UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

CENTRO UNIVERSITARIO DE OCCIDENTE

DIVISIÓN DE CIENCIAS ECONÓMICAS
CONTADURIA PUBLICA Y AUDITORIA
PECED AREA PROFESIONAL

Elementos y riegos del

control interno.
Normativa aplicada.

Msc. Ana María Calderón

PECED AREA PROFESIONAL
Msc. Ana María Calderón.
1) Elementos:

El control interno consta de cinco componentes que se relacionan entre sí y son necesarios para
cumplir con los objetivos.

 Entorno (o ambiente) de control. Este componente es la base para el resto de los

componentes del control; un ambiente de control débil origina que sin importar el
adecuado diseño del resto de los componentes, no se pueda confiar totalmente en estos.
El ambiente de control fija el nivel de disciplina y estructura que hay en la empresa.
Algunas áreas clave al analizar este componente por parte del auditor se enlistan a
continuación:

o Integridad y valores éticos. Existe en la empresa desde la alta dirección hasta los
niveles iniciales de personal un compromiso con valores de integridad y éticos,
tanto en palabras como en hechos, con lo cual se busca desincentivar cualquier
tipo de conducta inapropiada.
o Compromiso con la competencia. La empresa toma medidas para que su personal
operativo y directivo conozca cómo realizar su trabajo de una manera eficiente y
adecuada.
o Participación efectiva de los responsables del gobierno de la entidad. Existen
órganos independientes que efectivamente estén vigilando el adecuado
funcionamiento de la empresa.
o Estructura organizacional y asignación de autoridad y responsabilidad. Existe una
estructura organizacional adecuada para llevar a cabo los objetivos, definiéndose
los niveles de autoridad y responsabilidad para cada uno de los elementos de esta
estructura.

 Proceso de valoración de riesgo de la entidad. El componente del proceso de valoración

de riesgo de la entidad consiste en que el auditor evalúe lo adecuado del proceso interno
de la entidad para identificar los riesgos de negocio de la empresa (relevantes para la
información financiera), las estimaciones de la importancia de los mismos, la evaluación
de la probabilidad de ocurrencia y la toma de decisiones respecto a dichos riesgos.
El proceso de valoración del riesgo brinda a la empresa la información que necesita para
determinar qué riesgos de negocio y de fraude deben atenderse, y en su caso, las medidas
a tomar. Estará a decisión de la empresa realizar las gestiones para tratar riesgos
específicos o, en su caso, asumir dichos riesgos, debido al costo beneficio que implica
mitigarlos o eliminarlos.

El proceso de valoración de riesgo normalmente trata las siguientes cuestiones: cambios

en el entorno operativo, nuevas tecnologías, crecimiento rápido, contrataciones de
personal de alta dirección, nuevos modelos de negocio, productos o actividades.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
En caso de que se identifiquen riesgos de incorrección material no identificados por la
administración, el auditor deberá cuestionar las razones por las cuales fallaron los
procesos de la administración de la empresa para detectarlos y si dichos procesos son
adecuados a las circunstancias.

 Sistemas de información. Un sistema de información se integra por la infraestructura,

software, personas, procedimientos y datos con los que cuenta un negocio o empresa
para dirigirla, alcanzar sus objetivos e identificar y responder a los factores de riesgo.
El auditor deberá analizar primordialmente los sistemas de información relacionados con
la información financiera; en particular los sistemas relacionados con los procesos
operativos (de negocio) tales como: ventas, compras, nóminas, producción, etc.; así como
los sistemas de contabilidad que son donde se asientan los registros contables
correspondientes.

Al analizar los sistemas de información como parte del proceso de evaluación de los
componentes del control interno, deberá considerarse lo siguiente:

o Identificar las fuentes de información utilizadas. En este punto deberán

analizarse los tipos de transacciones significativas para los estados financieros,
cómo se originan, qué registros contables se generan y cómo captan los sistemas
los hechos y condiciones significativos para los estados financieros
o Captación y proceso de información. En este punto deberán identificarse los
procesos de información financiera para las transacciones habituales y no
habituales, así como la inclusión de estimaciones contables y/o revelaciones
significativas.
o Utilización de la información generada. En este punto se analizará la forma de
comunicar por la empresa la información financiera, los informes resultantes y su
utilización en la empresa, así como los informes a los responsables del gobierno de
la empresa y a terceros, tales como las autoridades regulatorias.

Debido al alto nivel y complejidad actual de los sistemas de información,

principalmente en empresas de gran tamaño, puede ser conveniente que en el
proceso de evaluación de este componente, el auditor se apoye en el trabajo de
especialistas de Tecnología de Información (TI).

 Actividades de control. Las actividades de control son las políticas y procedimientos que
ayudan a asegurar que las directrices de la administración se lleven a cabo. Estos controles
se refieren a riesgos que, si no se mitigan, pondrían en riesgo el llevar a cabo los objetivos
de la empresa.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
Las actividades de control pueden clasificarse en los siguientes cuatro tipos:

o Preventivos. Controles para evitar errores o irregularidades.

o De detección. Controles para identificar errores o irregularidades después de que
hayan ocurrido para tomar medidas correctivas.
o De compensación. Controles para brindar cierto grado de seguridad cuando es
incosteable la aplicación de otros controles más directos. Ejemplos: segundas
firmas, supervisión de terceros, supervisión selectiva interna, etcétera.
o De dirección. Controles para orientar al personal hacia los objetivos deseados, por
ejemplo las políticas y los procedimientos.

Algunos controles comunes a nivel del proceso operativo incluyen temas como los
siguientes:

o Segregación de funciones: donde reduce la oportunidad de que una persona por

sí misma pueda llevar a cabo u ocultar errores o fraudes.
o Controles de autorizaciones: define quién tiene la autoridad para aprobar
diversas transacciones, comunes o no comunes.
o Conciliaciones de cuentas: incluye preparar y revisar conciliaciones
oportunamente y tomar decisiones sobre posibles diferencias.
o Controles de aplicación de TI: estos se incluyen en las aplicaciones de los sistemas
de información, los cuales son automatizados o parcialmente automatizados.
o Revisión de resultados reales: comparar los resultados reales contra los
presupuestados y periodos anteriores, así como analizar comportamientos
inesperados de los resultados.
o Controles físicas: están relacionados con la seguridad física de los activos, acceso a
instalaciones, registros contables, sistemas de información, archivos de datos,
etcétera.

 Seguimiento (o monitoreo) de los controles. El seguimiento o monitoreo evalúa la eficacia

de la ejecución del control interno en el tiempo y su objetivo es asegurarse de que los
controles trabajen adecuadamente o, en caso contrario, tomar las medidas correctivas
necesarias. El seguimiento le permite a la dirección de la empresa saber si los controles
internos son eficaces, están implementados adecuadamente, se usan y se cumplen
diariamente, o si necesita modificaciones o mejoras.

El seguimiento se da por la dirección de la empresa, mediante actividades periódicas,

evaluaciones específicas o una combinación de ambas. Asimismo, el seguimiento de la
dirección puede incluir el uso de información externa que pueda resaltar problemas o
áreas de oportunidad: quejas de clientes, comentarios de organismos terceros e informes
de auditores externos o consultores sobre al control interno.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
De la Guía para el uso de las Normas Internacionales de Auditoría en auditorías de
Pequeñas y Medianas Entidades, emitida por la International Federation of Accountants,
se incluye la siguiente tabla que establece la forma en que interactúan los cinco
componentes del control interno:

Como se observa, los componentes del control interno, analizados anteriormente, se

categorizan como controles generalizados y de cuentas específicas. Los generalizados son
los que, de manera indirecta, sirven para prevenir que ocurran incorrecciones, o para
detectarlas y corregirlas después que hayan ocurrido; los de cuentas específicas están
enfocados en riesgos sobre transacciones en particular y diseñados específicamente para
prevenir o detectar y corregir incorreciones.
Se esperaría que los controles generalizados fueran evaluados por el personal de auditoría
con mayor experiencia y, en su caso, los de cuentas específicas por el personal de menor
experiencia.

2) Riesgos:
Toda entidad debe hacer frente a riesgos tanto de origen interno como externo, que
tienen que ser evaluados. La evaluación del riesgo consiste en la identificación y análisis de
los factores que podrían afectar la consecución de los objetivos y, en como resultado de
dicho análisis, determinar la forma en que los riesgos deben ser gestionados.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
El establecimiento del objetivo es una condición previa a la evaluación de los riesgos, La
dirección debe fijar primero los objetivos antes de identificar los riesgos que pueden tener
impacto sobre su consecución y tomar las decisiones oportunas.

El auditor no puede dar seguridad absoluta esto debido a que existen limitaciones
inherentes del trabajo llevado a cabo puesto que el mismo se realiza de forma selectiva,
así los juicios humanos que se requieren suelen estar sujetos a la relatividad y al Juicio
profesional, la naturaleza de la evidencia examinada pretende ser más persuasiva que
conclusiva; esto lo respaldan NIA´S, un profesional está autorizado a realizar dos tipos de
compromisos de seguridad, un compromiso de seguridad razonable, cuyo objetivo es
reducir el riesgo de seguridad hasta un nivel aceptablemente bajo, y un compromiso de
seguridad limitado, cuyo objetivo es la reducción del riesgo de seguridad hasta un nivel
que sea aceptable en las circunstancias del compromiso.

Para reducir el riesgo de auditoría a un nivel bajo aceptable, el auditor debe:

 Valorar el riesgo de declaración equivocada material.
 Limitar el riesgo de detección, es decir aplicar los procedimientos que respondan a
los riesgos valorados.

El auditor debe planear y ejecutar la auditoria para reducir el riesgo de auditoría a un nivel
bajo aceptable que sea consistente con el objetivo de la auditoria.

Existen dos riesgos de auditoría:

 El riesgo que los estados contables contengan una declaración equivocada
material (riesgo inherente y de control).
 El riesgo de que el auditor no detecte tal declaración equivocada material (riesgo
de detección o del contrato).

Los principales componentes del riesgo de auditoría son los siguientes:

 Riesgo inherente: Posibilidad de la afirmación de estar declarara en forma
equivocada. El riesgo inherente se trata a nivel de estado contable como a nivel de
aserción.
 Riesgo de fraude: El riesgo de un acto intencional que genere una declaración
equivocada material. Hay dos tipos de declaraciones equivocadas intencionales:
o Que surgen de información contable fraudulenta.
o Que surgen del uso indebido de los activos.
 Riego de control: Riesgo que el control interno no prevenga o detecte una
declaración equivocada material. La entidad debe identificar y valorar sus riesgos
de negocios y de otro tipo y responder con el diseño del control interno. El auditor
debe evaluar el sistema de control interno de la entidad y valorar los riesgos de
declaración equivocada material.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.

 Riesgo combinado: Se refiere a los riesgos inherentes y de control de declaración

equivocada material, tanto a nivel de estados contables, como de aserción. Los
auditores pueden hacer valoraciones separadas o combinadas de los riesgos
inherentes y de control, a distintos nivel.
 Riesgo de detección: Es el riesgo que el auditor no detecte la declaración
equivocada material. El auditor detecta la aserción donde hay riesgo de
declaración equivocada material y concentra los procedimientos de auditoría en
esas áreas.

El enfoque basado en el riesgo

El enfoque de auditoría externa de estados contables basado en el riesgo, consiste en

detectar los riesgos de declaraciones equivocadas materiales, a nivel de estados contables
o de aserciones, debido a fraude o error, a través de la valoración del riesgo, del resultado
de la evaluación se determina los procedimientos a aplicar para comprobar que en los
estados contables no existen declaraciones equivocadas materiales, y sobre la base de la
evidencia obtenida emitir una conclusión sobre el trabajo realizado.

El auditor debe determinar si es aceptable la estructura de información contable adoptada

por la administración en la preparación de los estados contables.

El enfoque de auditoría basado en el riesgo, presenta en tres fases diferentes:

 Valoración del riesgo Valorar los riesgos de declaración equivocada material
contenida en los estados contables.
 Respuesta al riesgo. Diseñar y ejecutar procedimientos de auditoría adicionales
que responda a los riesgos valorados y reduzca a un nivel aceptablemente bajo los
riesgos de declaración equivocada material.
 Presentación de reportes Emitir un reporte de auditoría redactado
adecuadamente, basado en los hallazgos de auditoría.

Se requiere que los auditores valoren el riesgo de declaración equivocada material en dos
niveles:
 A nivel de estados contables en general, como un todo que afecta a muchas
aserciones.
 A nivel de aserciones específicas, para clases de transacciones, saldos de cuentas o
revelaciones.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
Valoración del riesgo

En esta etapa el auditor realiza una evaluación global del riesgo de auditoría, considera los
riesgos de negocio del ente y los riesgos a nivel de estados contables, que se puedan
originar por fraude o error. Para completar esta fase el auditor debe desarrollar los
siguientes pasos:

1. Evaluar la aceptación o continuación del trabajo.

Entendimiento de la entidad:
El auditor debe obtener un entendimiento de la entidad y su entorno, incluyendo su
control interno, que sea suficiente para identificar y valorar los riesgos de
declaraciones equivocadas materiales de los estados financieros debidos a fraude o
error, y suficientes para diseñar y aplicar procedimientos de auditoría adicionales.

En esta etapa de valoración de los riesgos se identifican y valoran los siguientes

riesgos:

Riesgos inherentes.

a) Riesgo de negocio - Riesgo que existan declaraciones equivocadas materiales. -

Riesgos operativos, sus efectos sobre la información contable.

b) Riesgo de fraude. - Riesgo que existan declaraciones equivocadas materiales que

sean intencionales.

Procedimientos de identificación y valoración de los riesgos:

Para obtener un conocimiento de la entidad y su entorno, incluyendo el control

interno, el auditor debe aplicar los siguientes procedimientos de valoración del riesgo:

a) Indagación a la administración y a otros en la entidad.

b) Procedimientos analíticos

c) Observación e inspección.

Aceptación y continuación del cliente:

En esta etapa el auditor debe:

 Identificar y valorar los factores de riesgo que son relevantes para decidir si
aceptar o declinar el contrato de auditoría
 Acordar y documentar los términos del contrato.
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
Las normas de control de calidad deben establecer las políticas que las firmas deben
desarrollar, implementar y documentar relacionadas con la aceptación y retención del
cliente.

Idealmente esas políticas deben abordar temas:

 Nivel de riesgo - tolerancia/apetencia por el riesgo.

 Características del cliente – que no serían aceptables para el profesional.

El profesional establecerá normas en cuanto a la aceptación y continuación de las

relaciones con el cliente, diseñadas para dar seguridad razonable de que solamente
iniciará o continuará relaciones con el cliente cuando:

 Haya considerado la integridad del cliente.

 Es competente para ejecutar el contrato.
 Puede cumplir con los requerimientos éticos.

2. Planear y desarrollar la estrategia de auditoría.

Estrategia general de auditoria:

El auditor en base al conocimiento del negocio y las particularidades que lo
caracterizan, la estructura administrativa contable y el nivel del sistema de control
interno, desarrolla la estrategia general de la auditoria; planifica el trabajo,
reconociendo que pueden existir declaraciones equivocadas materiales, que hay áreas
o tipos de operaciones que son más vulnerables que otras, y que debe realizarse la
auditoria de manera que cumpla los objetivos del contrato de una manera efectiva.
La estrategia general de auditoría establece el alcance, la oportunidad, y el rumbo de
la auditoria y guía el desarrollo del plan de auditoría. Debe considerar:
 Características del compromiso para definir su alcance.
 Requisitos de presentación de la información financiera para planificar la
duración de la auditoria y la naturaleza de los informes requeridos.
 Riesgos inherentes del negocio y de fraude.
 Estructura administrativa contable del ente.
 Estructura de la tecnología informática (TI).
 Si la empresa tiene implementado un sistema de control interno, nivel de
desarrollo y ambiente de control.
 Resultados de experiencias de auditorías anteriores (controles en los que se
puede confiar).
 Recursos de personal y habilidades del equipo de auditoría.
Materialidad:
La materialidad se refiere a la significancia que la información de los estados contables
tiene para las decisiones económicas de los usuarios, tomadas en base a los estados
contables; cuando una declaración equivocada es suficientemente significativa para
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
cambiar o influir en la decisión de una persona informada, ha ocurrido una declaración
equivocada material.
En las estructura de información financiera, la materialidad es explicada de la
siguiente manera:
 Las declaraciones equivocadas, incluidas las omisiones, se consideran que son
materiales si, razonablemente se podría esperar que influya en las decisiones
económicas que los usuarios tomen con base en los estados financieros.
 Los juicios sobre la materialidad son afectados por el tamaño (cuantitativas) o
la naturaleza (cualitativas) de las declaraciones equivocadas o por la
combinación de ambas.
 Los juicios sobre los asuntos que son materiales, se basa en la consideración
de las necesidades comunes de información financiera de los usuarios
tomados como grupo. No se considera el posible efecto que tenga en usuarios
individuales específicos, cuyas necesidades pueden variar ampliamente.

Discusiones del equipo de auditoria:

Los miembros del equipo del contrato deben discutir la susceptibilidad de los estados
contables de la entidad frente a declaraciones equivocadas materiales. Los miembros
claves del equipo, se reúnen para definir la ejecución del trabajo, durante el desarrollo
para controlar avance, alcance y consideraciones especiales. El revisor del control de
calidad del contrato puede asistir a la reunión, pero como observador/consultor, no
toma decisiones.

3. Evaluar el sistema de control interno de la entidad.

Riesgos significativos:
El auditor debe determinar cuáles de los riesgos identificados son, a juicio del auditor,
riesgos que requieren especial consideración de auditoría, a tales riesgos se les define
como “riesgos significativos”.
El auditor deberá determinar si alguno de los riesgos identificados, a su criterio
constituye un riesgo significativo. Al aplicar su criterio, el auditor deberá excluir los
efectos de los controles identificados que tuviesen relación con dicho riesgo.

Respuesta a los riesgos significativos:

Cuando el riesgo es clasificado como que es significativo, el auditor debe responder
como se detalla más abajo:
 Se debe evaluar el diseño y la implementación del sistema de control interno,
para determinar si el sistema mitiga el efecto de los riesgos identificados.
o Cuando el auditor determina que la administración no ha respondido
de la manera apropiada y que existe una debilidad material en el
control interno de la entidad:
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
1. El asunto debe ser comunicado a quienes tienen a cargo el
gobierno, para que implementen los controles necesarios para
anular los efectos de declaración equivocada material para el
futuro.
2. Se deben considerar las implicaciones que tiene para la valoración
del riesgo hecha por el auditor para la auditoria y determinar los
procesos de auditoría que se pueden requerir para tratar el riesgo
valorado.
o Cuando el auditor determina que el sistema de control interno
responde de manera apropiada en la prevención de errores y decide
confiar en ellos debe probar su funcionamiento.
 No se permite confiar en la evidencia obtenida en auditorias anteriores.
 Los procedimientos sustantivos analíticos no son respuestas suficientes por si
solos.
 Los procedimientos sustantivos deben responder de manera específica al
riesgo identificado, de manera de obtener evidencia de auditoría de alta
confiabilidad

Evaluación del sistema de control interno de la entidad:

En la etapa de valoración del riesgo, se realiza la evaluación del sistema de control interno
que es relevante para la auditoria con el fin de determinar su funcionamiento, esto incluye
determinar si el sistema de control interno cumple con el fin que ha sido diseñado e
implementado para prevenir que ocurran declaraciones equivocadas materiales o que las
detecte y las corrija luego que hayan ocurrido.

El objetivo de entender el control interno es considerar si la entidad ha respondido de

manera adecuada a los riesgos de negocio y de fraude mediante el establecimiento de
controles efectivos.

Valoración del diseño e implementación del control interno:

La obtención del entendimiento del control interno y la evaluación del diseño y la

implementación del control interno se realiza cumpliendo los siguientes pasos:

a) Identificación de los riesgos relevantes para la auditora

El primer paso es identificar los riesgos relevantes que necesitan ser mitigados para
prevenir declaraciones equivocadas materiales en los estados contables. Debe tenerse
cuidado en evaluar riesgos irrelevantes que constituyen una pérdida de tiempo en la
auditoria.
b) Evaluación y documentación del control interno relevante
El segundo paso es documentar los controles internos, el auditor debe asegurar que se
ha considerado cada uno de los cincos componentes del control interno, si ellos no
PECED AREA PROFESIONAL
Msc. Ana María Calderón.
son aplicables a ciertas actividades, se deben documentar las razones en un
memorando anexo al archivo.
c) Valoración del diseño y de la implementación del control interno
Evaluar el diseño de un control involucra tener en cuenta si dicho control, de manera
individual o en combinación con otros, es capaz de prevenir, o detectar y corregir
distorsiones significativas de manera efectiva.