Carlos

 Alfredo  Chamorro  Velasco  

MBA  Javeriana  
Módulo Planeación
de Auditoría

Septiembre
2015
Planeación de auditoría - ISA
Planeación de la auditoría de La respuesta del auditor frente
estados financieros ISA 300 a los riesgos valorados ISA
330

Identificación y valoración de los Consideraciones de auditoría

riesgos de declaración relacionadas con la entidad
equivocada mediante el que usa una organización de
entendimiento de la entidad y su servicio ISA 402
entorno ISA 315

Materialidad en la planeación y Evaluación de las

en el desempeño de la declaraciones equivocadas
auditoría ISA 320 identificadas durante la
auditoría ISA 450
Objetivos

•  Identificar y evaluar los riesgos de error material, ya sea

debido a fraude o error, a los niveles de estados
financieros y de aseveración, a través de entender la
entidad y su entorno, incluyendo el control interno de la
misma.
•  Proporcionar una base para diseñar e implementar
respuestas a los riesgos evaluados de
error material.

4
Objetivos

•  Identificar riesgos específicos y errores materiales a nivel de

estados financieros y planear una respuesta de auditoría
apropiada.
•  Desarrollar y adaptar planes de auditoría para cuentas
significativas.

5
Objetivos

•  Planear y acordar la oportunidad apropiada de procedimientos

de auditoría.
•  Preparar el memorándum de planeación de auditoría.
•  Discutir los factores clave al implementar exitosamente el plan
de auditoría.

6
Definiciones
Aseveraciones:
Representaciones de la
Administración, explícitas o de
otro modo, que se incorporan
en los EEFF que usa el
Auditor para considerar los
tipos de errores potenciales.
7
Control interno:
Proceso diseñado, implementado y
mantenido por los encargados del
Gobierno Corporativo, la Administración
y otro personal para brindar seguridad
razonable sobre el logro de los
objetivos de una entidad respecto a:
•  Confiabilidad de la información
financiera.
•  Efectividad y eficiencia de las
operaciones.
•  Cumplimiento con leyes y
regulaciones aplicables.
Definiciones
Procedimientos de Riesgo importante o
evaluación del riesgo significativo:
Riesgo identificado y valorado de
error material que, a juicio del
Auditor, requiere consideración
especial en la auditoría.

8
Requerimientos

Procedimientos de evaluación del riesgo y actividades

relacionadas:
a. Investigaciones con la administración.
b. Procedimientos analíticos (A7 – A10)
c. Observación e inspección. (A11)

9
 Entendimiento de la entidad y su ambiente

Medición y
revisión de
desempeño
Aplicación financiero
políticas Tipos de
contables inversión

Objetivos y Factores de
estrategias industria, y
Riesgo regulaciones
(incluye
negocio contable)
Estructura,
financiación Operaciones,
transacciones estructuras de
importantes propiedad y gobierno

2014 Deloitte Touche Tohmatsu Limited. 10

Requerimientos
El entendimiento que se requiere de la entidad y su
entorno, incluyendo el control interno de la misma:
•  Factores relevantes de la industria (A 17– A 22)
−  Mercado y la competencia
−  Actividad cíclica o de temporada
−  Tecnología de productos

•  Naturaleza de la entidad (A 23 – 27)

11
Requerimientos
El entendimiento que se requiere de la entidad y su
entorno, incluyendo el control interno de la misma:

•  Control interno de la entidad y los componentes del

mismo (A 42 A 104)
−  Ambiente y/o Entorno de control
−  Evaluación de riesgo
−  Actividades de control
−  Información y comunicación
−  Monitoreo

12
Requerimientos

Identificación y evaluación de riesgos de error material:

•  Nivel de estados financieros (cualitativo o cuantitativo)

•  Nivel de aseveración para las clases de transacciones,

saldos de cuenta y revelaciones.

Para proporcionar una base para diseñar y realizar

Procedimientos de Auditoría Adicionales [ISA 315.25].

13
Requerimientos
Para este propósito el Auditor deberá:
Identificar los riesgos en Evaluar los riesgos y considerar si éstos se
el proceso de relacionan con los estados financieros y
comprensión de la afectan potencialmente a muchas
entidad y su ambiente. Aseveraciones.

Incluir controles
relevantes que se Relacionar los riesgos identificados con lo
relacionan con los que puede salir mal a nivel de aseveración.
riesgos. Tener en cuenta los Controles relevantes
que pretendemos probar (A 116 – 118).
Considerar qué puede
salir mal para las clases Considerar la probabilidad de error, incluir
de transacciones, saldos la posibilidad de múltiples errores, y si el
de cuenta y revelaciones error potencial es de una magnitud que
en los Estados podría dar como resultado un error
Financieros. material.

14
Aseveraciones / Aserciones / Afirmaciones
Declaraciones de la Administración que están incorporadas en los
estados financieros, que se utilizan por el Auditor para considerar los
tipos de Errores potenciales.

• Ocurrencia
Clases de • Integridad
transacciones y • Exactitud
eventos (PyG) • Corte
• Clasificación

•  Existencia
Saldos de cuenta •  Derechos y obligaciones
(BALANCE) •  Integridad
•  Valuación y distribución

•  Ocurrencia y Derechos y obligaciones

Presentación y •  Integridad
revelación •  Clasificación y comprensibilidad
•  Exactitud y valuación

15
Definición del control interno a nivel de entidad

•  El control interno es un proceso

–  efectuado por la junta directiva, la gerencia y demás empleados

de una entidad, con el fin de brindar un grado razonable de
certeza acerca del logro de objetivos dentro de las siguientes
categorías:

•  Confiabilidad de la información financiera.

•  Eficacia y eficiencia de las operaciones.

•  Cumplimiento de las leyes y de la normativa de aplicación.

Definición del control interno a nivel de entidad
•  El control interno es un proceso
–  efectuado por la junta directiva, la gerencia y demás empleados
de una entidad, con el fin de brindar un grado de seguridad
razonable de certeza acerca del logro sus objetivos, dentro de
las siguientes categorías:

Eficiencia y
eficacia de
las
operaciones.

Cumplimiento Confiabilidad
de leyes y de la
regulaciones información
aplicables. financiera.
Control interno a nivel de entidad: ¿Por qué es
importante para la auditoría?
•  La comprensión del control interno a nivel de entidad es necesaria
para:

ü  Planear la auditoría.

ü  Determinar la naturaleza, la oportunidad y el alcance de
nuestros procedimientos de auditoría.
ü  Ayudarnos a identificar los factores que influyen sobre la eficacia
del control interno.

•  Nos concentramos en aquellos controles que son importantes para

la auditoría.
Los Componentes del Control Interno

•  Hay cinco componentes del control interno:

- Ambiente de Control

- Proceso de Evaluación de Riesgo de la Entidad

- Sistema de Información y Comunicación

- Actividades de Control

- Monitoreo de Controles

2014 Deloitte Touche Tohmatsu Limited. 19

Proceso de comprensión de controles a nivel
entidad
Identificar actividades clave, programas y controles establecidos
para cubrir cada componente del control interno a nivel entidad

Comprender cómo los encargados del gobierno han respondido a

los riesgos de fraude

Evaluar el diseño e implementación del control

Sacar una conclusión en cuanto a:

•  A la propiedad de un control interno eficaz y el procesamiento
confiable de la información financiera.
•  Si esto incrementa o reduce la eficacia del control interno.
Entendimiento del control interno e identificación de
los riesgos de error material (RDEM)

Validar
Entender el Riesgo de
proceso error Material
(RDEM)
Solamente para:
-  Riesgos significativos;
-  RDEM para los cuales
pretendemos basarnos en la
Entender el control efectividad operativa de los
que se ocupa de los controles; o
riesgos identificados -  Controles que son considerados
relevantes a nuestro juicio

2014 Deloitte Touche Tohmatsu Limited. 21

 Componentes del control interno
Políticas y procedimientos
diseñados para ayudar a
asegurar que las directrices
de la administración se
estén cumpliendo.
El proceso utilizado para
identificar, analizar y
administrar los riesgos a
los que se enfrenta la
entidad .
Monitoreo de controles
Actividades de Control
El sistema de información
Y comunicación
El proceso de evaluación del
Riesgo de la entidad
El ambiente de control
El proceso de evaluar la
calidad del desempeño del
control interno a través del
tiempo.
El sistema de información y
comunicación utilizado para
capturar e intercambiar la
información necesaria para
realizar, administrar y
controlar las operaciones.
La actitud general, el
conocimiento y las acciones de
los directores y la
administración respecto a la
importancia del control interno
en la entidad.
Componentes del control interno
Monitoreo de controles
Actividades de control
Componentes por
considerar: El sistema de información
Y comunicación
a nivel entidad
El proceso de evaluación del
Riesgo de la entidad
El ambiente de control
Componentes por
considerar:
a nivel proceso por
cada flujo
significativo de
transacciones, saldo
de cuenta, clase de
transacciones o
revelación
Componentes de control interno:
1. Ambiente de Control

•  Las actividades de control son políticas y procedimientos que

ayudan a asegurar que se lleven a cabo las directivas de la
gerencia.
•  Las actividades de control pueden categorizarse en:
–  Revisiones de desempeño.
–  Procesamiento de la información.
–  Controles físicos.
–  Segregación de funciones incompatibles.
Componentes de control interno:
Ambiente de Control

n  Factores que afectan el ambiente de control:

Compromiso
Comité
Integridad hacia la Estilo operativo
Directivo y
y valores competencia y filosofía de la
Comité de
éticos. (habilidades y administración.
Auditoría.
conocimientos)

Asignación de Políticas y
Estructura autoridad y prácticas de
organizacional. responsabilidad. recursos
humanos.
Componentes de control interno:
2. Evaluación del Riesgo

•  Mecanismos establecidos para identificar, analizar y

administrar riesgos relacionados con varias actividades en
las que la entidad está involucrada y que pueden impedir el
logro de los objetivos.
Componentes de control interno:
Evaluación del Riesgo / Uniendo el C.I. con el Riesgo
Adtivo.

Riesgo
Posibilidad de que un evento desfavorable pueda afectar negativamente la
habilidad de la organización para el logro de sus objetivos.

Administración de riesgos
Es el proceso para incrementar la confianza en la habilidad
de una organización para anticipar, priorizar y superar
obstáculos para alcanzar sus metas.

Control Interno
Es un proceso diseñado para proveer una seguridad razonable con
respecto al logro de los objetivos de negocios (3 categorías):
•  La efectividad y eficiencia de las operaciones
•  Confiabilidad de la información financiera
•  Cumplimiento de las leyes y regulaciones aplicables
Componentes de control interno:
Evaluación del Riesgo (Pasos)

Identificación de riesgos: es un
proceso generalmente integrado con
el proceso de planeación.

Evaluación de riesgos: proceso

que consiste en determinar la
importancia, evaluar la frecuencia
con que ocurren y considerar las
acciones administrativas.

Administración del Cambio: toda entidad

debe tener un proceso, formal o informal,
que identifique las condiciones que
tienen efecto significativo sobre la
habilidad para lograr los objetivos.
Componentes de control interno:
Evaluación del Riesgo
n  Identificación de riesgos:
A nivel de Entidad: Originados por factores internos y externos.

Externos

Cambio de las Nuevas

Desarrollo legislaciones
necesidades y Competencia Catástrofes
tecnológico y
expectativas naturales
del cliente. regulaciones
Componentes de control interno:
Evaluación del Riesgo
n  Identificación de riesgos:
A nivel de Entidad: Originados por factores internos y externos.

Internos

Una La naturaleza
La calidad del Un cambio en las Un comité
interrupción en de las
personal responsabilidades directivo o de
el actividades de
contratado y los de la auditoría
procesamiento la entidad y el
métodos de administración ineficaz.
de sistemas de acceso de los
entrenamiento y
información. empleados a
motivación.
los activos.
Componentes de control interno:
3. Actividades de Control

•  Las actividades de control deben estar incorporadas en las

operaciones del negocio.

•  Las actividades de control también se dividen en:

operaciones, información financiera y cumplimiento.

•  Las actividades de control están ligadas a la evaluación de

riesgos, ya que éstas sirven como medio para que el riesgo
sea administrado apropiadamente.

•  Enfocadas a la prevención, detección y corrección

Componentes de control interno:
Actividades de Control / Tipos de actividades de control
•  Existen diferentes tipos de actividades de control tales como:
•  Controles preventivos

•  Controles detectivos

•  Controles manuales y controles computarizados

•  Controles administrativos

Las actividades de control pueden ser determinadas para objetivos de

control específico, los cuales aseguran la integridad y exactitud del
procesamiento de datos. Ejemplos:
Componentes de control interno:
4. Información y Comunicación

•  Sistemas que permiten al personal de la entidad capturar e

intercambiar información necesaria para conducir, administrar
y controlar sus operaciones.
Componentes de control interno:
Información y Comunicación

Consideraciones respecto a la información:

•  Calidad de la información:
ü  El contenido es apropiado - ¿Está la información que se
necesita?
ü  La información es oportuna - ¿Está cuándo se necesita?
ü  Es actual - ¿Es la última / más reciente disponible?
ü  Es exacta - ¿Los datos son correctos?
ü  Es accesible - ¿Puede ser obtenida fácilmente por los
usuarios?
Componentes de control interno:
Información y Comunicación
•  Consideraciones respecto a la información
ü La comunicación es una parte inherente de los sistemas de
información.

ü El personal debe saber qué hacer en casos inesperados.

ü El personal debe saber cómo sus actividades se relacionan con el

trabajo de otros.

ü Debe existir algún medio que permita la comunicación hacia arriba.

ü Comunicación apropiada debe ocurrir fuera y dentro de la entidad

(manuales de políticas, memorandos, mensajes, e-mails, etc.)
Componentes de control interno:
Información y Comunicación
•  Comunicación

ü  Eficacia
con la que se comunican las tareas de los empleados y
las responsabilidades de control.

ü  Establecimiento
de canales de comunicación para que el personal
reporte sospechas de situaciones inapropiadas / irregulares.

ü  Receptividad de la administración hacia las sugerencias de los

empleados.

ü  Lo adecuado de la comunicación en toda la organización.

Componentes de control interno:
Información y Comunicación
•  Comunicación

ü  Integridady oportunidad de la información y su suficiencia para

permitir al personal llevar a cabo sus responsabilidades eficazmente.

ü  Apertura y eficacia de los canales con clientes, proveedores y otros

terceros.

ü  A
qué grado se han comunicado a terceros los valores éticos de la
entidad.

ü  Lo
oportuno y apropiado de las acciones de seguimiento de la
administración hacia comunicados de clientes, proveedores,
reguladores y otros terceros.
Componentes de control interno:
5. Monitoreo

•  Es el proceso de evaluación de la calidad de desempeño respecto

del control interno en el transcurso del tiempo.

•  Una de las actividades de monitoreo más comunes es la función de

auditoría interna:
–  Estado de situación de la organización.
–  Alcance de la función.
–  Competencia técnica.
–  Debido cuidado profesional.
Componentes de control interno:
5. Monitoreo
•  Monitoreo Continuo:

ü  Gradoa que los entrenamientos, sesiones de planeación y otras

juntas proporcionan retroalimentación a la administración sobre la
eficacia de los controles.

ü  Si
el personal es cuestionado periódicamente sobre su
comprensión del código de conducta.

ü  Eficacia de las actividades de auditoría interna.

Clasificación del riesgo
Riesgo de Negocio
Riesgo resultante de:
ü  condiciones,
ü  eventos, circunstancias,
ü  acciones significativas que
Riesgos clave pueden afectar adversamente
del negocio la habilidad de la entidad de
lograr sus objetivos y ejecutar
su estrategia

Riesgo de Auditoría. Es el riesgo de que el auditor dé una opinión de

auditoría inapropiada cuando los estados financieros están elaborados
en forma errónea de una manera importante.
Clasificación del riesgo
Riesgo Inherente
Es el riesgo de que el saldo de una cuenta o una clase de
transacciones por su propia naturaleza contenga errores o pueda
generar un problema.
Clasificación del riesgo
Riesgo de Control
Es el riesgo de que el sistema de control interno de una compañía
no prevenga o detecte, y corrija oportunamente, un error significativo.
Clasificación del riesgo
Riesgo de Detección

Es el riesgo de que los procedimientos de auditoría no detecten un

error material. Siempre existirá algún grado de riesgo de detección
debido a la naturaleza de las pruebas y muestreo de una auditoría.
Clasificación del riesgo / Ejemplo:
Riesgo Inherente

El auditor a evaluado el riesgo inherente de una afirmación en 50% y el

de control en un 40%. Además efectúo procedimientos de auditoría que, a
su juicio, tienen un riesgo del 20% de no detectar errores materiales en la
afirmación. El riesgo de auditoría puede calcularse así:

RA = RI x RC x RD
= 0.50 x 0.40 x 0.20
= 0.04

El auditor enfrenta un riesgo de auditoría del 4% de que los errores

materiales hayan ocurrido evadiendo los controles del cliente y los
procedimientos de auditoría aplicados por el auditor.
 Clasificación del riesgo / Escalas
RI RC
Cualita'vamente   Cuan'ta'vamente   Cualita'vamente   Cuan'ta'vamente  

Alto Más de 60% Alto Más de 40%

Moderado(Medio) Entre 40% y 60% Moderado (Medio) Entre 20% y 40%
Bajo Menos del 40% Bajo Menos del 20%

RD
Cualita'vamente   Cuan%ta%vamente  

Alto Más de 40%

Moderado(Medio) Entre 20% y 40%
Bajo Menos del 20%
Clasificación del riesgo
Clasificación del riesgo
Riesgos
Riesgos
significativos
Riesgos Lo que
inherentes puede fallar Probabilidad de
ocurrencia

Efecto de los estados financieros

del ejercicio actual

Riesgos Lo que
inherentes puede fallar

Riesgo Significativo
Un riesgo identificado y determinado de
representaciones erróneas materiales que a juicio
del auditor requieren consideración especial de
auditoría
Consideraciones para identificar los riesgos
significativos

Al identificar los riesgos significativos, tenemos en cuenta lo

siguiente:
•  Riesgos de fraude significativos
•  Acontecimientos significativos recientes de las áreas
económica y contable, entre otros
•  Complejida de las operaciones subyacentes
Consideraciones para identificar los riesgos
significativos

Al identificar los riesgos significativos, tenemos en cuenta lo

siguiente:
•  Operaciones significativas entre partes relacionadas
•  Grado de subjetividad en la determinación de los saldos o
revelaciones
•  Operaciones significativas o no habituales fuera del curso
normal del negocio
Consideración de fraude y definición

•  El fraude es un acto intencional por parte de uno o más

directivos, empleados o terceros que se traduce en una
aseveración equívoca en los estados financieros.

•  El riesgo de fraude es siempre un riesgo significativo.

•  Vinculación entre el control interno a nivel de entidad y el

riesgo de fraude.
Consideración de fraude y definición
•  ¿Cuales son los dos tipos de errores relevantes para la
consideración de fraude por parte del auditor?

a.  Errores que resultan de la malversación de activos.

b.  Errores que se originan de Informes financieros fraudulentos.

•  ¿ Que significa para mí el fraude como auditor?

•  Como auditores, ¿somos responsables de detectar todos los errores y el

fraude?
Consideración de fraude y definición
•  ¿ Que es una discusión sobre fraude?

Esta discusión es parte de nuestro proceso de evaluación de riesgo y

proporciona una oportunidad para que el equipo de auditoría comparta sus
observaciones en cuanto a cómo y dónde pueden los estados financieros
ser susceptibles de errores materiales debido al fraude.
Consideración de fraude y definición
¿Cómo se si algo podría ser fraude

Existen tres condiciones generalmente presentes cuando ocurre

el fraude. Esto se denomina el triangulo del Fraude
Árbol de clasificación de riesgos

¿El  riesgo  podría  

tener  un  efecto  
sobre  los  EEFF  del  
ejercicio  actual?  

No
Si

¿El riesgo se
¿Este riesgo podría causar un ¿Se trata de un relaciona con los
error significativo y es posible que riesgo de fraude
ocurra?
No No posibles errores en el
identificado? flujo de operaciones?

Si Si No Si
* Todos los riesgos
de fraude son riesgos
significativos.
Riesgo     Lo  que    
Riesgo   Riesgo     Riesgo    
Normal   puede    
Significa%vo   Fraude   Normal  
fallar  
 Desarrollar el Plan de Auditoría
Evaluar el riesgo a nivel de error potencial

Riesgo específico Riesgo no específico

El diseño y la implementación de controles fueron El diseño y la implementación de controles fueron

adecuados adecuados

No Sí Sí No

Planear confiar en la eficacia operativa de Planear confiar en la eficacia operativa de

los controles los controles

No Sí Sí No

Planear obtener un
nivel enfocado de
seguridad sustantiva
Planear obtener
Planear obtener evidencia de auditoría
Planear obtener un
evidencia de auditoría sobre la eficacia nivel intermedio de
sobre la eficacia operativa de los seguridad sustantiva
operativa de los controles, en el período
controles en el de auditoría actual o
período de auditoría junto con nuestro
actual y planear trabajo realizado en las
obtener un nivel dos auditorías
moderado de anteriores, planear
seguridad sustantiva obtener un nivel básico
de seguridad sustantiva

Preparar el memorándum de planeación de auditoría y llevar a cabo discusiones con el equipo del compromiso

56
Ejemplos:
Riesgo de Negocios vs. Riesgo de Auditoría
Riesgo de Negocios: Riesgo de Auditoría:
Riesgo resultante de condiciones, Riesgo de que el auditor exprese
eventos, circunstancias, acciones o una opinión de auditoría
inacciones significativas que inapropiada cuando los estados
puedan afectar adversamente la financieros tienen errores
habilidad de una entidad para materiales. El riesgo de auditoría
lograr sus objetivos y ejecutar sus es una función de los riesgos de
estrategias, de fijar objetivos y error material y riesgo de
estrategias inapropiadas detección.
Ejemplo: Ejemplo:
Para un almacén pequeño de calzado, Los estados financieros de la entidad
sería un riesgo de negocio si se incluyen una gran compra hecha en el
anuncia que un gran almacén nacional año actual que todavía no ha llegado
de calzado va a abrir un almacén en la del proveedor. Existe un riesgo de que
misma calle. los saldos de inventario y de cuentas
por pagar estén sobreestimados en los
estados financieros.
Clave: Los riegos de negocios pueden o no ser riesgos de auditoría. Sin
embargo, considerar y entender los riegos de negocios es útil en la
identificación de los riesgos de auditoría de un auditor.
Ejemplos: Proceso vs. Control
Proceso:
Describe la acción de llevar una
transacción o evento a través de una
conjunto de procedimientos o pasos
establecidos y generalmente de rutina.
Declaración de Proceso #1:
Cuando nuevos contratos son
celebrados o contratos existentes son
modificados, el gerente de contabilidad
determina y documenta en un memo el
modelo de Revisión paso a paso de
ingresos aplicable que será usado para
el contrato.
Clave: Un sólido entendimiento de los pasos del proceso ayudan a
identificar los riesgos materiales y los controles relevantes.
Control:
Aquellas políticas y procedimientos que
ayudan a garantizar que las directrices de
la gerencia sean llevadas a cabo. Las
actividades de control con un componente
del control interno
Declaración de Control #1
El contralor revisa y aprueba el memo
de Revisión paso a paso de ingresos
elaborado por el gerente de cuenta.
Como parte del proceso de revisión el
contralor lee todos los apartes
relevantes del contrato y las normas
profesionales aplicable, así como
revisa y cuestiona, según sea
apropiado, las conclusiones
documentadas en el memorando.
Ejemplos: Controles preventivos vs. de detección
Controles preventivos:
Describen las políticas y
procedimientos diseñados pare
prevenir fallas en el proceso
Declaración de controles
preventivos #1:
Después de que se firmen nuevos
contratos, el gerente de contabilidad
revisa y aprueba el memorando
elaborado por el contador que contiene
los asientos de diario propuestos, para
garantizar que las cantidades
coinciden con los cargos acordados
Controles de detección:
Describe las políticas y procedimientos
diseñados para detectar y corregir
fallas que hayan ocurrido en el
proceso.
Declaración de controles de
detección #2:
El contralor revisa los estados
financieros mensuales comparando el
informe mensual de ventas
proporcionado por el departamento de
ventas con el presupuesto mensual
para identificar e investigar cualquier
diferencia inexplicada.

Clave: De nuevo, un sólido entendimiento de los pasos del proceso

ayudan a identificar los riesgos materiales y los controles relevantes.
Muchas Gracias

Carlos  Alfredo  Chamorro  Velasco  

Socio  CGI  Consultores  S.A.S.  
carloschamorro@cgiconsultores.com.co  
Cel.  315  535  5120