realiza como cálculo de operaciones de interés, amortizaciones o pago trimestral del IVA entre otros, con carácter exhaustivo.
  • Prueba de controles: procedimientos de auditoría que el auditor utiliza en el proceso de evaluación del control interno de la empresa auditada.

Pruebas de controles

Las pruebas de controles se realizan solo sobre aquellos controles que el auditor haya considerado adecuadamente diseñados para prevenir, o para detectar y corregir, una incorrección material en una afirmación relevante y cuando el auditor tenga previsto comprobar esos controles.

  • De acuerdo a la NIA 330 el auditor debe diseñar y ejecutar pruebas de control en caso de que:
  • El auditor tenga previsto confiar en la eficacia operativa de los controles y esto sea un factor que determine la naturaleza y extensión de los procedimientos sustantivos.
  • Los procedimientos sustantivos por sí mismos no puedan proporcionar evidencia de auditoría suficiente y adecuada.

Las pruebas sobre la eficacia operativa de los controles no son lo mismo que la obtención de conocimiento y la evaluación de su diseño e implementación. Sin embargo, en ambos se utilizan los mismos tipos de procedimientos de auditoría. En consecuencia, es posible que el auditor decida que resulta eficiente probar la eficacia operativa de los controles al mismo tiempo que se evalúa su diseño y se determina si han sido implementados.

El auditor debe realizar pruebas de controles para reunir evidencia suficiente que respalde su declaración de riesgo de control. Una declaración de riesgo de control medio o bajo requiere mayor evidencia de respaldo que una declaración de riesgo alto. Al respecto, la NIA 330 afirma: “el auditor obtendrá evidencia de auditoría más convincente cuanto más confíe en la eficacia de un control”.

El establecimiento del riesgo de control definitivo depende si los resultados de las pruebas de control respaldan el diseño y operación de los controles. En caso de que sí, el auditor utiliza el mismo riesgo de control que empleó en la etapa preliminar. Sin embargo, si las pruebas de control indican que los controles no operaron de manera efectiva, el riesgo de control evaluado se debe aumentar.

El auditor enfrenta por lo general, tres tipos de riesgo en la representación de los estados financieros: riesgos financieros, de cumplimiento y operativos. Estos, complican la tarea de una evaluación, ya que de ellos se desprenden otros riesgos asociados:

  • Riesgos inherentes: son los que están fuera del alcance de las labores administrativas y de los auditores.
  • Riesgos de control: surgen derivados del control interno de la administración sobre la información financiera al no detectar incorrecciones materiales debidas a variables como errores o fraude.
  • Riesgo de detección: son los que implican que el auditor no pueda diseñar los procedimientos de auditoría correctos, para detectar y tomar acciones precisas sobre las incorrecciones materiales que contienen los estados financieros.
  • Normalmente, en las pruebas de control se selecciona una muestra representativa de transacciones para:
  • Observar la operación de un procedimiento del control interno.
  • Indagar sobre cómo y cuándo se desarrolló el procedimiento.
  • Re ejecutar la operación del procedimiento de control.

Si bien no existen reglas estrictas y rápidas con respecto a la confiabilidad y la suficiencia de la evidencia, existen pautas útiles que los auditores internos pueden seguir si recuerdan que las pautas generalmente se caracterizan por excepciones. Tales pautas incluyen:

  • La evidencia obtenida de terceros independientes es más confiable que la evidencia obtenida del personal del auditado.
  • La evidencia producida por un proceso o sistema con controles efectivos es más confiable que la evidencia producida por un proceso o sistema con controles ineficaces.
  • La evidencia obtenida directamente por el auditor interno es más confiable que pruebas obtenidas indirectamente.
  • La evidencia documentada es más confiable que la evidencia no documentada. La evidencia oportuna es más confiable que la evidencia extemporánea.
  • La evidencia corroborada es más suficiente que la no corroborada o evidencia contradictoria.
  • Las muestras más grandes producen evidencia más suficiente que las muestras más pequeñas.

Controles Clave:

  • Aprobar implica obtener una autorización para ejecutar una transacción por alguien facultado para hacerlo (por ejemplo, aprobación de una cancelación).
  • Calcular implica calcular o volver a calcular un monto que resulta de otros datos obtenidos en el proceso (por ejemplo, usar datos históricos de cancelación para calcular una reserva de deuda incobrable o verificar un cálculo de depreciación para garantizar que el monto calculado sistemáticamente sea razonable).
  • La documentación se relaciona con la preservación de la información de origen o la documentación de la justificación detrás de los juicios realizados para futuras referencias (por ejemplo, escanear la documentación de recepción, las facturas y los cheques para respaldar un pago, o escribir un memorando en los archivos que describa los juicios utilizados para determinar una acumulación) .
  • Examinar implica verificar un atributo, es decir, un elemento de datos, un evento o evidencia documental que respalde la existencia o la ocurrencia (por ejemplo, evidencia de que se recibieron los bienes pagados).
  • La Conciliación implica hacer comparaciones entre dos atributos diferentes para verificar que concuerden (por ejemplo, un monto de pago concuerda con el monto de la factura).
  • El monitoreo representa la verificación para garantizar que se está produciendo una acción (por ejemplo, monitorear que un aprobador de facturas no exceda sus límites).
  • Restringir implica no permitir una acción inaceptable (por ejemplo, prohibir la especulación sobre las fluctuaciones de las tasas de interés o no permitir que personas no autorizadas accedan a ciertos datos dentro de los sistemas clave).
  • La segregación se centra en separar funciones incompatibles que crearían la posibilidad de una acción no deseada (por ejemplo, separar la firma de cheques y la autoridad de aprobación de facturas).
  • Supervisar implica brindar dirección y supervisión para garantizar que las acciones y tareas se lleven a cabo según lo diseñado (por ejemplo, un supervisor que aprueba un lote antes del procesamiento por computadora).

Pruebas de controles versus pruebas sustantivas

Las pruebas de cumplimiento y las pruebas sustantivas tienen diferentes objetivos, pero son igualmente importantes. Las pruebas de cumplimiento evalúan la validez de los controles internos y cómo la organización cumple con las normas y políticas. Las pruebas sustantivas evalúan la precisión de los registros financieros específicos. Cada una de estas pruebas ayuda a garantizar que los registros financieros estén precisos y que los controles internos estén funcionando adecuadamente.

La prueba de cumplimiento es una de las más importantes que el auditor puede realizar. Esta prueba verifica si los procedimientos y prácticas de gestión de la empresa se ajustan a las normas y regulaciones aplicables. Una vez que se ha verificado si se cumple con las normas y regulaciones, el auditor puede emitir una opinión sobre si la empresa cumple o no con las regulaciones aplicables.

También es importante asegurarse de que la empresa tenga un sistema de contabilidad adecuado que permita una recopilación y presentación de información financiera precisa y confiable. Si el sistema de contabilidad no es adecuado, el auditor es probable que encuentre errores en la información financiera.

  • Confirmación con terceras partes.
  • Verificación cruzada de datos contables con otras figuras que hayan intervenido en los negocios de la empresa.
  • Pruebas de corte. Comprobación de la integridad de los datos auditados (por ejemplo, cruzando facturas de venta y compra en distintos periodos).
  • Inspección física de activos.
  • Verificación de la existencia y atributos de las propiedades, existencias o inventarios que declare la empresa como posesión suya.
  • Revisión de cálculos. Comprobación de la exactitud de los cálculos realizados por la empresa, por ejemplo, en las retenciones fiscales aplicadas a sus empleados o en la presentación de sus impuestos en Hacienda.
  • Revisión de conciliaciones.
  • Verificación que consiste en cruzar los datos registrados en los libros de contabilidad con los estados financieros reales de la organización.
  • Revisión de pasivos no registrados.
  • Comprobación consistente en identificar costes o gastos no reconocidos por la empresa durante el periodo auditado.

Pruebas de operatividad

Las pruebas operacionales consisten en la detección de prácticas habituales en el seno de la empresa que puedan derivar en riesgos potenciales para la salud financiera de la organización. Este tipo de pruebas tienen como objetivo la prevención de que vuelvan a aparecer irregularidades financieras en el futuro.

Algunos ejemplos de estas pruebas de control interno:

  • Revisión de los flujos de trabajo implicados en los resultados financieros de la compañía.
  • Determinación del desempeño actual de los empleados, y búsqueda de soluciones que optimicen su rendimiento.
  • Delimitación de funciones en la organización, de modo que se asegure que cada empleado y departamento contribuye al propósito común.

Pruebas de diseño

Es posible que las mismas pruebas de control interno que esté aplicando la organización no estén respondiendo al objetivo. En este caso, estaríamos hablando de un defecto en el diseño del plan de control interno.

Estos ejemplos de pruebas de control asumen que el problema no está en la operativa (como en el punto anterior) sino en la propia naturaleza de las pruebas de control: puede decirse que la idea es «probar la prueba».

El mejor ejemplo de este tipo de pruebas es el aislamiento del proceso de control. Consiste en predecir si los resultados serán los mismos con independencia de haber realizado o no las pruebas de control actuales.

Información y reporte

En relación con los sistemas y los medios de información, no son menos importantes como quiera que a través de ellos se soporta y es el insumo para planear y generar acciones de operación y como medio para tomar decisiones de tipo financiero, económico y de servicios.   

Conclusiones

La evaluación al control interno contribuye a la calidad, mejora del desempeño de las operaciones, salvaguarda de los recursos, prevención de la corrupción, esto optimizado por una oportuna resolución de los hallazgos de auditoría y de otras revisiones, así como a la idoneidad y a la suficiencia de los controles.

Por Heyddy Escobar

Entrada relacionada

Auditoría Interna Gestión de Riesgos Empresariales

Análisis de Datos para la Detección y Prevención del Fraude en Auditoría

Sep 9, 2023
Control Interno Gestión de Riesgos Empresariales

Estrategias para la Implementación de un GRC: Gobierno, Riesgo y Cumplimiento

May 24, 2023
Auditoría Interna Gestión de Riesgos Empresariales

El Rol del Auditor Interno en el Aseguramiento de la Gestión de Riesgos

Abr 9, 2023