UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

CENTRO UNIVERSITARIO DE CHIMALTENANGO -CUNDECH-

CARRERA: CONTADURÍA PÚBLICA Y AUDITORÍA
PRÁCTICA DEL ÁREA PROFESIONAL 2018

“EVALUACIÓN DE LA ESTRUCTURA DEL CONTROL INTERNO”

DOCENTE SUPERVISOR:
Lic. César Augusto Alonzo Siquinajay

El Tejar, Chimaltenango, agosto de 2018

EVALUACIÓN DE LA ESTRUCTURA EL CONTROL INTERNO
ELABORADO POR:

ROLANDO ANTONIO SALAZAR ANDRES

201541259
(COORDINADOR DEL GRUPO)

CAROL WALESSKA CHÁVEZ CANÁ 201444209

CRISTIAN YONATAN PAJARITO SALAZAR 201541392

ELVIA RAQUEL RAMÍREZ MELÉNDEZ 201541201

LOIDA ADELINA MARTÍNEZ PÉREZ 201444292

MARÍA CECILIA ELEL XOYÓN 201541162

 ÍNDICE
Página
INTRODUCCIÓN i

CAPÍTULO I
EVALUACIÓN DE LA ESTRUCTURA DEL CONTROL INTERNO
1.1 DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO III 1
1.1.1 Beneficios del control interno 3
1.1.2 Limitaciones del control interno 4

1.2 OBJETIVOS 5
1.2.1 Objetivos operativos 6
1.2.2 Objetivos de información 7
1.2.3 Objetivos de cumplimiento 8

1.3 ESTRUCTURA Y ELEMENTOS DEL CONTROL INTERNO SEGÚN

COSO III 8
1.3.1 Entorno de control 9
1.3.2 Evaluación de riesgos 10
1.3.3 Actividades de control 10
1.3.4 Información y comunicación 11
1.3.5 Supervisión 12

1.4 PRINCIPIOS BÁSICOS 13

1.4.1 Principios de entorno de control 13
1.4.2 Principios de evaluación de riesgos 17
1.4.3 Principios de actividades de control 19
1.4.4 Principios de información y comunicación 23
1.4.5 Principios de supervisión 24
1.5 MÉTODOS DE EVALUACIÓN 26
1.5.1 Método de la evaluación del control interno 27
1.5.2 Método descriptivo 28
1.5.2.1 Ventajas y desventajas del método descriptivo 28
1.5.3 Método de cuestionario 29
1.5.3.1 Características de redacción del cuestionario 30
1.5.3.2 Ventajas y desventajas de un cuestionario 31
1.5.4 Método del flujograma o diagrama de flujo 32
1.5.4.1 Ventajas y desventajas de un flujograma 32

1.6 COMUNICACIÓN DE LOS ASPECTOS A MEJORAR

(DEFICIENCIAS DE CONTROL) 33
1.6.1 Deficiencia en el control interno 35
1.6.2 Consideraciones específicas para entidades de pequeña dimensión 41
1.6.3 Recomendaciones a la hora de emitir cartas de deficiencias en el
control interno al gobierno corporativo y a la administración 42

1.7 FORMAS DE COMUNICAR (INFORMES) 43

1.7.1 Definición 43
1.7.2 Sistema de información 44
1.7.3 Formas e comunicar 44
1.7.3.1 Comunicación interna 44
1.7.3.2 Comunicación externa 46

1.8 ESTRUCTURA DEL CONTROL INTERNO AL PLANIFICAR

LA AUDITORÍA 47
1.8.1 Conocimiento del ambiente de control 48
1.8.2 Conocimiento de la evaluación de riesgo 48
1.8.3 Conocimiento del sistema de información contable 49
1.8.4 Conocimiento de las actividades de control 49
1.8.5 Monitoreo de los controles 49
1.8.6 Fuentes de información sobre el control interno 50

CONCLUSIONES
RECOMENDACIONES
BIBLIOGRAFÍA
E-GRAFÍA
 INTRODUCCIÓN

El control interno siempre ha contribuido a que una entidad logre las metas y
objetivos, el control interno es de vital importancia dado que tiene como uno de
los objetivos el resguardar los activos y salvaguardar los bienes de la entidad
para evitar pérdidas para la misma, de esta manera mejora y asegura la
confiabilidad de la información tanto contable, como administrativa. Además
sirve como una herramienta para cumplir con las directrices implantadas por la
entidad para el correcto desarrollo de todas las actividades que realiza

En las empresas que tienen implementado un sistema de control interno, para

que sea de utilidad para la auditoría a realizar, es necesario que el auditor
decida depositar confianza en los controles implementados, esto lo hace por
medio de la evaluación de la estructura del control interno, para determinar si los
controles son efectivos o inefectivos y en base a ello establecer el alcance,
extensión y objetivo de los procedimientos y técnicas de auditoría a aplicar
durante el transcurso del examen de auditoría.

Este trabajo presenta las bases teóricas más importantes del sistema de control
interno y los métodos de evaluación utilizados por el auditor para conocer el
funcionamiento de los controles en una entidad. Para cumplir con ello, este
trabajo se divide en único capítulo que presenta la definición del control interno
según el COSO III, los objetivos del control interno, los componentes, los
principios básicos de un control interno eficiente y las técnicas de evaluación
más importantes. Además se presentan las formas de comunicación de las
deficiencias existentes y los aspectos a considerar durante la planeación de la
auditoría en lo relacionado con la estructura del control interno.

i
 CAPÍTULO I
EVALUCIÓN DE LA ESTRUCTURA DEL CONTROL INTERNO
Las empresas deben implementar un sistema de control interno eficiente que les
permita enfrentarse a los rápidos cambios empresariales del mundo en la
actualidad.

La responsabilidad de la administración y directivos es desarrollar un sistema

que garantice el cumplimiento de los objetivos de la empresa. El marco
integrado de control interno propuesto por COSO (Committee of Sponsoring
Organizations of Treadway Commission) provee un enfoque integral y
herramientas para implementar un sistema de control interno efectivo. Un
sistema de control interno efectivo reduce a un nivel de riesgo de perder el
objetivo de la entidad.

1.1 DEFINICIÓN DE CONTROL INTERNO SEGÚN COSO III

En mayo de 2013 el comité COSO publicó la actualización del marco integrado
de control interno (COSO III), cuyos objetivos son: aclarar los requerimientos del
control interno; actualizar el contexto de la aplicación del control interno a
muchos cambios en las empresas y ambientes operativos; y ampliar la
aplicación al expandir los objetivos operativos y de emisión de informes.

Este nuevo marco integrado permite una mayor cobertura de los riesgos a los
que se enfrentan actualmente las organizaciones.

Gonzales Martinez afirma que el control interno es: “un proceso integrado y
dinámico llevado a cabo por la administración, la dirección y demás personal de
una entidad, diseñado con el propósito de proporcionar un grado de seguridad
razonable en cuanto a la consecución de los objetivos relacionados con las
operaciones, la información el cumplimiento. (p 8).
 2

De esta manera, el control interno se convierte en una función inherente a la

administración, integrada al funcionamiento organizacional y a la dirección
institucional y deja, así, de ser una función que se asigne a un área específica
de una empresa.

En este sentido, el sistema de control interno debe orientarse a promover todas

las condiciones necesarias para que el equipo de trabajo dé el mayor esfuerzo
con el fin de lograr los resultados deseados, debido a que promueve la buena
funcionalidad de la organización.

El concepto de responsabilidad toma gran importancia y se convierte en un

factor clave para que el gobierno de las organizaciones tenga en cuenta que el
principal propósito del sistema de control interno es detectar oportunamente
cualquier desviación significativa en el cumplimiento de las metas y objetivos
establecidos.

La implementación de un sistema de control interno eficiente debe proporcionar:

a) Consecución de objetivos de rentabilidad y rendimiento para prevenir la

pérdida de recursos.
b) Operaciones eficaces y eficientes.
c) Desarrollo de tareas y actividades continuas, establecidas como un medio
para llegar a un fin.
d) Control interno efectuado por las personas de la entidad y las acciones que
estas aplican en cada nivel de la entidad.
e) Producción de informes financieros confiables para la toma de decisiones.
f) Seguridad razonable al consejo y la alta dirección de la entidad.
g) Cumplimiento de las leyes y regulaciones pertinentes.
 3

1.1.1 Beneficios del control interno

Se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes
beneficios:

a) Mayores expectativas del gobierno corporativo.

b) Globalización de mercados y operaciones.
c) Cambio continuo en mayor complejidad en los negocios.
d) Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
e) Expectativas de competencias y responsabilidades.
f) Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.
g) Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

La efectividad del sistema de control interno depende de las características de

claridad, agilidad, y confianza, y de esta manera se puede obtener una certeza
razonable sobre el logro de los objetivos de la entidad.

Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de

inalcanzar un objetivo de la entidad. Para esto es indispensable que los
componentes y principios estén presentes y en funcionamiento.

Esto quiere decir que los componentes y principios relevantes existen en el

diseño e implementación del sistema de control interno para alcanzar los
objetivos especificados.

Sin embargo, es importante aclarar que en un sistema de control interno eficaz

puede existir la inseguridad del éxito de una entidad. Éste puede ayudar a la
consecución de los objetivos y suministrar información sobre el progreso de la
entidad, pero el desempeño de la administración y directivas, así como factores
externos, como condiciones económicas, tienen gran influencia en el éxito de la
entidad.
 4

Al control interno le es imposible evitar que se aplique un deficiente criterio

profesional o se adopten malas decisiones. Además, el sistema de control
interno puede garantizar sólo una seguridad razonable en relación con el
cumplimiento de los objetivos de la organización.

Las limitaciones siempre están presentes e impiden que el consejo de

administración y la dirección tengan una seguridad absoluta. Sin embargo,
estas limitaciones tienen que ser tomadas en cuenta al momento de seleccionar,
desarrollar y desplegar los controles, para que las minimicen en lo posible.

1.1.2 Limitaciones del control interno

Las limitaciones pueden originarse por los siguientes factores:

a) La falta de adecuación de los objetivos establecidos como condición previa

para el control interno.
b) El criterio profesional de las personas en la toma de decisiones puede ser
erróneo y estar sujeto a riesgos.
c) Fallas humanas conscientes e inconscientes.
d) La capacidad de la dirección de anular el control interno.
e) La capacidad de la dirección y demás miembros del personal para eludir los
controles mediante confabulación entre ellos.
f) Acontecimientos externos que escapan al control de la organización.
g) Conspiraciones o complots.

Por esta razón, el marco integrado de control interno requiere de un criterio

profesional en el diseño, implementación, y conducción del control interno y la
evaluación de la efectividad.

El uso del criterio profesional ayuda a la administración a tomar mejores

decisiones con respecto al sistema de control interno. La administración hace
uso del criterio profesional en diferentes momentos:
 5

 Aplicación de los componentes de control interno en relación con las

categorías de los objetivos.
 Aplicación de los componentes y principios de control interno dentro de la
estructura de la entidad.
 Especificación de objetivos generales y específicos apropiados y evaluación
de riesgos para el cumplimiento.
 Selección, desarrollo y despliegue de los controles necesarios para llevar
acabo los principios.
 Evaluar si los componentes y principios están presentes, que funcione y opere
de manera integrada en la entidad.
 Evaluación de la severidad de una o más deficiencias de control interno de
acuerdo con las leyes, reglas, regulaciones y estándares externos pertinentes.

1.2 OBJETIVOS
Cada entidad tiene una misión, la cual determina los objetivos y las estrategias
necesarias para cumplirla. Estos objetivos pueden ser establecidos mediante un
proceso estructurado, junto con la evaluación de los puntos fuertes y débiles de
la entidad, de las oportunidades y amenazas del entorno, define una estrategia
global.

Es responsabilidad de la administración y la alta dirección establecer los

objetivos del negocio y es necesario fijar los objetivos con carácter previo al
diseño e implementación del sistema de control interno, con el fin de controlar y
mitigar de manera adecuada los riesgos que afectan a dichos objetivos.
(Gonzales Martínez, p. 12)

Los objetivos deben complementarse, estar relacionados entre sí y ser

coherentes con las capacidades y expectativas de la entidad y las unidades
empresariales y las funciones.
 6

Establecer objetivos es un requisito previo para un control interno eficaz. Los

objetivos proporcionan las metas medibles hacia las que la entidad se mueve al
desarrollar las actividades.

Esta responsabilidad está establecida en los procesos de la administración,

como se presenta a continuación:

a) Determinar los objetivos estratégicos y seleccionar la estrategia dentro del

contexto de la entidad establecido en la misión y visión.
b) Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con
base en los requerimientos de la entidad según las circunstancias.
c) Alinear los objetivos con la estrategia de la entidad y el apetito general del
riesgo.
d) Establecer los objetivos generales y específicos para la entidad y los niveles
según sean las circunstancias.

El marco integrado de control interno establece tres categorías de objetivos que

permiten a las organizaciones centrarse en diferentes aspectos del control
interno. Estas son:

1.2.1 Objetivos operativos

Estos objetivos se relacionan con el cumplimiento de la misión y visión de la
entidad.

Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos los

objetivos de rendimiento financiero y operacional, y la protección de los activos
frente a posibles pérdidas.

Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en
relación con la protección de los activos de la entidad, y la selección y desarrollo
de los controles necesarios para mitigar dichos riesgos.
 7

Los objetivos operativos deben reflejar el entorno empresarial, industrial y

económico en que se involucra la entidad; y están relacionados con el
mejoramiento del desempeño financiero, la productividad, la calidad, las
prácticas ambientales, y la innovación y satisfacción de empleados y clientes.

1.2.2 Objetivos de información

Estos objetivos se refieren a la preparación de reportes para uso de la
organización y los accionistas, tengan en cuenta la veracidad, oportunidad y
transparencia.

Estos reportes relacionan la información financiera y de otro tipo interna y

externa y abarcan aspectos de confiabilidad, oportunidad, transparencia y
demás conceptos establecidos por los reguladores, organismos reconocidos o
políticas de la entidad.

La presentación de informes a nivel externo da respuesta a las regulaciones y

normativas establecidas y a las solicitudes de los grupos de interés, y los
informes a nivel interno atienden a las necesidades al interior de la organización
tales como: la estrategia de la entidad, plan operativo y métricas de desempeño.

Los reportes deben cumplir con los siguientes requisitos:

a) Relevancia
b) Representación exacta
c) Comparabilidad
d) Verificabilidad
e) Oportunidad, y
f) Comprensibilidad
 8

1.2.3 Objetivos de cumplimiento

Están relacionados con el cumplimiento de las leyes y regulaciones a las que
está sujeta la entidad. La entidad debe desarrollar las actividades en función de
las leyes y normas específicas.

1.3 ESTRUCTURA Y ELEMENTOS DEL CONTROL INTERNO SEGÚN

COSO III
Emitido por el comité de organizaciones patrocinadoras de la comisión
Treadway, (COSO siglas en inglés) fue actualizado en mayo de 2013, el modelo
de control interno COSO es utilizado por empresas tanto del sector privado
como gubernamental. Para el contador público y auditor es importante un
modelo de control interno confiable ya que al aplicar procedimientos de auditoría
y evaluar los riesgos puede verificar la efectividad del control interno, mediante
las preguntas realizadas al personal de la entidad, dirección, políticas contables,
e información externa que le proporcionen.

Un control interno efectivo es aquel que previene, detecta y corrige errores, es

así como se mide el funcionamiento del mismo.

Es un proceso que debe ser aplicado y efectuado por la junta directiva, gerentes
y personal de una entidad, emplear el establecimiento de estrategias que han
sido diseñadas para identificar eventos que pueden representar riesgos en la
entidad. Lo más importante para el control interno es identificar los riesgos
relacionados con las actividades de la entidad y también es útil para articular los
objetivos establecidos.

Las actividades de control permiten mantener un nivel de riesgo aceptable a

través de un proceso integrado y dinámico que proporcione seguridad, donde las
responsabilidades es un factor clave para detectar desviaciones a las cuales
aún es posible darles seguimiento y proporcionar calidad y mejora continúa.
 9

La estructura del COSO III está integrada por cinco componentes y tiene como
prioridad reducir el riesgo de la negativa en alcanzar los objetivos y metas
trazadas por la junta directiva y la alta dirección que promueve la eficiencia y
eficacia en las operaciones confiabilidad de información financiera y el
cumplimiento de las leyes reglamentos y políticas.

1.3.1 Entorno de control

Abarca todo el ambiente donde se desarrollan las actividades organizacionales,
bajo la gestión de la administración. El entorno de control es influenciado por
factores internos como externos tales como la historia de la entidad, los valores,
el mercado, y el ambiente competitivo y regulatorio. Está integrado por las
normas, actividades, procesos y estructuras que constituyen la base para
desarrollar el control interno de la organización. Un entorno de control apropiado
debe tomar en cuenta aspectos como la estructura organizacional, la división del
trabajo y asignación de responsabilidades, el estilo de gerencia y el compromiso
(Martínez, 2013).

Si el control interno es ineficaz tiende a tener pérdidas financieras y fracaso

empresarial, es por eso la importancia de un entorno de control es relevante, un
adecuado entorno de control hace frente a la hora de afrontar riesgos y lograr los
objetivos.

En este primer componente se establece y asignan procedimientos para la

detección de fraudes y un sistema de competencias y responsabilidades que se
desarrollan con claridad, al atender la agilidad, eficacia y confianza con las
limitaciones que se deben tener presentes como fallas humanas y malas
decisiones.

El entorno de control marca el comportamiento en una organización y tiene

influencia directa en el nivel de concientización del personal respecto a control.
 10

1.3.2 Evaluación de riesgos

Identifica posibles riesgos asociados con el logro de objetivos de la entidad, para
hacer frente a una serie de riesgos internos como externos, que deben ser
evaluados.

Para este segundo componente se debe poseer un proceso estructurado de

objetivos que estén relacionados entre sí, debe incluir metas medibles para el
desarrollo de las actividades estratégicas alineadas con la misión y visión de la
entidad. Depende del nivel del nivel de riesgo que la empresa esté dispuesta a
aceptar así se establecerá la tolerancia del riesgo y eventos que ponen en riesgo
los objetivos trazados.

De acuerdo con los objetivos establecidos se evalúa el riesgo y los controles que
lo mitigan. Las entidades tiene entre los objetivos principales la productividad,
calidad y satisfacción de empleados y clientes, es decir que se debe analizar los
riesgos que ocurren dentro de la empresa (interno) y fuera de la empresa
(externo) que podrían poner en riesgo y afectar los objetivos de la entidad.

El análisis del riesgo del fraude se debe realizar desde una perspectiva de
probabilidad e impacto en objetivos financieros, operacionales y protección de
activos. Se debe verificar los eventos potenciales y a qué grado pueden afectar
los objetivos.

1.3.3 Actividades de control

Las actividades de control comprenden un conjunto de políticas y
procedimientos a desarrollar para asegurar que las respuestas al riesgo se
realicen de forma adecuada, entre las que se comprenden: autorizaciones,
aprobaciones, protección de activos y adecuada segregación de funciones, es
decir aseguran el cumplimiento de los objetivos.
 11

Son las acciones establecidas a través de políticas y procedimientos que

contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
para mitigar los riesgos.

Las políticas y procedimientos se deben establecer en el diseño organizacional,

las actividades de control son acciones que se establecen mediante políticas y
procedimientos que garantizan que se lleven a cabo los lineamientos e
instrucciones dictados por la dirección para mitigar riesgos con impacto potencial
en los objetivos.

Son mecanismos para asegurar el cumplimiento de los objetivos, según la

naturaleza puede ser preventivas o de detección, están orientadas a minimizar
los riesgos que dificultan al alcance de los objetivos trazados por la entidad,
cada actividad de control que se realice debe especificar que riego previne,
estos controles establecen:

a) Prevenir la ocurrencia de riesgos innecesarios.

b) Minimizar las consecuencias de los mismos.
c) Reestablecer el sistema en el menor tiempo posible.

Es importante que todo el personal tenga conocimiento de las tareas de control

que se deban ejecutar dentro de la organización, ya que estos se llevan a cabo
en todos los niveles de la entidad y en las diferentes etapas de negocio.

1.3.4 Información y comunicación

Este componente del COSO III indica que la comunicación se debe desarrollar
en un sentido más amplio es decir que fluya de arriba hacia abajo y a través de
toda la organización. Esta información fluida debe tener ciertas características
entre las que se pueden mencionar la veracidad, oportunidad, confiabilidad y
transparencia en la información financiera.
 12

La información debe ser intercambiada entre el personal para desarrollar,

gestionar y controlar las operaciones; las áreas operativas, administrativas, y
financieras de la entidad deben identificar, captar e intercambiar la información.

Para que la entidad lleve a cabo las responsabilidades de control interno y

cumplir con los objetivos trazados, es necesaria la información en todos los
niveles de la empresa.

La información debe ser de calidad y fiable, porque es utilizada para efectuar

planificaciones, prepara presupuestos, toma de decisiones y demás actividades

1.3.5 Supervisión
Este componente permite la evaluación de la calidad, desempeño, satisfacción
de la clientela, reportes externos anuales, estados financieros intermedios,
publicación de resultados y cumplimento de leyes.

Todo el proceso debe ser monitoreado con el fin de incorporar el concepto de

mejoramiento continuo, así mismo el sistema de control interno debe ser flexible
para reaccionar ágilmente y adaptarse a las circunstancias.

Las actividades de monitoreo y supervisión deben evaluar si los componentes y

principios están presentes y si funcionan en la entidad.

Es importante determinar, supervisar y medir la calidad del desempeño de la

estructura de control interno, al tener en cuenta:

a) Las actividades de monitoreo durante el curso ordinario de las operaciones de

la entidad.
b) Evaluaciones separadas.
c) Condiciones reportables.
d) Papel asumido por cada miembro de la organización en los niveles de control.
 13

Es importante establecer procedimientos que aseguren que cualquier deficiencia

detectada que pueda afectar al sistema de control interno, sea informada
oportunamente para tomar las decisiones pertinentes. Los sistemas de control
interno cambian constantemente, debido a que los procedimientos que eran
eficaces en un momento dado, pueden perder la eficacia por diferentes motivos
como la incorporación de nuevos empleados, restricciones de recursos, entre
otros.

1.4 PRINCIPIOS BÁSICOS

Es responsabilidad de los directivos y de la administración el desarrollo de un
control in terno que garantice el logro de los objetivos trazados por la entidad, el
COSO III provee un enfoque integral y herramientas para la implementación de
un sistema de control efectivo, para así reducir a un nivel aceptable de riesgo.

El modelo de control interno COSO 2013 está integrado por cinco componentes
y 17 principios

1.4.1 Principios entorno de control

El entorno de control comprende cinco principios.

a) Principio 1 demuestra compromiso con la integridad y los valores éticos

Este principio establece que el control debe tener como base la integridad y el
compromiso de los valores éticos de quienes determinan la importancia de
control interno. La junta directiva y la administración deben mostrar mediantes
instrucciones, acciones y comportamientos la importancia de la integridad y los
valores éticos con el fin de fortalecer el funcionamiento de sistema de control
interno que opera dentro de la organización.

Según la comisión Treadway los valores éticos contribuyen de una forma

significativa a la eficacia de las políticas y el control interno de una entidad.
 14

b) Principio 2 ejercer responsabilidad de supervisión

Este principio establece que se debe ejercer la supervisión de cómo se
desempeña el control interno, la junta directiva es la indicada de supervisar y
cuestionar de forma objetiva el trabajo que realiza la administración. Para
cumplir con las funciones la junta directiva debe contar con dos requisitos
indispensables que son: independencia y competencia profesional ya que es
importante que el personal sea competente es decir que tengan una formación
académica adecuada, para ejercer el cargo y la responsabilidad que se le
delegue y puedan velar por el cumplimiento eficaz de del sistema de control
interno y comprendan las metas y objetivos de la entidad.

La junta directiva debe mostrar un grado de independencia con respecto a la

administración y debe dar a conocer las habilidades y experiencias con las que
cuenta para llevar a cabo las responsabilidades de supervisión, los miembros de
la junta directiva deben poseer: integridad, liderazgo, resolución de problemas
escepticismo profesional, respuestas al riesgo, entendimiento de leyes y
cambios tecnológicos.

c) Principio 3 establece estructura, autoridad y responsabilidad

Se considera todas las estructuras de la entidad, tales como unidades
operativas, jurídicas y prestadoras de servicios con el fin de apoyar el logro de
objetivos.

También se establecen las respectivas líneas para la presentación de informes,

le corresponde a la administración diseñar y evaluar líneas de reporte en la
entidad para la ejecución de autoridades y responsabilidades. Las estructuras
de las entidades cambian constantemente, es por eso que la administración
debe evaluar y revisar constantemente la efectividad y eficacia de las estructuras
como apoyo al control interno, para cada estructura debe existir un diseño de
 15

líneas de reporte para que las responsabilidades sean efectuadas y fluyan de

forma necesaria.

Los miembros que conforman la entidad son responsables del control interno, el
director general es el primer responsable, porque el da las indicaciones a seguir
en la integridad y la ética para llevar a cobo un entorno de control efectivo, el
director establece los procedimientos y políticas de control interno especifico y el
personal debe conocer los objetivos que pretende alcanzar la entidad para
contribuir al logro de los mismos.

d) Principio 4 demuestra compromiso por la competencia

Este principio establece que la entidad debe mostrar compromiso para atraer y
captar desarrollo, debe retener profesionales competentes que sean capaces de
cumplir con los objetivos. La competencia representa la capacidad para poder
cumplir con las actividades de responsabilidad asignadas, por tal motivo se
requiere de experiencia profesional para contar con ciertas habilidades
relevantes, dicha experiencia se obtiene al recibir capacitaciones constantes y
certificaciones.

El departamento de recursos humanos de la entidad puede apoyar en los

aspectos de competencia para determinados puestos de trabajo, evalúa la
relevancia del desarrollo profesional individual para cubrir las necesidades de la
organización, se debe realizar diferentes actividades al momento de seleccionar,
capacitar, rotar y promoción de personal para así lograr los objetivos planteados
por la empresa.

El personal de la entidad debe estar preparado para afrontar los cambios

constantes a los que se enfrenta del día a día como lo es el mundo de la
tecnología, se debe prepara al personal para que cumpla con el desarrollo del
trabajo de una forma eficaz, este proceso debe ser continuo. Si existen nuevos
 16

empleados estos deben ser familiarizados con los procedimientos que lleva a
cabo la entidad.

La dirección es la encargada de:

 Capacitación: capacitar al personal para el adecuado desempeño y
cumplimiento de las actividades que le corresponden.
 Selección: para el nuevo personal que se integre a la entidad, se debe
establecer los requisitos, conocimientos y experiencias adecuadas que se
necesiten de ese personal.
 Sanciones: son las medidas disciplinarias que se aplican en el
incumplimiento de objetivos trazados.

e) Principio 5 hacer cumplir con la responsabilidad

Las entidades cuenta con personal relevante en las responsabilidades del
control interno para el logro de los objetivos la alta dirección es la encargada de
diseñar, aplicar y evaluar de forma continua las estructuras, autoridades y
responsabilidades.

La responsabilidad es delegar el desempeño del control interno en el alcance de

los objetivos ya que se consideran los riesgos que enfrenta la entidad, y es
demostrada en cada forma de estructura organizacional usada por la entidad.

Además, la responsabilidad envuelve el liderazgo el cual contribuye a que las

responsabilidades de control interno sean entendidas, llevadas a cabo y
continuamente fortalecidas en la entidad; y soportadas por el compromiso a la
integridad y valores éticos, competencia, estructura, procesos y tecnología,
factores que influyen en la cultura de control de la organización. La junta
directiva y la administración deben establecer incentivos y otras
compensaciones apropiadas a las responsabilidades y desempeños en todos los
niveles de la entidad, en donde se considera el cumplimiento de los objetivos
tanto a corto como largo plazo (Martínez, 2013).
 17

1.4.2 Principios de evaluación de riesgos

Para cumplir con el componente de control, se establecen cuatro principios.

a) Principio 6 especifica objetivos relevantes

Para identificar y evaluar riesgos la entidad debe de definir los objetivos con
claridad. Los objetivos deben ser establecidos antes de la evaluación de
riesgos.

Para determinar si los objetivos son adecuados se debe considerar por parte de
la administración:

 Prioridades estratégicas al establecer los objetivos.

 Establecer el nivel de tolerancia al riesgo para los objetivos.
 Alineación entre los objetivos y las leyes, reglas y regulaciones aplicadas a la
organización.
 Los objetivos deben ser medibles u observables y relevantes.
 Alineación de los objetivos con otras circunstancias que requieran especial
atención de la entidad.

b) Principio 7 identifica y analiza los riesgos

Para el logro de los objetivos se debe identificar los riesgos y analizarlos como
base para determinar cómo se deben gestionar los riesgos.

Los riesgos deben ser considerados en todos los niveles de la entidad y adoptar
acciones para mitigar y responder a los mismos, la entidad debe comprender la
tolerancia de riesgos y la habilidad para operar dentro de estos niveles de
riesgo. Para identificar riesgos se debe considerar todas las interacciones
significativas de bienes, servicios e información internamente, principales socios
y proveedores de servicios externos. En todos los niveles de la entidad pueden
surgir riesgos, al momento de ser identificados se debe considerar la relevancia,
impacto e importancia y relacionarlos con riesgos específicos.
 18

Los riesgos externos, se puede considera los avances tecnológicos, si la entidad

se encuentra inadapta puede provocar obsolescencia organizacional, puede
tener dificultades en las expectativas de demanda.

Los riesgos internos abarcan la información financiera, los sistemas de

información defectuosos, problemas de actitud y comportamiento de personal.

c) Principio 8 evalúa el riesgo de fraude

Se debe considerar la probabilidad de fraude y evaluar los riesgos para lograr
los objetivos trazados. La administración debe considerar los posibles hechos
de corrupción ya sean del personal de la entidad o de los proveedores externos,
que afectan directamente el cumplimiento de los objetivos.

El marco integrado de control interno establece la necesidad de considerar el

riego de fraude potencial que pueda afectar los objetivos trazados de la
organización.

Los tipos de fraude pueden ser:

 Reportes fraudulentos
Se da cuando se presenta los estados financieros y son preparados
inadecuadamente con omisiones y declaraciones erróneas o falsas, el sistema
de control interno debe prevenir o detectar oportunamente cualquier omisión o
información errónea en los estados financieros por fraude o error.

 Custodia de activos
La custodia de activos hace referencia a la protección de la entidad contra la
adquisición, uso y disposición sin autorización de los activos para el beneficio de
un individuo o una agrupación de los mismos, puede estar relacionado con, robo
de activos y propiedad intelectual, transacciones tardías.
 19

 Corrupción
Los riesgos de corrupción pueden afectar los objetivos de cumplimiento y el
entorno de control. El análisis de estos riesgos debe considerar los incentivos y
presiones para alcanzar los objetivos de la entidad.

La administración debe estipular los niveles esperados de desempeño y

estándares de conducta a través contratos y desarrollo de actividades de control
que supervisen las acciones de las terceras partes, en este riesgo influyen
algunos factores como lo son: incentivos y presiones, oportunidad y actitudes de
justificación.

d) Principio 9 identifica y analiza cambios importantes

Este proceso se desarrolla paralelamente a la evaluación de riesgos y demanda
que se establezcan controles para identificar y comunicar los cambios que
puedan afectar los objetivos trazados por la empresa, se identifica y evalúa
cambios que podían impactar significativamente el sistema de control interno.

Entre los cambios importantes y significativos se puede mencionar:

 Cambios en el ambiente externo
 Cambios en el modelo del negocio
 Adquisiciones y ventas de activos significativas
 Operaciones extranjeras
 Crecimiento rápido
 Nuevas tecnologías
 Cambios significativos de personal

1.4.3 Principios de actividades de control

Para llevar a cabo las actividades de control en una entidad, se establecen
cuatro principios.
 20

a) Principio 10 selecciona y desarrolla actividades de control

La entidad debe selecciona y desarrolla actividades de control que ayuden a la
mitigación de riesgos hasta niveles aceptables para el logro de los objetivos
trazados.

Las actividades de control apoyan todos los componentes del sistema de control
interno, en especial al componente de evaluación de riesgos. Durante la
evaluación de los riesgos la administración identifica e implementa acciones
necesarias para llevar a cabo las respuestas a los riesgos, y asegurar que
dichas respuestas son apropiadas y oportunas.

Las actividades de control pueden ser: controles preventivos son diseñados

para evitar eventos indeseados; y los controles de detección son diseñados
para identificar y descubrir eventos indeseados después de que ya han ocurrido.

Se debe dar seguimiento a todos los procesos de la entidad para determinar en

qué medida se alcanzan los objetivos para una correcta toma de decisiones
dada por la obtención de información verídica y oportuna en el momento en que
se necesita, para que la información sea confiable se debe hacer comparaciones
con los datos históricos de la entidad y analizar la información real contra la
pronosticada.

b) Principio 11 selecciona y desarrolla controles generales sobre

tecnología
Las actividades de control y la tecnología se relacionan entre sí, este principio
establece que se debe selecciona y desarrolla actividades de control general
sobre la tecnología para apoyar el cumplimiento de los objetivos, estas
actividades se relacionan de dos formas:
 21

La tecnología apoya los procesos del negocio: cuando la tecnología está

integrada en los procesos del negocio, se necesitan actividades de control para
mitigar el riesgo de un funcionamiento adecuado.

La tecnología se utiliza para automatizar las actividades de control: muchas

actividades de control de una organización están parcial o completamente
automatizadas.

Las actividades de control en los sistemas de información están representados

en dos categorías, controles generales y controles de aplicación:

 Controles generales: está compuesto por actividades de control sobre la

infraestructura tecnológica, seguridad de la administración y adquisición,
desarrollo y mantenimiento de los sistemas de información y herramientas
tecnológicas, cubre todos aspectos relacionados con la tecnología, como lo es
adquisición de mantenimiento de software.
 Controles de aplicación: para asegurar funcionamiento correcto y la
confiabilidad del procesamiento de transacciones el sistema de información
debe ser controlado debidamente, los sistemas de información deben contar
con mecanismos de seguridad que alcancen a las entradas, procesos,
almacenamiento y salidas. Con una flexibilidad que permita cambios o
modificaciones cuando sea necesario.

El sistema debe dar apoyo y controlar todas las actividades de la organización

como registrar y supervisar las actividades y eventos que ocurran, además de
mantener registros financieros.

c) Principio 12 se implementa a través de políticas y procedimientos

La entidad despliega actividades de control a través de políticas que establecen
lo que es esperado y los procedimientos que ponen las políticas en acción.
 22

Las políticas reflejan las afirmaciones de la administración sobre lo que debe

hacerse para llevar a cabo los controles. Los procedimientos son las acciones
para implementar las políticas establecidas.

Las políticas y procedimientos deben cumplir con ciertos aspectos:

 Oportunidad: los procedimientos deben incluir el tiempo en el que se llevara a

cabo una actividad de control, o acciones correctivas o de supervisión.
 Acciones correctivas: se deben tomar acciones correctivas cuando sea
apropiado.
 Competencia: las actividades de control deben ser implementadas por
personal competente con la suficiente autoridad para desarrollarla. Esta
competencia dependerá de la actividad de control y la complejidad.
 Reevaluación periódica: las políticas y procedimientos deben ser evaluados
constantemente para determinar la relevancia y efectividad, debido a los
cambios en las personas, procesos y tecnología que pueden reducir la
efectividad o hacer algunas actividades redundantes.

d) Principio 13 usar información relevante

El personal debe captar la información, y también intercambiarla para
desarrollar, gestionar y controlar las operaciones.
Por lo tanto este componente hace referencia la forma en que las áreas
operativas, administrativas y financieras de la entidad intercambian información,
la información es importante para que la entidad lleve a cabo las
responsabilidades de control interno que apoyan el cumplimiento de los
objetivos.

La información es necesaria en todos los niveles de la empresa, en este sentido

la información financiera se utiliza para los estados financieros, y también en la
toma de decisiones, toda la información presentada a la dirección con relación a
medidas monetarias, facilita el seguimiento de la rentabilidad de los productos.
 23

La información son los datos que se combinan con base a la relevancia para los
requerimientos de información. Es importante que disponga de datos fiables, a
la hora de efectuar la planificación, preparar presupuestos, y demás actividades,
es por esto que la información debe ser de calidad.

1.4.4 Principios de información y comunicación

Para que la información sea fluida dentro de todos los niveles de la entidad, se
comprenden dos principios.

a) Principio 14 comunica internamente

La entidad comunica internamente la información, al incluir los objetivos y
responsabilidades para control interno, necesarias para lograr el correcto
funcionamiento del sistema de control interno, la administración debe establecer
políticas y procedimientos que ayuden a una comunicación interna efectiva.

Los objetivos de la entidad deben ser comunicados claramente por la alta

dirección a través de la organización para que la administración, personal,
contratistas, entiendan los roles y responsabilidades en la organización.
Esta comunicación interna debe incluir

 Políticas y procedimientos que apoyan al personal en el desarrollo de las

responsabilidades de control interno.
 Objetivos específicos
 Importancia, relevancia y beneficios de un control interno efectivo.
 Roles y responsabilidades de la administración y demás personal en el
desarrollo de controles.
 Expectativas de la organización a través de toda la organización.
 Deben existir canales adecuados de comunicación, para que la información
fluya a través de la organización, además es necesario canales para
comunicaciones anónimas o confidenciales que permiten que los empleados
puedan reportar situaciones sospechosas.
 24

 La claridad y efectividad de la comunicación aseguran que el mensaje haya

sido recibido, es necesario una evaluación continua para determinar si las
comunicaciones son efectivas o inefectivas.
 La administración selecciona el método adecuado de comunicación al tener
en cuenta la audiencia, naturaleza de la comunicación, costo, implicaciones
regulatorias, y demás factores, algunos métodos que se pueden mencionar
son: paneles de control, correo electrónico (email), memorandos, discusiones
uno a uno, evaluaciones de desempeño , políticas y procedimientos,
presentaciones, anuncios de medios sociales, mensajes de texto,
transmisiones vía internet y otras formas de video, sitios web o publicaciones.

b) Principio 15 comunica externamente

La entidad se comunica con los grupos de interés externos en relación a los
aspectos que afectan el funcionamiento del control interno.

Se debe desarrollar e implementar controles que faciliten la comunicación

externa, este proceso debe incluir las políticas y procedimientos para obtener y
recibir información de partes externas, y compartir dicha información
internamente.

La comunicación con terceras partes permite que estas entiendan eventos,

actividades y circunstancias que puedan afectar la interacción con la entidad, al
mismo tiempo la información que la entidad pueda recibir de terceras parte
puede proporcionar información importante sobre el sistema de control interno.

1.4.5 Principios de supervisión

Para la supervisión del control interno de una entidad y lograr que este sistema
sea efectivo se precisan dos principios.
 25

a) Principio 16 conduce evaluaciones continuas y/o independientes

La entidad selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control
interno están presentes y funcionan de una forma adecuada.

Las actividades de monitoreo y supervisión son llevadas a cabo a través de

evaluaciones continuas e independientes, las evaluaciones continúas están
integradas en los procesos de negocio en los diferentes niveles de la entidad y
suministran información oportuna, debido a que permiten una supervisión en
tiempo real y gran rapidez de adaptación.

El uso de la tecnología apoya las evaluaciones continuas, tienen un alto

estándar de objetividad y permiten una revisión eficiente de grandes cantidades
de datos a un bajo costo.

Las evaluaciones independientes se ejecutan periódicamente y pueden variar en

alcance y frecuencia al depender de la evaluación de riesgos, la efectividad de
las evaluaciones continuas y otras consideraciones de la dirección.

Las evaluaciones incluyen observaciones, investigaciones, revisiones y

examinaciones, apropiadas para determinar si los controles para llevar a cabo
los principios a través de la entidad son diseñados, implementados y
conducidos.

b) Principio 17 evalúa y comunica deficiencias

La entidad evalúa y comunica las deficiencias de control interno de forma
oportuna a las partes responsables de aplicar medidas correctivas, también la
alta dirección y el consejo, según corresponda.

Las deficiencias en lo componentes y principios de control interno pueden surgir

de diferentes maneras:
 26

 Actividades de monitoreo.
 Otros componentes del sistema de control interno.
 Partes externas.

Las deficiencias o debilidades encontradas en el sistema de control interno

deben ser comunicadas a las partes indicadas en la organización y
oportunamente para que se adopten las medidas necesarias. Este proceso se
denomina informe de deficiencias, que le permite a la dirección estar enterado
de lo que funciona de forma inadecuada. Una deficiencia es definida como un
defecto en uno o más componentes y principios relevantes que reduce la
probabilidad de que la entidad logre los objetivos.

La organización antes de concluir que ha cumplido con los requisitos de un

sistema de control interno efectivo debe determinar que se carezcan de alguna
deficiencia grave respecto a la presencia y funcionamiento de un componente o
principio del sistema de control interno.

1.5 MÉTODOS DE EVALUACIÓN

En el transcurso de la presente investigación se ha hecho mención que el control
interno de una entidad es un proceso, Whittington y Pany (2005) afirma que: “un
proceso realizado por el consejo de administración, los ejecutivos u otro
personal, diseñado para ofrecer una seguridad razonable respecto al logro de
los objetivos” (p. 235). Los cuales se dividen en las categorías de: eficacia y
eficiencia en las operaciones, confiabilidad de información financiera,
cumplimiento de leyes y regulaciones aplicables.

La auditoría que revisa y evalúa los controles internos de una entidad debe
evaluar dichos controles por medio de documentos de trabajo. Por lo general se
utilizan los documentos de: cuestionario, narrativas y diagramas de flujo.
 27

1.5.1 Métodos de evaluación del control interno

Evaluar el sistema de control interno, es hacer una operación objetiva del
mismo. Esta evaluación se hace a través de la interpretación de los resultados
de algunas pruebas efectuadas, las cuales tienen como fin establecer si se
realizan correctamente y se aplican los métodos, políticas y procedimientos
establecidos por la dirección de la entidad para salvaguardar los activos y para
realizar las operaciones de la entidad de una manera eficiente (Perdomo
Salguero, 2006).

La evaluación que realiza el control interno, es de mucha importancia, ya que

por este medio se conocerá si las políticas implantadas se cumplen a cabalidad
y si en general se desarrollan correctamente.

La forma más sencilla de obtener información sobre el funcionamiento del

sistema de control interno en una entidad es la indagación, la observación, la
revisión de los manuales de organización y funciones, manuales de contabilidad
y auditoría interna, reglamento interno de trabajo, los procedimientos e
instrucciones internas y otras disposiciones adoptadas por la administración o
gerencia; así como conversaciones o entrevistas con ejecutivos sobre la
constitución, organización, capital social de la empresa, los procesos judiciales,
cantidad de trabajadores, etc. Sin embargo, los medios o los métodos más
utilizados para documentar adecuadamente la evaluación del sistema de control
interno en la empresa y que al mismo tiempo puedan servir para dejar
constancia de haber efectuado la evaluación son los siguientes métodos:

a) Método descriptivo
b) Método de cuestionario
c) Método gráfico o flujogramas
 28

1.5.2 Método descriptivo

También llamado narrativo, como el nombre lo indica, consiste en describir o
narrar las diferentes actividades de los departamentos, funcionarios y
empleados, y los registros que intervienen en el sistema. Sin embargo, se debe
evitar incurrir en el error de describir las actividades de los departamentos o de
los empleados de manera aislada u objetiva. Para hacer la descripción se debe
seguir el curso de las operaciones a través del manejo en los departamentos
citados.

Por lo general se describe procedimientos, registros, formularios, archivos,

departamentos que intervienen en el sistema de control. Éste método presenta
el inconveniente que muchas personas carecen de tener habilidad para expresar
las ideas por escrito en forma clara, precisa y sintética, lo que trae como
consecuencia que algunas debilidades de control sean omitidas en la
descripción.

Entonces el método descriptivo consiste en hacer una descripción por escrito de

las características del control de actividades y operaciones que se realizan y
relacionan a departamentos, personas operaciones, registros contables y la
información financiera. Este método es ideal para aplicarlos a pequeñas
empresas.

1.5.2.1 Ventajas y desventajas del uso del método descriptivo

A continuación se detallaran las ventajas y desventajas que se dan por la
utilización de una narrativa.

a) Las ventajas de una narrativa son las siguientes:

 Aplicación en pequeñas entidades.

 Facilidad en el uso.
 Deja abierta la iniciativa del auditor.
 29

 Descripción en función de observación directa.

b) Las desventajas de una narrativa son las siguientes:

 Existen personas a quienes les es difícil expresar las ideas por escrito en
forma clara, concisa y sintética.
 Auditor con experiencia evalúa.
 Limitado a empresas grandes.
 Carece de permitir una visión en conjunto.
 Difícil detectar áreas críticas por comparación.
 Eventual uso de palabras incorrectas origina resultados inadecuados.

1.5.3 Método de cuestionario

Consiste en usar como instrumento para la investigación, cuestionarios
previamente formulados que incluyen preguntas acerca de la forma en que se
manejan las transacciones u operaciones de las personas que intervienen en el
manejo de las mismas, la forma en que fluyen las operaciones a través de los
puestos o lugares donde se define o se determinan los procedimientos de
control para la conducción de las operaciones.

El método de cuestionario es utilizado extensamente por los auditores

independientes como los auditores internos, consiste en una encuesta
sistemática presentada bajo la forma de preguntas referidas a aspectos básicos
del sistema, y ante una respuesta negativa evidencia una ausencia de control.

Los cuestionarios se pueden organizar al clasificar las preguntas de acuerdo con

los objetivos de control y cada pregunta referirse a la presencia de las medidas
de control para lograr el objetivo de que se trate.

El objetivo del cuestionario de control interno es reunir información, para

descubrir hechos, evidencias, opiniones, con el fin de reunir datos o información
 30

cuantitativa. La información obtenida debe ser tabulada, depurada y servir juntos

con otros agentes como soporte del informe de auditoría basado en los papeles
de trabajo.

Los cuestionarios abordan cuestiones que los participantes deberán considerar,

para ello se debe centrar la reflexión en los factores internos y externos que han
dado, o pueden dar lugar, a eventos negativos.

Las preguntas pueden ser abiertas o cerradas, según sea el objetivo de la

encuesta.

Pueden dirigirse a un individuo o a varios, o bien pueden emplearse en conexión

con una encuesta de base más amplia, ya sea dentro de una Organización o
dirigida a clientes, proveedores o terceros.

1.5.3.1 Características de redacción del cuestionario

En la elaboración o la preparación de un cuestionario, el auditor debe tener
presente determinadas características fundamentales, como las que se
presentan a continuación:

a) El cuestionario debe redactarse de acuerdo al nivel de formación de las

personas a las que se dirige.
b) Las preguntas deben redactarse con claridad y permitir cierta libertad para
que el encuestado tenga opciones para dar la respuesta que crea conveniente
y de esta forma dejar de estar inclinado a dar una determinada respuesta o
simplemente dar una respuesta positiva o una negativa.
c) Deben evitarse los términos subjetivos y si es posible las preguntas deben ser
concisas y precisas con el fin de lograr mayor concentración y evitar la fatiga
al entrevistado.
 31

d) Las preguntas han de estar encaminadas (dirigidas) para cumplir el objetivo

de la evaluación del control interno, de esta manera deben complementar la
entrevista.
e) Es el método más efectivo y utilizado por auditores a nivel mundial.

1.5.3.2 Ventajas y desventajas del uso de un cuestionario

A continuación se detallaran las ventajas y desventajas que se dan por la
utilización de un cuestionario.

a) Las ventajas de un cuestionario son las siguientes:

 Guía para evaluar y determinar áreas críticas.

 Disminución de costos.
 Facilita administración del trabajo, ya que sistematiza los exámenes.
 Pronta detección de deficiencias.
 Entrenamiento de personal inexperto.
 Siempre busca una respuesta.
 Permite pre elaborar y estandarizar la utilización del cuestionario.

b) Las desventajas de un cuestionario son las siguientes:

 Carece de la predicción de la naturaleza de las operaciones.
 Limita inclusión de otras preguntas.
 Obstruye una visión de conjunto.
 Existen preguntas que abordan las deficiencias de una forma negativa.
 En ocasiones el cuestionario se toma como fin, y esto es erróneo porque debe
tomarse como un medio.
 Iniciativa puede limitarse.
 La aplicación del cuestionario puede originar malestar en la entidad.
 32

1.5.4 Método de flujograma o diagrama de flujo

Consiste en que se expone por medio de cuadros o gráficos. Si el auditor
diseña un flujograma de control interno, será preciso que visualice el flujo de la
información y los documentos que se procesan. Para elaborar el flujograma se
debe, usar símbolos estándar, de manera que quienes conozcan los símbolos
puedan extraer información útil relativa al sistema. Si el auditor usa un
flujograma elaborado por la entidad, debe ser capaz de leerlo, interpretar los
símbolos y sacar conclusiones útiles respecto al sistema representado por el
flujograma. En algunos casos tal vez sea aplicado el método de gráficos, en
otros puede ser conveniente usar el método de cuestionarios, y en otros puede
ser más fácil o puede ser de mejor interpretación el método descriptivo narrativo.

Este método simplifica la tarea de descripción de los procedimientos y técnicas

mediante el uso de gráficos de movimiento de transacciones, también llamadas
diagramas de flujo. Este diagrama proporciona al lector una imagen clara del
sistema, muestra la naturaleza y secuencia de los procedimientos, división de
responsabilidades, fuentes, distribución de documentos y situación de los
registros de contabilidad.

El método gráfico tiene como base, Perdomo Salguero (2006) afirma: la

esquematización de las operaciones mediante el empleo de dibujos” (p. 50)
como: flechas, cuadros, figuras geométricas, etc., en esos dibujos se
representan departamentos, formas y archivos por medio de ellos se indican y
explican el desarrollo de las operaciones.

1.5.4.1 Ventajas y desventajas de un flujograma

A continuación se detallan las ventajas y desventajas que tiene un diagrama de
flujo, también llamado flujograma.

a) Las ventajas que tiene un diagrama de flujo son las siguientes:

 33

 Proporciona una rápida visualización de la estructura del negocio.

 Identifica la ausencia de controles financieros y operativos.
 Permite una visión panorámica de las operaciones o de la entidad.
 Identifica desviaciones de procedimientos.
 Identifica procedimientos que sobran o que faltan.
 Facilita el entendimiento de las recomendaciones del auditor a la gerencia
sobre asuntos contables o financieros.
 La evaluación debe asegurar la integridad y exactitud de las operaciones
realizadas por el ente económico

b) Las desventajas de la utilización de un diagrama e flujo son las siguientes:

 Pérdida de tiempo cuando se carece de familiarización a este sistema o

cuando insatisface las necesidades del auditor.
 Dificultad para realizar pequeños cambios o modificaciones ya que se debe
elaborar de nuevo.
 Se recomienda como auxiliar a los otros métodos.

1.6 COMUNICACIÓN DE LOS ASPECTOS A MEJORAR (DEFICIENCIAS DE

CONTROL)
Whittington y Pany (2005) afirma: “Una importante responsabilidad de los
directivos consiste en establecer y mantener un buen control interno. Sin
embargo, los auditores ofrecen ayuda al comunicar las deficiencias importantes
que descubren con los procedimientos, junto con las recomendaciones para
tomar medidas correctivas” (p. 236).

La situación reportable es una deficiencia significativa en el diseño o en el

funcionamiento del control interno que pudiera afectar la capacidad de la
compañía para registrar, procesar, resumir y presentar los datos financieros.
 34

Las condiciones reportables pueden comunicarse oralmente, pero suelen

incluirse en una carta.

La situación tal vez sea de tal magnitud que se considere debilidad material del
control interno, es decir, una situación que produce algo más que un riesgo
relativamente moderado de error material en los estados financieros. Los
auditores pueden descubrir este tipo de situaciones, solo en el caso que el
cliente lo solicita. A menudo los auditores comunican a los directivos
recomendaciones operativas y las debilidades menos importantes con mayor
detalle en un informe denominado carta a la gerencia.

Es un valioso documento de referencia para los ejecutivos, además de que

reduce el mínimo la responsabilidad legal de los auditores en caso de un
desfalco o de otra pérdida atribuible a la debilidad de control interno. Muchos
despachos contables procuran ofrecer a los clientes una carta muy completa y
rigurosamente analizada. Saben que contribuye en forma útil y constructiva a la
eficiencia de las operaciones del cliente. La calidad de las recomendaciones
refleja la competencia profesional de los auditores, la capacidad creativa y una
investigación muy minuciosa

De acuerdo al alcance de la Norma Internacional de Auditoría (NIA) 265 esta

trata de la responsabilidad que tiene el auditor de comunicar adecuadamente, a
los responsables del gobierno de la entidad y a la dirección, las deficiencias en
el control interno que haya identificado durante la realización de la auditoría.

Al efectuar dichas valoraciones del riesgo, el auditor tiene en cuenta el control

interno con el fin de diseñar procedimientos de auditoría adecuados a las
circunstancias, con la finalidad de expresar una opinión sobre la eficacia del
control interno.
 35

El auditor puede identificar deficiencias en el control interno durante el proceso

de valoración del riesgo, y en cualquier otra fase de la auditoría. La norma
específica las deficiencias identificadas que el auditor debe comunicar a los
responsables del gobierno de la entidad y a la dirección.

El objetivo del auditor es comunicar adecuadamente a los responsables del

gobierno de la entidad y a la dirección las deficiencias en el control interno
identificadas durante la realización de la auditoría y que, según el juicio
profesional del auditor, tengan la importancia suficiente para merecer la atención
de ambos.

1.6.1 Deficiencia en el control interno

Existe una deficiencia en el control interno cuando:

a) Un control está diseñado, se implementa u opera de forma que sirve para

prevenir, o detectar y corregir incorrecciones en los estados financieros
oportunamente; o
b) Carece de un control necesario para prevenir, o detectar y corregir,
oportunamente errores o fraudes.

La deficiencia significativa en el control interno es el conjunto de deficiencias en

el control interno que, según el juicio profesional del auditor, tiene la importancia
suficiente para merecer la atención de los responsables del gobierno de la
entidad.

El auditor determinará si, sobre la base del trabajo de auditoría realizado, ha

identificado una o más deficiencias en el control interno. Para determinar si el
auditor ha identificado una o más deficiencias en el control interno, él puede
discutir los hechos y circunstancias relevantes relativas a los hallazgos con el
nivel adecuado de la dirección.
 36

Esta discusión proporciona al auditor la oportunidad de poner en conocimiento

de la dirección, oportunamente, la existencia de deficiencias que es posible que
la dirección desconociera con anterioridad. El nivel dentro de la dirección al que
procede comentar los hallazgos es aquél que esté familiarizado con el área de
control interno afectada, además de autorizado para adoptar medidas para la
corrección de cualquier deficiencia identificada en el control interno. En algunas
circunstancias, es posible que resulte inadecuado que el auditor comente los
hallazgos directamente con la dirección, por ejemplo si los hallazgos parecen
poner en duda la integridad o la competencia de la dirección.

El auditor, al discutir con la dirección los hechos y circunstancias relativas a los

hallazgos, puede obtener otra información relevante que tendrá en cuenta
posteriormente, como:

 El conocimiento que tiene la dirección sobre las causas reales o supuestas de

las deficiencias.
 Las excepciones por deficiencias en las que pueda haber reparado la
dirección; por ejemplo, incorrecciones que fueron evitadas por los controles
relevantes de las tecnologías de la información.
 Una indicación preliminar por parte de la dirección de la respuesta ante los
hallazgos.

Si el auditor ha identificado una o más deficiencias en el control interno,

determinará, sobre la base del trabajo de auditoría realizado, si, individualmente
o de manera agregada, constituyen deficiencias significativas.

La significatividad de una deficiencia o de un conjunto de deficiencias en el

control interno depende de si se ha producido realmente algún error o
ineficiencia, sino también de la probabilidad de que se pueda producir y de la
posible magnitud de esta. En consecuencia, pueden existir deficiencias
 37

significativas aunque el auditor haya identificado incorrecciones durante la

realización de la auditoría.

Son indicadores de deficiencias significativas en el control interno, por ejemplo:

 La evidencia de aspectos ineficaces del entorno de control, tales como:
indicios de que los responsables del gobierno de la entidad examinan
inadecuadamente transacciones significativas. La falta de implementación
por la dirección de medidas correctoras adecuadas en relación con
deficiencias significativas comunicadas con anterioridad.
 La ausencia de un proceso de valoración del riesgo dentro de la entidad,
cuando normalmente cabría esperar que se hubiera establecido dicho
proceso.
 Evidencia de una respuesta ineficaz ante riesgos significativos identificados
(por ejemplo, ausencia de controles sobre dichos riesgos).
 Incorrecciones detectadas por los procedimientos del auditor que el control
interno de la entidad obvio.
 Evidencia de que la dirección es incapaz de supervisar la preparación de los
estados financieros.

Los controles se pueden diseñar para que funcionen de forma individual o en

combinación con otros con el fin de prevenir, o detectar y corregir, eficazmente
los errores. Por ejemplo, los controles sobre las cuentas a cobrar pueden
consistir tanto en controles automatizados como manuales, diseñados para
operar conjuntamente con el fin de prevenir, o detectar y corregir, errores o
fraude. Una deficiencia en el control interno puede carecer de importancia, por
sí sola, para constituir una deficiencia significativa. Sin embargo, un conjunto de
deficiencias que afecten al mismo saldo contable o información a revelar,
afirmación relevante o componente del control interno puede aumentar los
riesgos de incorrección hasta el punto de dar lugar a una deficiencia significativa.
 38

Las disposiciones legales o reglamentarias de algunas jurisdicciones pueden

requerir (especialmente en auditorías de entidades cotizadas) que el auditor
comunique a los responsables del gobierno de la entidad o a otras partes
relevantes (por ejemplo, las autoridades reguladoras) uno o más tipos
específicos de deficiencias en el control interno que haya identificado durante la
realización de la auditoría. Cuando las disposiciones legales o reglamentarias
hayan establecido términos y definiciones específicos para dichos tipos de
deficiencias y requieran que el auditor utilice dichos términos y definiciones a
efectos de la comunicación, el auditor, empleará en ella dichos términos y
definiciones de conformidad con el requerimiento legal o reglamentario.

Cuando la jurisdicción haya establecido términos específicos para la

comunicación de los tipos de deficiencias en el control interno, es posible que el
auditor necesite aplicar el juicio para determinar las cuestiones que vayan a
comunicarse más allá del requerimiento legal o reglamentario. Al hacerlo, el
auditor puede considerar adecuado tener en cuenta los requerimientos y las
orientaciones de la norma. Por ejemplo, si el propósito del requerimiento
normativo es llamar la atención de los responsables del gobierno de la entidad
sobre determinadas cuestiones de control interno que deberían conocer, puede
ser adecuado considerar que dichas cuestiones equivalen, en general, a las
deficiencias significativas que la NIA exige que se comuniquen a los
responsables del gobierno de la entidad.

El auditor comunicará a los responsables del gobierno de la entidad, por escrito

y oportunamente, las deficiencias significativas en el control interno identificadas
durante la realización de la auditoría.

El auditor también comunicará oportunamente y al nivel adecuado de

responsabilidad de la dirección:
 39

 Por escrito, las deficiencias significativas en el control interno que el auditor

haya comunicado o tenga intención de comunicar a los responsables del
gobierno de la entidad, salvo que, se tome en cuenta las circunstancias, la
comunicación directa a la dirección resulte inadecuada.
 Otras deficiencias en el control interno identificadas durante la realización de
la auditoría cuando se carece de comunicación hacia la dirección por otras
partes y que, según el juicio profesional del auditor, tengan la importancia
suficiente para merecer la atención de la dirección

El auditor incluirá en la comunicación escrita sobre las deficiencias significativas

en el control interno:

 Una descripción de las deficiencias y una explicación de los posibles efectos.

 Información suficiente para permitir a los responsables del gobierno de la
entidad y a la dirección comprender el contexto de la comunicación
 Las cuestiones sobre las que se informa se limitan a las deficiencias que el
auditor ha identificado durante la realización de la auditoría y sobre las que el
auditor ha llegado a la conclusión de que tienen importancia suficiente para
merecer ser comunicadas a los responsables del gobierno de la entidad.

Para facilitar a los encargados de gobierno corporativo la responsabilidad ante la

supervisión, la comunicación de los resultados debe ser por escrito; para
algunas entidades puede ser de manera oral, sin embargo el auditor debe
comunicar las deficiencias importantes por escrito.

El escrito debe comunicar una descripción de las deficiencias y explicación de

los potenciales efectos, adicional debe explicar que los asuntos que se reportan
se limitan a las deficiencias identificadas por el auditor, durante la evaluación,
que a consideración son de suficiente importancia y amerita la atención de la
administración y encargados de gobierno corporativo. El nivel de detalle para
 40

comunicar las deficiencias es cuestión de juicio profesional, existen algunos

factores que ayudan a determinar dicho detalle:

 La naturaleza de la entidad.
 El tamaño y complejidad.
 La naturaleza de las deficiencias identificadas.
 La experiencia de los encargados de gobierno corporativo en cuanto a las
áreas afectadas.
 Requisitos legales.

Si las deficiencias importantes son de conocimiento de la administración y

gobierno corporativo y pudiera haber decido dejar pasar por costos u otras
consideraciones, la responsabilidad es únicamente de ellos, el auditor cumplirá
con la comunicación oportuna. En consecuencia si las deficiencias importantes
previamente comunicadas, continúan en el año actual puede repetir la
descripción o simplemente hacer referencia a la comunicación previa.

La indagación de parte del auditor a la administración del porqué desconoce,

puede representar falta de acción y constituir una deficiencia importante que
amerita ser comunicada a los encargados de gobierno corporativo. Algunos
encargados de gobierno corporativo pueden solicitar que se les entere de los
detalles y naturaleza de otras deficiencias en el control interno, que se ha
comunicado a la administración.

El contenido de la comunicación escrita sobre las deficiencias puede incluir

sugerencias para las deficiencias, las respuestas reales o propuestas de la
administración, declaración del auditor si ha verificado, las medidas de acción de
la administración. El auditor puede considerar apropiado incluir una indicación
de que dicha comunicación se ha dado para los fines de los encargados de
gobierno corporativo, y que pueden ser inadecuada para otros propósitos.
 41

1.6.2 Consideraciones específicas para entidades de pequeña

dimensión
Aunque los conceptos subyacentes a las actividades de control en las entidades
de pequeña dimensión probablemente sean similares a los de entidades de gran
dimensión, diferirán en cuanto al grado de formalización con que se aplican.
Además, las entidades de pequeña dimensión pueden considerar innecesarios
determinados tipos de actividades de control debido a los controles aplicados
por la dirección. Por ejemplo, el hecho de que únicamente la dirección esté
autorizada a conceder créditos a clientes o aprobar compras significativas puede
suponer un control eficaz sobre saldos contables y transacciones importantes, y
reducir o eliminar la necesidad de actividades de control más detalladas.

Aunque los conceptos subyacentes a las actividades de control en las entidades

de pequeña dimensión probablemente sean similares a los de entidades de gran
dimensión, diferirán en cuanto al grado de formalización con que se aplican.
Además, las entidades de pequeña dimensión pueden considerar innecesarios
determinados tipos de actividades de control debido a los controles aplicados
por la dirección. Por ejemplo, el hecho de que únicamente la dirección esté
autorizada a conceder créditos a clientes o aprobar compras significativas puede
suponer un control eficaz sobre saldos contables y transacciones importantes, y
reducir o eliminar la necesidad de actividades de control más detalladas.

Además, las entidades de pequeña dimensión suelen tener menos empleados,

lo que puede limitar la posibilidad de segregación de funciones. En una entidad
de pequeña dimensión dirigida por un propietario-gerente, éste puede llegar a
ejercer una supervisión más eficaz que en una entidad de gran dimensión. Este
mayor nivel de supervisión por parte de la dirección debe ponderarse con la
mayor probabilidad de que la dirección eluda los controles.
 42

1.6.3 Recomendaciones a la hora de emitir cartas de deficiencias en el

control interno al gobierno corporativo y a la administración
a) Las sugerencias deben estar enfocadas a fortalecer el sistema de control
interno y a promover la eficiencia y eficacia de las operaciones.
b) Es recomendable elaborar dos cartas, una dirigida a la alta gerencia (Consejo
de Administración y/o presidente) en donde se presentan las oportunidades
de mejora identificadas con impacto alto para la organización y otra dirigida al
director financiero y/o contador en donde se expone el detalle de los
resultados, es decir, tanto las oportunidades con impacto alto como medio.
c) La estructura de la carta de recomendaciones debe incluir, una introducción,
el objetivo, el alcance, los procedimientos adelantados por el equipo auditor,
la conclusión general sobre el informe, el detalle de las oportunidades de
mejora identificadas, el riesgo y la calificación del riesgo que dichas
oportunidades representan para la organización, las recomendaciones que
permiten corregir las situaciones observadas y las cuales deben orientarse a
la causa raíz que originó la oportunidad de mejora y los planes de acción.
d) La oportunidad de mejora debe contener información suficiente para que el
lector pueda determinar la magnitud del asunto, tales como, el alcance,
irregularidades observadas, fechas, valores, etc.
e) Las cartas de recomendación deben ser oportunas.
f) La redacción de las cartas debe ser breve, concreta y fácil de entender
g) Buena redacción y buena ortografía.
h) Todas las oportunidades de mejora deben ser validadas con los dueños del
área.
i) El título de cada hallazgo debe ser el mensaje principal.
j) Los hallazgos se deben organizar de mayor a menor importancia y si es
posible por áreas.
k) El auditor debe establecer un proceso de seguimiento para vigilar y asegurar
que las acciones correctivas hayan sido implementadas de forma eficaz o que
 43

la administración haya aceptado el riesgo de carecer de medidas, situación

que deberá ser informada a la alta gerencia.

1.7 FORMAS DE COMUNICAR (INFORMES)

Existe un proceso para comunicar la información requerida para permitir a todo
el personal comprender y ejecutar las responsabilidades de control interno.

1.7.1 Definición
La comunicación es el proceso continuo e iterativo de proporcionar, compartir y
obtener la información necesaria, relevante y de calidad, tanto interna como
externamente. La comunicación interna es el medio por el cual la información se
difunde a través de toda la organización, que fluye en sentido ascendente,
descendente y a todos los niveles de la entidad. Esto hace posible que el
personal pueda recibir de la alta dirección un mensaje claro de las
responsabilidades de control. La comunicación externa tiene dos finalidades,
comunicar de afuera hacia el interior de la organización, información externa
relevante y proporcionar información interna relevante de adentro hacia afuera,
en respuesta a las necesidades y expectativas de grupos de interés externos.

Para esto se tiene en cuenta:

a) Integración de la información con las operaciones y calidad de la

información, analizar si esta es apropiada, oportuna, fiable y accesible.
b) Comunicación de la información institucional eficaz y multidireccional.
c) Disposición de la información útil para la toma de decisiones.
d) Los canales de información deben presentar un grado de apertura y eficacia
acorde a las necesidades de información internas y externas.

La comunicación puede ser materializada en manuales de políticas, memorias,

avisos o mensajes de video. Cuando se hace verbalmente la entonación y el
 44

lenguaje corporal le dan un énfasis al mensaje. La actuación de la dirección

debe ser ejemplo para el personal de la entidad.

1.7.2 Sistema de información

Un sistema de información comprende un conjunto de actividades, y envuelve
personal, procesos, datos y/o tecnología, que permite que la organización
obtenga, genere, use y comunique transacciones e información para mantener la
responsabilidad y medir y revisar el desempeño o progreso de la entidad hacia el
cumplimiento de los objetivos (Chacón, 2002).

1.7.3 Formas de comunicar

Existen dos formas de comunicar los resultados del control interno.

1.7.3.1 Comunicación interna

La organización comunica internamente la información, que incluye objetivos y
responsabilidades para control interno, necesarias para apoyar el
funcionamiento del sistema de control interno.

De esta manera la administración debe establecer e implementar políticas y

procedimientos que faciliten una comunicación interna efectiva.

La alta dirección comunica claramente los objetivos de la entidad a través de la

organización para que la administración, personal, contratistas, entiendan los
roles y responsabilidades en la organización.

Estas comunicaciones incluyen:

 Políticas y procedimientos que apoyan al personal en el desarrollo de las

responsabilidades de control interno.
 Objetivos específicos
 Importancia, relevancia y beneficios de un control interno efectivo.
 45

 Roles y responsabilidades de la administración y demás personal en el

desarrollo de controles.
 Expectativas de la organización a través de toda la organización.

a) Comunicaciones con la junta directiva

La comunicación entre la administración y la Junta directiva, le proporcionan a la
Junta la información necesaria para ejercer la supervisión de las
responsabilidades de control interno. Las comunicaciones usualmente se
refieren a la adherencia, cambios o problemas que se presentan en el sistema
de control interno.

Las comunicaciones deben ser regulares y frecuentes para que la Junta

Directiva entienda los resultados de las evaluaciones continuas e independientes
de la administración y el impacto de los resultados sobre la consecución de los
objetivos, y que les permita responder adecuada y oportunamente en caso de un
control interno inefectivo.

También es importante una comunicación directa de la Junta Directiva con el

personal, sin la interferencia de la administración cuando sea apropiado.

b) Canales de comunicación
Para que la información fluya a través de la organización, deben existir canales
adecuados de comunicación. Además es necesario canales para
comunicaciones anónimas o confidenciales que permiten que los empleados
puedan reportar situaciones sospechosas.

c) Métodos de comunicación
Tanto la claridad como la efectividad de la comunicación aseguran que el
mensaje haya sido recibido. Existen formas de comunicación más efectivas que
otras, por esta razón es necesario una evaluación continua para determinar si
las comunicaciones son efectivas.
 46

La administración selecciona el método adecuado para realizar la comunicación.

Algunos métodos son:

 Paneles de control
 Correo electrónico – email
 Formación presencial o en línea
 Memorandos
 Discusiones uno a uno
 Evaluaciones de desempeño
 Políticas y procedimientos
 Presentaciones
 Anuncios de medios sociales
 Mensajes de texto
 Transmisiones vía internet y otras formas de video
 Sitios web o publicaciones

1.7.3.2 Comunicación externa

La organización se comunica con los grupos de interés externos en relación a
los aspectos que afectan el funcionamiento del control interno.

La organización debe desarrollar e implementar controles que faciliten la

comunicación externa. Este proceso debe incluir las políticas y procedimientos
para obtener y recibir información de partes externas, y compartir dicha
información internamente.

La comunicación con terceras partes permite que estas entiendan eventos,

actividades y circunstancias que puedan afectar la interacción con la entidad. Al
mismo tiempo la información que la entidad pueda recibir de terceras parte
puede proporcionar información importante sobre el sistema de control interno.

Algunos ejemplos pueden ser:

 47

a) Evaluación independiente de los controles internos en los proveedores de

servicios externos.
b) Evaluaciones independientes de auditores de control interno sobre el reporte
financiero.
c) Comentarios de los clientes relacionados con: la calidad de los productos,
cambios inapropiados o pérdida de recibos.
d) Nueva o cambiantes leyes, reglas, regulaciones, o estándares.
e) Resultados del cumplimiento de las regulaciones pertinentes.
f) Preguntas de los vendedores relacionadas a la oportunidad o falta de pagos
para la venta de bienes.
g) Publicaciones en organizaciones patrocinadoras o sitios web de medios
sociales o herramientas de comunicación.
h) Se deben adecuar canales apropiados de comunicación para clientes,
proveedores, y proveedores de servicios externos para obtener una
comunicación directa con la administración y personal.

1.8 ESTRUCTURA DEL CONTROL INTERNO AL PLANIFICAR LA

AUDITORÍA
La declaración sobre Normas de Auditoría (SAS) número 55, emitida por la
Junta de Normas de Auditoría del Instituto Americano de Contadores Públicos
Certificados (AICPA) exige conocer el control interno lo bastante para planear la
auditoría. Entre otras cosas incluye el conocimiento del diseño de los controles
relevantes y determinar si han sido puestos en práctica por la compañía. Al
planear la auditoría este conocimiento sirve para:

a) Identificar los tipos posibles de errores.

b) Examinar los factores que influyen en el riesgo de error material.
c) Diseñar pruebas de controles, cuando se apliquen.
d) Diseñar pruebas sustantivas.
 48

Al emitir un juicio sobre el conocimiento necesario del control interno, se tiene en

cuenta el conocimiento relativo a los cuatro factores anteriores que se consiguió
de otras fuentes entre ellas los auditores anteriores y el conocimiento de la
industria donde opera el cliente. El auditor debe considerar si se requieren
habilidades especializadas referentes a la tecnología de la información del
cliente. Por ejemplo, un experto con habilidades especiales en la tecnología de
la información tal vez se requiere en el equipo de auditoría, dada la complejidad
de los sistemas del cliente.

Los auditores han de tener en cuenta la evaluación del riesgo inherente, los
juicios sobre la materialidad y la naturaleza de las operaciones de la compañía.
En todas las auditorías el conocimiento del control interno abarcará el ambiente,
la evaluación del riesgo, el sistema de información contable y comunicación, las
actividades de control y el monitoreo.

1.8.1 Conocimiento del ambiente de control

Los auditores deben obtener suficiente conocimiento de las actitudes de los
ejecutivos, de las ideas y acciones referentes al ambiente de control. Habrán de
concentrarse en la esencia de los controles. Por ejemplo: es posible que la
entidad cuente con un código de ética que prohíbe las actividades inmorales,
pero que lo incumplan.

1.8.2 Conocimiento de la evaluación de riesgo

Además es necesario conocer el proceso con el que el cliente identifica y
responde a los riesgos de negocio. Entre otras cosas hay que determinar cómo
los ejecutivos identifican estos riesgos, estiman la importancia y toman medidas
para manejarlos.

El conocimiento del proceso de evaluación del riesgo ayudará a los auditores

identificar los errores materiales, porque muchos de estos errores surgen a
consecuencia de los riesgos que encaran los ejecutivos.
 49

El proceso con el que el cliente juzga el riesgo es diferente al conocimiento que

los auditores tienen del riesgo de auditoría en un trabajo. Este proceso tiene por
objeto identificar, analizar y manejar los riesgos que afecten la capacidad de la
empresa para cumplir con los objetivos de los directivos. En una auditoría se
determinan los riesgos con el fin de evaluar la probabilidad de que ocurran
errores materiales en los estados financieros.

1.8.3 Conocimiento del sistema de información contable

Si quieren conocer el sistema, los auditores deberán familiarizarse con:

a) Los tipos de transacciones importantes

b) Los procedimientos, tanto automatizados, como manuales con los que las
transacciones se inician, se registran, se procesan y se presentan, desde la
aparición hasta la inclusión en los estados financieros.
c) Los registros contables relacionados y las cuentas de soporte.
d) Manera en que el sistema de información captura otros hechos y condiciones
importantes para los estados financieros.
e) Proceso de los informes financieros con que se preparan los estados, entre
ellos las estimaciones y revelaciones contables importantes.

1.8.4 Conocimiento de las actividades de control

Al conocer el resto de los componentes del control interno (ambiente de control y
evaluación de riesgo, sistema contable), los auditores casi siempre se enteran
de las actividades del control del cliente. Así al investigar los documentos
relacionados con las transacciones en efectivo, seguramente descubrirán si las
cuentas bancarias están conciliadas. Las circunstancias de trabajo
determinarán si es necesario que procuren conocer las otras actividades.

1.8.5 Monitoreo de los controles

Finalmente lo auditores deben conocer a fondo los métodos de monitoreo de la
compañía a los que se refieren los informes, pues de lo contrario serán
 50

incomprensibles como se utilizan para tomar medidas tendientes a mejorar un

desempeño inadecuado.

1.8.6 Fuentes de información sobre el control interno

Los auditores conocen el control interno al realizar preguntas al personal
apropiado el cliente, al inspeccionar los documentos y registros, y observar las
actividades y operaciones de control.
 CONCLUSIONES
De acuerdo a la investigación realizada, se obtuvieron las siguientes
conclusiones:

1. El control interno es un parte fundamental dentro de una empresa lucrativa o

sin fines de lucro, ya que la estructura del control interno es clave para el
logro de los objetivos de la entidad, como lo indica la definición, esta actividad
deben ejercerla tanto la administración, la dirección, como cada empleado de
la empresa, para lograr el fin trazado.

2. El COSO III es la herramienta más actualizada que apoya a las empresas

tanto del sector público como privado, al fortalecimiento del control interno de
la misma, los cinco componentes que lo constituyen, logran abarcar un
ambiente institucional confiable, evaluar los riesgos que puedan afectar a los
objetivos que se pretenden alcanzar, implementar políticas y procedimientos
para mejor control, permite la captación de información y distribución de la
misma dentro del personal de la entidad y mantiene un evaluación continua y
permanente para mitigar actividades de riesgo que conlleven al
incumplimiento de objetivos trazados por la entidad.

3. Para la evaluación del control interno existen tres métodos de evaluación del
control interno los cuales son: descriptivo, cuestionario y diagramas de flujo.
El método descriptivo consiste en la descripción detallada de procedimientos
y características del sistema de control interno de cierta área; el cuestionario
consiste en evaluar el control interno con base a preguntas, las cuales deben
ser contestadas por el responsable de cierta área; y el diagrama de flujo
consiste en revelar o describir la estructura orgánica las áreas en examen y
de los procedimientos a través de símbolos convencionales y explicaciones
que dan una idea completa de los procedimientos de la entidad.
4. La fase de comunicación de las deficiencias de control a la entidad es muy
importante, debido a que por medio de la carta a la gerencia se informa todas
las deficiencias significativas encontradas, así como las recomendaciones y
propuestas de solución para que los miembros del gobierno corporativo
puedan tomar las medidas correctivas y preventivas.

5. Se determinó que la comunicación con relación al control interno debe de ser

expuesto internamente, hacia los empleados de la entidad para lograr los
objetivos propuestos y externamente, hacia terceras partes para permitir que
estas conozcan los eventos, actividades y circunstancias que puedan afectar
la relación con la entidad.
 RECOMENDACIONES
Según las conclusiones presentadas anteriormente, se dan a conocer las
siguientes recomendaciones:

1. El control interno dentro de una empresa con fines o sin fines de lucro debe
ser implementado a través de expertos en el tema, al crear políticas y
procedimientos que deben ser cumplidas, otra opción a través de los
lineamientos fijados por el COSO III 2013. Debido a que la entidad obtendrá
los beneficios de conocer a que nivel de razonabilidad se logran los objetivos
establecidos por la administración, gerencia o alta dirección.

2. Se recomienda a las entidades apoyarse de la herramienta COSO III e

implementar y poner en práctica cada uno de los componentes y los principios
que lo constituyen, para garantizar el logro de los objetivos propuestos por la
entidad. Es importante que se supervise constantemente los controles
internos, para lograr que las actividades financieras y operacionales que lleve
a cabo la entidad sean eficaces, confiables y efectivas.

3. Los auditores que realizan algún tipo de auditoría en una entidad se deben de
apoyar con los métodos de evaluación del control interno, para obtener una
seguridad razonable de la información que se audita y de esta manera poder
dar una opinión satisfactoria y hacer recomendaciones acertadas.

4. La fase de comunicación de las deficiencias de control a la entidad debe de

tomarse en consideración por los miembros del gobierno corporativo, para
que en el momento oportuno, bajo un estricto seguimiento se tomen las
medidas correctivas y preventivas, con el objetivo fortalecer el sistema de
control interno de la entidad.
5. La comunicación en relación al control interno deben de ser expuesta a todos
los empleados de la entidad y a terceras personas, esta actividad debe de ser
realizada por la administración de la entidad por medio de charlas,
presentaciones y correo electrónicos. Debe de ser realizada en el momento
en que se ejecuten cambio en el control interno.
 REFERENCIAS

1. González Martínez, R. Marco Integrado de Control Interno. Modelo COSO III.

México. 39 p.

2. García, S.A. y Mané, E.V. (2001). Diccionario enciclopédico Larousse. 7ª. Ed.
Buenos Aires, Argentina. 664 p.

3. IFAC (International Federation of Accountants). (2013). Manual de

Pronunciamientos Internacionales de Control de Calidad, Auditoría, Revisión,
Otros Encargos de Aseguramiento, y Servicios Relacionados. USA.

4. Perdomo Salguero, M. L. (2006). Procedimientos y técnicas de auditoría II.

Primera edición. Guatemala, Ediciones contables, administrativas-ECA-. 48 p.

5. Whittington, O. R. y Pany, K. (2005). Principios de auditoría. Decimocuarta

edición. México, McGraw-Hill. 239 p.