Pruebas sustantivas y de cumplimiento de

auditoria
PRUEBAS SUSTANTIVAS
Son aquellas pruebas que diseña el auditor como el objeto de conseguir evidencia
referida a la información financiera auditada. Están relacionadas con la integridad,
la exactitud y la validez de la información financiera auditada.
Los procedimientos sustantivos intentan dar validez y fiabilidad a toda la
información que generan los estados contables y en concreto a la exactitud
monetaria de las cantidades reflejadas en los estados financieros. Las pruebas
sustanciales se orientan a obtener evidencia de la siguiente manera:
1. Evidencia física: permite identificar la existencia física de activos, cuantificar las
unidades en poder de la empresa, y en ciertos casos especificar la calidad de los
activos
2. Evidencia documental: consistente en verificar documentos (financieros,
nominas, etc.)
3. Evidencia por medio de libros diarios y mayores: resume todo el proceso de
contabilización de las operaciones contabilizadas por la empresa y además son
elementos imprescindibles para la preparación de los Estados financieros
4. Evidencia por medio de comparaciones y ratios: Es un medio de localizar
cambios significativos que deberán ser explicados al auditor
5. Evidencia por medio de cálculos: realización de cálculos y pruebas globales
para verificar la precisión aritmética de saldos, registros y documentos
6. Evidencia verbal: por medio de preguntas a empleados y ejecutivos
7. El control interno como evidencia: es un medio de obtener evidencia sustantiva y
al mismo tiempo de determinar el alcance e intensidad con el que se deben aplicar
los otros tipos de evidencia indicados

Se pueden identificar 8 diferentes pruebas sustantivas:

1 -pruebas para identificar errores en el procesamiento o de falta de seguridad o
confidencialidad.

2 -prueba para asegurar la calidad de los datos.

3 -pruebas para identificar la inconsistencia de datos.

4 -prueba para comparar con los datos o contadores físicos.

5 -confirmaciones de datos con fuentes externas

6 -pruebas para confirmar la adecuada comunicación.

7 -prueba para determinar falta de seguridad.

8 -pruebas para determinar problemas de legalidad.

PRUEBAS DE CUMPLIMIENTO
Son aquellas pruebas que diseña el auditor con el objeto de conseguir evidencia
que permita tener una seguridad razonable de que los controles internos
establecidos por la empresa auditada están siendo aplicados correctamente y son
efectivas. Es el examen de la evidencia disponible de que una o más técnicas de
control interno están en operación o actuando durante el período auditado. Estas
pruebas tratan de obtener evidencia de que los procedimientos de control interno,
en los que el auditor basa su confianza en el sistema, se aplican en la forma
establecida.
El conjunto de métodos o procedimientos asegurar son:
* Protección de activos
* Registros Contables fidedignos
* Actividad eficaz
* Según directrices de la dirección
Es el examen de la evidencia disponible de que una o más técnicas de control
interno están en operación o actuando durante el período auditado. Estas pruebas
tratan de obtener evidencia de que los procedimientos de control interno, en los
que el
auditor basa su confianza en el sistema, se aplican en la forma establecida.

Teniendo en cuenta que el objetivo de una auditoría financiera es

verificar o comprobar la razonabilidad y confiablidad de la información
financiera, y además evaluar el control interno implementado por la alta
dirección en relación con el proceso de información contable, es
primordial aplicar las pruebas denominadas de doble propósito sobre la
muestra que se escoja para dicho estudio.

Las pruebas que se tienen de doble propósito son: pruebas sustantivas

y pruebas de cumplimiento.

Pruebas sustantivas: Consisten en aquellas pruebas de detalle que se

realizan sobre las transacciones y saldos para la obtención de la
evidencia relacionado con la validez y el tratamiento contable; la idea de
este tipo de pruebas es determinar eventuales errores que estén
implicados en el procesamiento de los datos contables con el objetivo de
analizar si los valores registrados son los correctos.

Por ejemplo entre algunas pruebas sustantivas se tienen:

- Provisión adecuada para las pérdidas de posibles cuentas incobrables

-Los listados de inventarios están recopilados, calculados, sumados de

la forma correcta y si estos listados reflejan la realidad de la contabilidad.
-Analizar la manera como se contabilizaron las pérdidas de alguna
inversión

-Determinar la autenticidad tanto de calidad como de cantidad los fondos

en caja y/o depósitos en bancos.

Pruebas de Cumplimiento: Su objetivo principal es determinar y

comprobar la efectividad del sistema del control interno que la empresa
haya implementado, por lo tanto en el momento de analizar las pruebas
escogidas se debe verificar si los procedimientos son los adecuados, si
se están ejecutando y si se están ejecutando se está realizando de la
manera correcta.

El propósito es reunir evidencia suficiente para analizar si el control

interno funciona efectivamente y si está logrando sus objetivos por lo
que generalmente se refiere a la inspección de documentos.

Entre algunos ejemplos de pruebas de cumplimiento se tienen:

-Ventas realizadas sin ser facturadas o registradas

-Recibimiento de pagos sin ser registrados

-La auditoría interna practica arqueos sorpresivos y frecuentas a los

fondos de caja

-Analizar existencias físicas en inventarios y si sus movimientos están en

registros apropiados

-Estudios para determinar la posible existencia de inventarios dañados u

obsoletos

El auditor puede analizar una muestra con la cual se obtienen dos

propósitos, probar el cumplimiento del control interno y comprobar si el
importe monetario de las transacciones es el correcto.

La forma en que se examinen este tipo de pruebas depende de cada

cuenta que se analice de los estados financieros, puesto que cada una
de éstas tienen elementos y características diferentes que hacen que sus
procesos de inspección y prueba sean diferente y particulares.

1. ¿Qué son las pruebas de cumplimiento? ¿En qué períodos

se realizan pruebas de cumplimiento?

Una prueba de cumplimiento es el examen de la evidencia disponible

de que una o más técnicas de control interno están operando durante
el periodo de auditoría.

El auditor deberá obtener evidencia de auditoría mediante pruebas de

cumplimiento de:

 Existencia: el control existe

 Efectividad: el control está funcionando con eficiencia
 Continuidad: el control ha estado funcionando durante todo el
periodo.

El objetivo de las pruebas de cumplimiento es quedar satisfecho de

que una técnica de control estuvo operando efectivamente durante
todo el periodo de auditoría.

Periodo en el que se desarrollan las pruebas y su extensión

Los auditores independientes podrán realizar las pruebas de

cumplimiento durante el periodo preliminar.

Cuando éste sea el caso, la aplicación de tales pruebas a todo el

periodo restante puede no ser necesaria, dependiendo
fundamentalmente del resultado de estas pruebas en el periodo
preliminar así como de la evidencia del cumplimiento, dentro del
periodo restante, que puede obtenerse de las pruebas sustantivas
realizadas por el auditor independiente.

La determinación de la extensión de las pruebas de cumplimento se

realizará sobre bases estadísticas o sobre bases subjetivas. El
muestreo estadístico es, en principio, el medio idóneo para expresar
en términos cuantitativos el juicio del auditor respecto a la
razonabilidad, determinando la extensión de las pruebas y evaluando
su resultado.

Cuando se utilicen bases subjetivas se deberá dejar constancia en los

papeles de trabajo de las razones que han conducido a tal elección,
justificando los criterios y bases de selección.
2. ¿En qué etapa de la auditoria se desarrollan las pruebas de
cumplimiento?

El estudio y evaluación del control interno incluye dos fases:

1. La revisión preliminar del sistema con objeto de conocer y

comprender los procedimientos y métodos establecidos por la
entidad.
2. La realización de pruebas de cumplimiento para obtener una
seguridad razonable de que los controles se encuentran en uso y
que están operando tal como se diseñaron.

3. ¿Qué le ayuda al Auditor la revisión del control interno?

Una función del control interno es la de suministrar seguridad de

que los errores o irregularidades se pueden descubrir con
prontitud razonable, asegurando así la fiabilidad e integridad de
los registros financieros y operativos. La revisión del control
interno por parte del auditor le ayuda a determinar otros
procedimientos de auditoría apropiados para formular su opinión
sobre la razonabilidad de los saldos finales.

Por definición, el control interno contempla una seguridad

razonable, pero no absoluta, de que los objetivos del sistema se
cumplirán. La implantación y el mantenimiento de un sistema
adecuado de control interno es responsabilidad de la
administración del ente y el diseño del mismo ha de realizarse
teniendo en cuenta los juicios de la administración en cuanto a la
relación costo-beneficio de cada procedimiento de control, aunque
no siempre es posible obtener magnitudes objetivas de los costos
y beneficios involucrados.

Un planteamiento conceptual lógico de la evaluación que hace el

contador público del control interno contable, que se enfoca
directamente a prevenir o detectar errores o irregularidades
importantes en los saldos de las cuentas, consiste en aplicar a
cada tipo importante de transacciones y a los respectivos activos
involucrados en la auditoría, los siguientes criterios:

 a) Considerar entre otros, los tipos de errores e

irregularidades que puedan ocurrir.
 b) Determinar los procedimientos de control interno
contable que puedan prevenir o detectar errores o
irregularidades.
 c) Determinar si los procedimientos necesarios están
establecidos y si se han seguido satisfactoriamente.
 d) Evaluar cualquier deficiencia, es decir, cualquier tipo
de error o irregularidad potencial no contemplada por los
 procedimientos de control interno existentes, para determinar
su efecto sobre:

– La naturaleza, momento de ejecución o extensión de los

procedimientos de auditoría a aplicar, y
– Las sugerencias a hacer al ente.

PRUEBAS DE CUMPLIMENTO VS. PRUEBAS

SUSTANTIVAS
Las pruebas de cumplimiento consisten en recolectar evidencia con el
propósito de probar el cumplimiento de una organización con
procedimientos de control. Esto difiere de la prueba sustantiva, en la que la
evidencia se recoge para evaluar la integridad de transacciones individuales,
datos u otra información.

Una prueba de cumplimiento determina si los controles están siendo

aplicados de manera que cumplen con las políticas y los procedimientos de
gestión. Por ejemplo, si al auditor de SI le preocupa si los controles de las
bibliotecas de programas de producción están funcionando correctamente,
el auditor de SI podría seleccionar una muestra de programas para
determinar si las versiones fuente y objeto son las mismas. El objetivo
amplio de cualquier prueba de cumplimiento es proveer a los auditores de SI
una certeza razonable de que un control en particular s obre el cual el auditor de SI planifica
poner su confianza está operando como el auditor de SI lo percibió en la
evaluación preliminar.

Es importante que el auditor de SI entienda el objetivo especifico de una

prueba de cumplimiento y del control que se está probando. Las pruebas de
cumplimiento pueden usarse para probar l a existencia y efectividad de un proceso
definido, el cual puede incluir una pista de evidencia documental y lo
automatizada, por ejemplo, para proveer la certeza de que só1o se realizan
modificaciones autorizadas a los programas de producción.

Una prueba sustantiva fundamenta la integridad de un procesamiento real.

Provee evidencia de la validez e integridad de los saldos en los estados
financieros y de las transacciones que respaldan dichos saldos. Los auditores
de SI podrían usar pruebas sustantivas para comprobar si hay errores
monetarios que afecten directamente a los saldos de los estados financieros
u otros datos relevantes de la organización. Adicionalmente, un auditor de
SI podría desarrollar
una prueba sustantiva para determinar si los registros del inventario de la
biblioteca de cintas son correctos. Pan realizar esta prueba, el auditor
de SI podría realizar un inventario completo o podría usar una muestra
estadística, que le permita llegar a una conclusión respecto de la exactitud de todo el inventario.

Existe una correlación directa entre el nivel de los controles internos y la

cantidad de pruebas sustantivas requeridas.
Si los resultados de las pruebas a los controles (pruebas de cumplimiento)
revelaran la presencia de controles internos adecuados, entonces el auditor
de SI tiene una justificación para minimizar los procedimientos sustantivos.
Por el contrario, si la prueba a los controles revelara debilidades en los controles
que podrían generar dudas sobre la completitud, exactitud o validez de las
cuentas, las pruebas sustantivas pueden responder esas dudas.

Algunos ejemplos de pruebas de cumplimiento de controles en las cuales

se podrían considerar las muestras incluyen derechos de acceso de
usuarios,procedimientos de control de cambio de programas,
procedimientos de documentación, documentación de programas,
excepciones de seguimiento, revisión de registros (logs), auditoría de licencia de software, etc.

Algunos ejemplos de pruebas sustantivas en las cuales se podrían

considerar las muestras incluyen el desempeño de un cálculo complejo (por
ejemplo, interés) en una muestra de cuentas o una muestra de
transacciones para garantizar una documentación de respaldo, etc.

El auditor de SI podría también decidir, durante la evaluación preliminar de

los controles, incluir algunas pruebas sustantivas
si los resultados de esta evaluación preliminar indican que los controles
implementados no son confiables o no existen.
La figura muestra la relación entre las pruebas de cumplimiento y las
pruebas sustantivas y describe las dos categorías de pruebas sustantivas.

Normas Internacionales de Auditoría *

Control Interno
 400. EVALUACIÓN DE RIESGO Y CONTROL INTERNO

Introducción

El propósito de esta Norma Internacional de Auditoría es establecer normas y

proporcionar lineamientos para obtener una comprensión de los sistemas de
contabilidad y de control interno sobre el riesgo de auditoría y sus componentes:
riesgo inherente, riesgo de control y riesgo de detección.

El auditor deberá obtener una comprensión de los sistemas de

contabilidad y de control interno suficiente para planear la auditoría y
desarrollar un enfoque de auditoría efectivo. El auditor deberá usar juicio
profesional para evaluar el riesgo de auditoría y diseñar los
procedimientos de auditoría para asegurar que el riesgo se reduce a un
nivel aceptablemente bajo.

Riesgo inherente

Al desarrollar el plan global de auditoría, el auditor debería evaluar el

riesgo inherente a nivel de estado financiero. Al desarrollar el programa
de auditoría, el auditor debería relacionar dicha evaluación a
aseveración de saldos de cuenta y clases de transacciones de importancia
relativa, o asumir que el riesgo inherente es alto para la aseveración.

Sistemas de contabilidad y de control interno

Los controles internos relacionados con el sistema de contabilidad están dirigidos a lograr
objetivos como:

 Las transacciones son ejecutadas de acuerdo con la autorización general o

específica de la administración.
 Todas las transacciones y otros eventos son prontamente registrados en el
monto correcto, en las cuentas apropiadas y en el período contable apropiado.
 El acceso a activos y registros es permitido sólo de acuerdo con la autorización
de la administración.
 Los activos registrados son comparados con los activos existentes a intervalos
razonables y se toma la acción apropiada respecto de cualquier diferencia.

Comprensión de los sistemas de contabilidad y control interno

Al obtener una comprensión de los sistemas de contabilidad y de control interno
para planear la auditoría, el auditor obtiene un conocimiento del diseño de los
sistemas de contabilidad y de control interno, y de su operación.

Sistema de contabilidad

El auditor debería obtener una comprensión del sistema de contabilidad

suficiente para identificar y entender:

(a) las principales clases de transacciones en las operaciones de la

entidad;
(b) cómo se inician dichas transacciones;
(c) registros contables importantes, documentos de soporte y cuentas en
los estados financieros; y
(d) el proceso contable y de informes financieros, desde el inicio de
transacciones importantes y otros eventos hasta su inclusión en los
estados financieros.

Ambiente de control

El auditor debería obtener una comprensión del ambiente de control

suficiente para evaluar las actitudes, conciencia y acciones de directores
y administración, respecto de los controles internos y su importancia en
la entidad.

Procedimientos de control

El auditor debería obtener una comprensión de los procedimientos de

control suficiente para desarrollar el plan de auditoría. Al obtener esta
comprensión el auditor consideraría el conocimiento sobre la presencia o ausencia
de procedimientos de control obtenido de la comprensión del ambiente de control
y del sistema de contabilidad para determinar si es necesaria alguna
comprensión adicional sobre los procedimientos de control.

Riesgo de Control

Evaluación preliminar del riesgo de control

La evaluación preliminar del riesgo de control es el proceso de evaluar la

efectividad de los sistemas de contabilidad y de control interno de una entidad
para prevenir o detectar y corregir representaciones erróneas de importancia
relativa. Siempre habrá algún riesgo de control a causa de las limitaciones
inherentes de cualquier sistema de contabilidad y de control interno.

Después de obtener una comprensión de los sistemas de contabilidad y

de control interno, el auditor debería hacer una evaluación preliminar del
riesgo de control, al nivel de aseveración, para cada saldo de cuenta o
clase de transacciones, de importancia relativa.

La evaluación preliminar del riesgo de control para una

aseveración del estado financiero debería ser alta a menos que el
auditor:

(a) pueda identificar controles internos relevantes a la aseveración que

sea probable que prevengan o detecten y corrijan una representación
errónea de importancia relativa; y

(b) planee desempeñar pruebas de control para soportar la evaluación.

Documentación de la comprensión y de la evaluación del riesgo de control
El auditor debería documentar en los papeles de trabajo de la auditoría:

(a) la comprensión obtenida de los sistemas de contabilidad y de control

interno de la entidad; y
(b) la evaluación del riesgo de control. Cuando el riesgo de control es
evaluado como menos que alto, el auditor debería documentar también la
para las conclusiones.

Pruebas de control

El auditor debería obtener evidencia de auditoría por medio de pruebas

de control para soportar cualquiera evaluación del riesgo de control que
sea menos que alto. Mientras mas baja la evaluación del riesgo de
control, más soporte debería obtener el auditor de que los sistemas de
contabilidad y de control interno están adecuadamente diseñados y
operando en forma efectiva.

Basado en los resultados de las pruebas de control, el auditor debería

evaluar si los controles internos están diseñados y operando según se
contempló en la evaluación preliminar de riesgo de control. La evaluación
de desviaciones puede dar como resultado que el auditor concluya que el nivel
evaluado de riesgo de control necesita ser revisado. En tales casos el auditor
modificaría la naturaleza, oportunidad y alcance de los procedimientos sustan
planeados.

Calidad y oportunidad de la evidencia de auditoría

Al determinar la evidencia de auditoría apropiada para soportar una conclusión

sobre riesgo de control, el auditor puede considerar la evidencia de auditoría
obtenida en auditorías previas. En un trabajo continuo, el auditor estará cons
ciente de los sistemas de contabilidad y de control interno a través del trabajo
llevado a cabo previamente pero necesitará actualizar el conocimiento adquirido y
considerar la necesidad de obtener evidencia de auditoría adicional de cualesquier
cambios en control. Antes de apoyarse en procedimientos aplicados en
auditorías previas, el auditor debería obtener evidencia de auditoría que
soporte esta confiabilidad. El auditor debería obtener evidencia sobre la
naturaleza, oportunidad y alcance de cualesquier cambios en los sistemas de
contabilidad y de control interno de la entidad, ya que dichos procedimientos
fueron aplicados y debería evaluar su impacto sobre la confianza que intenta
depositar en ellos. Mientras más tiempo haya transcurrido desde que se aplicaron
dichos procedimientos, disminuye el nivel de seguridad.

El auditor debería considerar si los controles internos estuvieron vigentes

a lo largo del periodo. Si se modificaron sustancialmente los controles en varias
ocasiones durante el periodo, el auditor debería considerar cada uno
separadamente. Una falla en los controles internos por una porción específica del
periodo requiere consideración por separado de la naturaleza, oportunidad y
alcance de los procedimientos de auditoría a ser aplicados a las transacciones y
otros eventos de ese periodo.

El auditor puede decidir desarrollar algunas pruebas de control durante una visita
interina antes del final del periodo. Sin embargo, el auditor no puede confiar en
los resultados de dichas pruebas sin considerar la necesidad de obtener evidencia
de auditoría adicional relacionada con el resto del periodo.

Evaluación final del riesgo de control

Antes de la conclusión de la auditoría, basado en los resultados de los

procedimientos sustantivos y de otra evidencia de auditoría obtenida por
el auditor, el auditor debería considerar si la evaluación del riesgo de
control fue adecuada.

Relación entre las evaluaciones de riesgos inherente y de control

La administración a menudo reacciona a situaciones de riesgo inherente

diseñando sistemas de contabilidad y de control interno para prevenir o detectar y
corregir representaciones erróneas y por lo tanto, en muchos casos, el riesgo
inherente y el riesgo de control están altamente interrelacionados. En estas
situaciones, si el auditor se decide a evaluar los riesgos inherente y de control por
separado, habría la posibilidad de una evaluación inapropiada del riesgo. Como
resultado, el riesgo de auditoría puede ser más apropiadamente deter
dichas situaciones haciendo una evaluación combinada.

Riesgo de detección

El nivel de riesgo de detección se relaciona directamente con los procedimientos

sustantivos del auditor. La evaluación del auditor del riesgo de control, junto con
la evaluación del riesgo inherente, influye en la naturaleza, oportunidad y alcance
de los procedimientos sustantivos que deben desarrollarse para reducir el riesgo
de detección, y por tanto el riesgo de auditoría, a un nivel aceptable
Algún riesgo de detección estaría siempre presente aún si un auditor examinara
100 por ciento del saldo de una cuenta o clase de transacciones porque, por
ejemplo, la mayor parte de la evidencia de auditoría es persuasiva y no
concluyente.

El auditor debería considerar los niveles evaluados de riesgos inherentes

y de control al determinar la naturaleza, oportunidad y alcance de los
procedimientos sustantivos requeridos para reducir el riesgo de auditoría
a un nivel aceptable. A este respecto, el auditor consideraría:

(a) la naturaleza de los procedimientos sustantivos, por ejemplo, usar pruebas

dirigidas hacia partes independientes fuera de la entidad y no pruebas dirigidas
hacia partes o documentación dentro de la entidad, o usar pruebas de detalles
para un objetivo particular de auditoría además de procedimientos analíticos;

(b) la oportunidad de procedimientos sustantivos, por ejemplo, desarrollándolos

al final del periodo y no en una fecha anterior; y

(c) el alcance de los procedimientos sustantivos, por ejemplo, usar un tamaño

mayor de muestra.

Los niveles evaluados de riesgos inherentes y de control no pueden ser suficien

temente bajos para eliminar la necesidad para el auditor de desarrollar algún
procedimiento sustantivo. Sin importar los niveles evaluados de riesgos
inherentes y de control, el auditor debería desarrollar algunos
procedimientos sustantivos para los saldos de las cuentas y clases de
transacciones importantes.

Mientras más alta sea la evaluación del riesgo inherente y de control,

más evidencia de auditoría debería obtener el auditor del desarrollo de
procedimientos sustantivos. Cuando tanto el riesgo inherente como el de
control son evaluados como altos, el auditor necesita considerar si los
procedimientos sustantivos pueden brindar suficiente evidencia apropiada de
auditoría para reducir el riesgo de detección, y por tanto el riesgo de auditoría, a
un nivel aceptablemente bajo. Cuando el auditor determina que el riesgo de
detección respecto de una aseveración de los estados financieros para el
saldo de una cuenta o clase de transacciones de importancia relativa,
no puede ser reducido a un nivel aceptablemente bajo, el auditor debería
expresar una opinión calificada o una abstención de opinión.

Comunicación de debilidades

Como resultado de obtener una comprensión de los sistemas de contabilidad y de

control interno y de las pruebas de control, el auditor puede detectar debilidades
en los sistemas. El auditor debería informar a la administración, tan pronto
sea factible y a un apropiado nivel de responsabilidad, sobre las
debilidades de importancia en el diseño u operación de los sistemas de
contabilidad y de control interno, que hayan llegado a la atención del
auditor. La comunicación a la administración de las debilidades de
importancia ordinariamente seria por escrito. Sin embargo, si el auditor
juzga que la comunicación oral es apropiada, dicha comunicación seria
documentada en los papeles de trabajo de la auditoría. Es importante indicar en
la comunicación que sólo han sido reportadas debilidades que han llegado a la
atención del auditor como un resultado de la auditoría y que el examen no ha sido
diseñado para determinar lo adecuado del control interno para fines de la
administración.