Guía de Auditoría

Fase 3: Evaluación del

Proceso de Compras
www.auditool.org
Contenido

1. Introducción ..................................................................................................... 3
2. Documentos relacionados con esta guía ......................................................... 3
3. Aseveraciones en el Proceso de Compras ...................................................... 3
4. Glosario y conceptos fundamentales ............................................................... 4
5. Metodología para la evaluación del proceso de Compras ................................ 8
5.1 Evaluación de Procesos que Administran Transacciones Significativas................ 9
5.1.1 Entendimiento del proceso.................................................................................. 11
5.1.2 Identificación de los riesgos del proceso ............................................................. 18
5.1.3 Identificación de los controles del proceso .......................................................... 21
5.1.4 Selección de los controles relevantes a los que se les realizarán las pruebas ..... 26
5.1.5 Evaluación de los controles ................................................................................ 26
5.2 Evaluación de Procesos que Administran Riesgos de Negocio y/o Fraude ......... 34
5.2.1 Entendimiento del proceso.................................................................................. 35
5.2.2 Identificación de los riesgos del proceso ............................................................. 36
5.2.3 Identificación y selección de controles relevantes a los que se les realizarán
pruebas 36
5.2.4 Evaluación de los controles ................................................................................ 36
5.2.5 Diseño de las pruebas de auditoría relativas a la efectividad de los controles ..... 37
5.3 Evaluación del Diseño y la Efectividad de los controles ...................................... 38
5.3.1 Control de segregación de funciones .................................................................. 38
5.3.2 Control de autorización ....................................................................................... 39
5.3.3 Control de conciliación ........................................................................................ 40
5.3.4 Control de indicadores claves de desempeño ..................................................... 43
5.3.5 Controles de un sistema de información ............................................................. 45
6. Papeles de trabajo ......................................................................................... 49
Anexos
Tabla de anexos

1. Plantilla para la evaluación de proceso clave

2. Matriz de riesgos y controles

3. Documento modelo diligenciado del análisis del proceso de compras de la entidad

ejemplo

4. Modelo de papel de trabajo para evaluar la eficacia operativa de un control

2
 1. INTRODUCCIÓN

El presente documento sirve de apoyo al equipo auditor para realizar evaluación de controles
del proceso de compras.

2. DOCUMENTOS RELACIONADOS CON ESTA GUÍA

Como complemento a la consulta por parte del auditor a esta guía, le recomendamos tener en
cuenta documentos relacionados, disponibles en el portal de AUDITOOL, entre ellos:

• Guía - Modelo Integrado de Auditoría de Información Financiera Auditool – MIAIFA

• Guía de Auditoría - Evaluación de los Procesos Clave

• Guía para Identificar Riesgos en el Proceso de Compras (Transacción Significativa)

• Guía para Identificar Riesgos en un Proceso de Compras que Administra Riesgos de

Negocio

• Matriz de Riesgos y Controles del Proceso de Compras desde la Perspectiva

Financiera

• NIA:

o Lista de verificación NIA 315. Identificación y valoración de los riesgos de

incorrección material mediante el conocimiento de la entidad y su entorno

o Lista de Verificación NIA 330. Respuestas del auditor a los riesgos valorados

o Listas de verificación NIA 500 y NIA 501. Evidencia de auditoría y Evidencia de

auditoría – consideraciones específicas para determinadas áreas.

3. ASEVERACIONES EN EL PROCESO DE COMPRAS

Las aseveraciones le ayudan al auditor a comprender los riesgos que se pueden materializar
partiendo de la base que las aseveraciones son las declaraciones que un tercero interesado
en una entidad esperaría encontrar en los estados financieros:

• Integridad: Todas las transacciones que afectan las cuentas relacionadas con el
proceso de Compras han sido registradas en los estados financieros.
• Existencia: Las cuentas relacionadas con el proceso Compras existen a una fecha
determinada.
• Exactitud: Todas las transacciones que afectan las cuentas relacionadas con el
proceso de Compras han sido registradas apropiadamente (fechas, conceptos,
cantidades, valores).
3
 • Presentación y revelación: Todas las transacciones que afectan las cuentas
relacionadas con el proceso de Compras han sido clasificadas en las cuentas
correspondientes y se han revelado los temas relevantes del proceso de Compras y
sus cuentas relacionadas, de acuerdo con las políticas contables y el marco legal
vigente.

Aseveraciones en las cuentas relacionadas de un Proceso de Compras

Cuentas Integridad Existencia Exactitud Presentación y

relacionadas revelación

Disponible (Pagos) X X X X
Inventarios X X X X
Cuentas por pagar X X X X
Impuestos X X X X
Gastos X X X X

4. GLOSARIO Y CONCEPTOS FUNDAMENTALES

A continuación, se presenta el glosario de algunos conceptos utilizados en esta guía:

Siglas y términos:

MIAIFA: Modelo Integrado de Auditoría de Información Financiera AUDITOOL

NIA: Normas Internacionales de Auditoría
TI: Tecnología de información

Definiciones:

• Alcance de los procedimientos de auditoría: Se refiere al tamaño de la muestra que

quedará cubierta con el procedimiento. El alcance de los procedimientos de auditoría,
que responda al riesgo evaluado, debe ser proporcional al nivel de riesgo, es decir, si
aumenta el riesgo de errores de importancia relativa, el alcance (cantidad de muestras
o controles sujetos a los procedimientos diseñados) debe aumentar.
• Control: Medida utilizada para mitigar el riesgo.
• Deficiencia de control: Se presenta cuando el diseño o implementación del control
relevante no es efectivo.
• Deficiencia significativa: En control interno es una deficiencia o una combinación de
deficiencias en el control interno que, a nuestro juicio profesional, tiene suficiente
importancia para requerir la atención de los encargados del gobierno corporativo de la
entidad.

4
• Enfoque de auditoría: La evaluación del auditor a los riesgos identificados al nivel de
aseveración proporciona una base para considerar el enfoque de auditoría eficaz para
diseñar y llevar a cabo procedimientos que respondan a los riesgos identificados. Por
ejemplo, el auditor puede determinar que los procedimientos sólo estarán basados en
la aplicación de pruebas de la efectividad de los controles o que sólo es adecuado llevar
a cabo procedimientos sustantivos o un enfoque combinado que usa pruebas de la
eficacia de los controles y procedimientos sustantivos.
• Enfoque de pruebas de controles: Cuando el auditor tenga la expectativa de que los
controles operan eficazmente y los procedimientos sustantivos por sí solos no ofrecen
evidencia de auditoría completa, el auditor deberá diseñar y realizar pruebas de
controles.
• Evento: Hecho generado en el interior de la entidad o fuera de ella, que afecta el logro
de sus objetivos y cuyo impacto puede ser positivo o negativo, siendo el primero una
oportunidad y el segundo un riesgo.
• Evidencia: Información obtenida por el auditor para sustentar las conclusiones de su
revisión.
• Impacto: Efecto o magnitud que tiene la ocurrencia de un evento. Término también
conocido como consecuencia o severidad.
• Matriz de riesgos y controles: Herramienta que permite evaluar el riesgo inherente y
residual de los procesos de una entidad. La función de la matriz es servir de elemento
de monitoreo para una adecuada administración de los riesgos que impactan los
objetivos organizacionales.
• Naturaleza de un procedimiento de auditoría: Este aspecto tiene que ver con su
propósito (es decir, la prueba de controles) y con su tipo. La naturaleza de los
procedimientos de auditoría es de suma importancia para responder a los riesgos
evaluados.
• Objetivo del auditor: De conformidad con la NIA 330, el objetivo del auditor es obtener
suficiente evidencia apropiada de auditoría en relación con los riesgos evaluados de
representación errónea de importancia relativa, mediante la planeación e
implementación de respuestas apropiadas a dichos riesgos.
• Oportunidad: Evento que puede coadyuvar en el logro de los objetivos de la entidad.
• Oportunidad de los procedimientos de auditoría: Se refiere al momento en el cual se
llevan a cabo los procedimientos de auditoría.
El auditor puede realizar pruebas de control o procedimientos sustantivos en una fecha
intermedia o al final del ejercicio. Mientras más alto es el riesgo de errores de importancia
relativa, más probable es que el auditor pueda decidir qué es más eficaz, si realizar
procedimientos sustantivos más cerca de, o al final del ejercicio, en lugar de una fecha
anticipada, o llevar a cabo procedimientos de auditoría sin anunciar o en momentos no
esperados. Por ejemplo: Llevar a cabo procedimientos de auditoría en localidades
seleccionadas sin previo aviso. Esto es de especial relevancia al considerar la respuesta
a los riesgos de fraude.

5
 Por otra parte, llevar a cabo procedimientos de auditoría antes del final del ejercicio
puede ayudar al auditor a identificar asuntos importantes en una etapa inicial de la
auditoría y, consecuentemente, resolverlos con ayuda de la administración o desarrollar
un enfoque eficaz de auditoría para atender a tales asuntos.

• Probabilidad de ocurrencia: Término que mide la posibilidad de que un evento se

presente en mayor o menor grado.
• Procedimiento sustantivo: Se refiere al procedimiento de auditoría diseñado para
detectar representaciones erróneas de importancia relativa a nivel de aseveración. Los
procedimientos sustantivos comprenden:
o Pruebas de detalles (de clases de transacciones, saldos de cuentas, y
revelaciones), y
o Procedimientos analíticos sustantivos.

• Prueba: Procedimiento que ejecuta el auditor para obtener la evidencia que fundamenta
su(s) conclusión(es).

• Pruebas a controles automatizados. En ciertos casos, podría resultar imposible para

el auditor diseñar procedimientos sustantivos eficaces que por sí mismos proporcionen
suficiente evidencia de auditoría adecuada al nivel de aseveración. Esto puede ocurrir
cuando una entidad procesa su información, usando Tecnologías de Información y
mantiene documentación solamente en ese medio. En este caso, es imprescindible que
el auditor efectúe pruebas al ambiente tecnológico, incluyendo pruebas de cambios a
programas y pruebas de acceso.

• Pruebas de controles: Son los procedimientos de auditoría diseñados para evaluar la

efectividad operativa de los controles para prevenir o detectar y corregir,
representaciones erróneas de importancia relativa a nivel de aseveración.

• Respuestas a riesgos identificados: El auditor puede identificar riesgos ya sea a

niveles globales o de aseveración. Los primeros están relacionados con los estados
financieros y los segundos, a errores de aseveración o a una cuenta en específico.
• Respuestas a riesgos identificados a nivel global: Cuando se identifica y determina
la existencia de riesgos a nivel global, el auditor debe diseñar procedimientos de
auditoría que respondan a estos. Asimismo, debe documentar el resultado del diseño y
las conclusiones de los procedimientos ejecutados. Algunos ejemplos de respuestas a
los riesgos globales son los siguientes:

o Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo

profesional, así como el hecho de incorporar elementos de impredecibilidad en
la selección de los procedimientos de auditoría que se vayan a realizar.
o Asignar personal con más experiencia o con habilidades especiales en la
industria, usar expertos, dar mayor supervisión, etcétera.

6
 o Si se determinan debilidades en el entorno de control, el auditor puede
responder de la siguiente manera: Realizar cambios generales en la naturaleza,
oportunidad y alcance de los procedimientos de auditoría; por ejemplo, se
pueden efectuar procedimientos al final del ejercicio y no en una fecha
intermedia, buscando evidencia de auditoría más amplia mediante
procedimientos sustantivos, incrementando el número de localidades que se han
de incluir en el alcance de la auditoría, etcétera.

Un entorno de control efectivo permite al auditor tener más confianza en el

control interno y en la confiabilidad de la evidencia de auditoría generada dentro
de la entidad y, con ello, realizar algunos procedimientos de auditoría en una
fecha intermedia más que al final del ejercicio.

• Respuestas a riesgos identificados a nivel de aseveración: A nivel de aseveración,

para cada clase de transacción, saldo de la cuenta y revelación, en el que se haya
determinado un riesgo significativo, el auditor debe diseñar y realizar procedimientos de
auditoría que respondan a los riesgos, considerando lo siguiente:
o El riesgo inherente
o El riesgo de control
o Que a mayor riesgo de error se debe obtener evidencia de auditoría más
persuasiva
o Diseñar y llevar a cabo procedimientos que respondan a los riesgos de auditoría
identificados y proporcionen un vínculo claro entre los procedimientos
adicionales de auditoría del auditor y la evaluación del riesgo.
• Riesgo inherente: Es la posibilidad de que ocurra un error por las características
particulares de la cuenta - clase y volumen de transacciones, complejidad y/o grado de
subjetividad para la determinación del saldo o revelación, etcétera -. Es definido como
el nivel de riesgo propio de la actividad, sin considerar mecanismos de mitigación y
control de la entidad. También se conoce como Riesgo Absoluto, Bruto o Puro.
• Riesgo de control: Es la posibilidad de que un control no funcione o no responda al
riesgo identificado. La evaluación del riesgo considera que el auditor confiará y obtendrá
evidencia de auditoría para determinar si los controles establecidos para las
transacciones operan eficazmente.
• Riesgo residual: Corresponde al riesgo remanente después de haber aplicado
actividades de control o mitigación a los riesgos inherentes. También se conoce como
Riesgo Neto.
• Riesgo significativo: Es la alta posibilidad de que ocurra un error de importancia
identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a
una aseveración, de manera significativa. Por tanto, en opinión del auditor, se requiere
de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos
específicos.

7
 5. METODOLOGÍA PARA LA EVALUACIÓN DEL PROCESO DE COMPRAS

GRÁFICO. EVALUACIÓN DE PROCESOS

A continuación, presentamos una metodología para evaluar el proceso de compras de la entidad

auditada.

En el trabajo realizado en la planeación de auditoría, hemos identificado:

Transacciones significativas y los procesos que las inician, procesan y registran

Riesgos de negocio que tienen implicaciones significativas en los estados financieros
Riesgos de fraude.

Para cada uno de estos tres puntos, el auditor debe entrar a evaluar los procesos que los
administra.

8
 5.1 Evaluación de Procesos que Administran Transacciones Significativas

Recordemos que las transacciones significativas en compras se refieren a los movimientos

contables reflejados en los estados financieros que surgen por intercambio de valor entre la
entidad y un tercero. Ejemplo:

Proceso que administra las Cuentas afectadas en los

transacciones significativas estados financieros

Inventarios, cuentas por pagar a

proveedores, disponible, anticipos a
Proceso de compras
proveedores, impuestos, gastos

GRÁFICO. MODELO DE GESTIÓN POR PROCESOS

Inicialmente, para un mejor entendimiento del proceso al cual le evaluaremos los controles,
obtenemos la clasificación y agrupación de los macro-procesos, procesos y subprocesos de
la entidad auditada; de allí extractamos el relacionado con el Proceso de Compras.

9
El siguiente es un modelo de la estructura del proceso de compras en nuestra entidad
ejemplo:

MACRO PROCESO SUBPROCESOS

PROCESO

1. Planeación de compras
2. Compras Generales

GESTIÓN DE 3. Licitaciones
BIENES Y COMPRAS 4. Gestión de Contratos
SERVICIOS
5. Gestión de Proveedores
6. Pagos

TABLA. ESTRUCTURA DE UN PROCESO DE COMPRAS

Actividades para el análisis del proceso de compras

GRÁFICO. ACTIVIDADES DEL ANÁLISIS DEL PROCESO DE COMPRAS

10
Para el logro de nuestro análisis del proceso, consideraremos el desarrollo de las siguientes
seis (6) actividades:

1. Entendimiento del proceso

2. Identificación de los riesgos asociados
3. Identificación de los controles del proceso
4. Selección de los controles relevantes a los que se les realizarán las pruebas
5. Evaluación de los controles
6. Diseño de las pruebas de auditoría relativas a la eficacia operativa de controles

5.1.1 Entendimiento del proceso

Es indispensable que el auditor entienda y documente las actividades que inician,

procesan y registran las transacciones significativas del proceso de compras.

El primer paso es entender el proceso desde el origen de la compra hasta su registro en los
estados financieros, y desde el inicio del pago hasta su registro en los estados financieros.
Para esto el auditor debe documentar de forma concreta y clara su entendimiento del
proceso.

Fuentes para documentar el proceso de compras

Las siguientes son algunas fuentes en las cuales el auditor puede encontrar información para
documentar el proceso de compras:

Organigramas que identifiquen los puestos y responsabilidades

Entrevistas con los dueños del proceso y sus subprocesos
Manuales de procedimientos
Políticas relacionadas con el proceso
Observación de las actividades del proceso
Inspección de información producida por el proceso
Informes de auditorías internas y/o externas (ayuda a que el auditor identifique
debilidades y riesgos del proceso)
Revisión de las cartas de recomendaciones del auditor del año anterior

11
La siguiente es una estructura sugerida para documentar el entendimiento del proceso de
compras.

Plantilla Análisis del Proceso de Compras

Objetivos del proceso
Factores Críticos de Éxito
Indicadores Claves de
Desempeño – KPI s
Entradas

Actividades

Salidas
Sistemas de información
Riesgos del proceso
Controles
GRÁFICO. PLANTILLA PARA DOCUMENTAR EL ANÁLISIS DEL PROCESO DE COMPRAS

Ver Anexo 1. Plantilla para la evaluación de proceso clave

Forma de documentar el proceso de compras

El proceso de compras de una entidad incluye todas aquellas actividades que se requieren
llevar a cabo para cambiar por efectivo, con los proveedores, sus productos o servicios.
Estas actividades incluyen, entre otras, determinar bienes y servicios requeridos por la
entidad, seleccionar proveedores, elaborar orden de compra, verificar bienes y servicios
adquiridos, evaluar proveedores, tramitar los pagos de los bienes adquiriros, atender y
resolver reclamos y/o sugerencias relacionadas con los productos comprados y el proceso en
sí.

Como punto de partida se deben identificar los objetivos del proceso, seguido de los factores
críticos de éxito identificando cuáles son los indicadores claves de desempeño. Recordemos
que todo proceso se alimenta de unos insumos o entradas, desarrolla unas actividades y
genera unas salidas. Ejemplos:

Entradas:
Plan anual de compras
Solicitudes de compras y/o servicios del cliente interno
Cotizaciones de los proveedores
Manual de contratación

12
Actividades: (Cada actividad se debe describir de forma resumida)

Determinar bienes y servicios requeridos

Seleccionar proveedores
Elaborar orden de compra
Ingresar las compras
Verificar los bienes y servicios adquiridos
Registrar los asientos de la compra en el libro mayor general
Tramitar los pagos de los bienes adquiriros
Ajustes por devoluciones de los productos comprados
Atender y resolver reclamos y/o sugerencias relacionadas con los productos
comprados y el proceso en sí.

Salidas:
Entrega de las compras al cliente interno o al proceso que lo requiera. Ej. Repuestos
y materia prima para el proceso de producción.
Evaluar proveedores. Evaluaciones y reevaluaciones del desempeño de los
proveedores críticos del área
Acciones correctivas y preventivas

Los asientos contables comunes, formas y documentos importantes del ciclo de

compras son aquellos que podrían considerarse como típicos de este ciclo. Sin embargo,
debe tomarse en cuenta que los presentados en este documento deberán servir tan sólo
como una guía general que oriente al auditor cuando lleve a cabo la revisión del control
interno, ya que la identificación y determinación de estas funciones, asientos contables
comunes, formas y documentos importantes, etc., se deberá efectuar para cada caso en
particular.

13
Las actividades del proceso se pueden documentar en FLUJOGRAMA. A continuación,
compartimos un ejemplo del proceso de compras:

GRÁFICO. FLUJOGRAMA DEL PROCESO DE COMPRAS DE LA COMPAÑÍA EJEMPL

14
Asientos contables comunes

Dentro del ciclo de compras podríamos distinguir los siguientes asientos contables comunes:

Inventarios
Cuentas por pagar a proveedores
Salidas de caja / bancos
Anticipos a proveedores
Impuestos
Gastos
Devoluciones sobre compras

Formas y documentos importantes

Ejemplos de formas y documentos importantes del ciclo de compras podrían ser:

Requisición
Cotizaciones
Cuadro comparativo de ofertas
Orden de compra
Documentos de importación
Contratos con proveedores
Factura del proveedor
Comprobante de egreso
Cheques
Formas especiales para llevar a cabo ajustes

Bases usuales de datos

Las bases usuales de datos están representadas por archivos, catálogos, listas, auxiliares,
etc., que contienen aquella información necesaria para poder procesar las transacciones
dentro del ciclo o bien información que se produce como resultado del proceso de las
transacciones. Estas bases de datos de acuerdo con el uso que se les da, se pueden
clasificar como sigue:

Bases de referencia. Representadas por información que se utiliza para el proceso de

las transacciones;
Bases dinámicas. Representadas por información resultante del proceso de las
transacciones y que como tal se está modificando constantemente.

15
Las bases usuales de datos para el ciclo de compras podrían ser las siguientes:

Bases de referencia Bases dinámicas

• Listas y/o archivos maestros de • Archivos de órdenes de clientes o

proveedores. procesos internos pendientes de surtir.
• Lista codificada de productos que • Libros auxiliares de cuentas por pagar.
conforman el inventario de la • Saldos de inventario
Compañía.

Enlaces con otros ciclos

Dentro del ciclo de compras podríamos distinguir los siguientes enlaces normales con
otros ciclos:

Salidas de caja / bancos que se enlazan con el ciclo de tesorería.

Transformación de productos que se enlazan con el ciclo de producción.

Objetivos de Control Interno del proceso de Compras

Para efectos del ciclo de compras identificamos veintitrés (23) objetivos específicos de
control interno, los cuales han sido clasificados en cuatro clases como sigue:

1. De autorización
2. De procesamiento y clasificación de transacciones
3. De verificación y evaluación
4. De salvaguarda física.

a) Objetivos de autorización

Los objetivos de autorización tratan sobre todos aquellos controles que deben
establecerse para asegurarse de que se están cumpliendo las políticas y criterios
establecidos por la administración y que estos son adecuados. Estos objetivos para el
ciclo de compras son:

1. Los proveedores deben autorizarse de acuerdo con políticas establecidas por la

administración.
2. Los precios de compra y las condiciones con el proveedor de las mercancías y
servicios deben analizarse y negociarse de acuerdo con las políticas de compras
establecidas por la entidad.

16
 3. Los contratos que se firmen con proveedores deben aprobarse previamente siguiendo
los niveles de autorización definidos en la entidad.
4. Los registros del costo de mercancías compradas, el ingreso a los inventarios, la
causación de las cuentas por pagar, los pagos a proveedores y los ajustes a las compras
deben autorizarse de acuerdo con políticas adecuadas establecidas por la
administración.
5. En general, los procedimientos del proceso del ciclo de compras deben estar de acuerdo
con políticas adecuadas establecidas por la administración.

b) Objetivos de procesamiento y clasificación de transacciones

Estos objetivos tratan sobre todos aquellos controles que deben establecerse para asegurar el
correcto reconocimiento, procesamiento, clasificación, registro e informe de las transacciones
ocurridas en una empresa, así como los ajustes a éstas. Estos objetivos para el ciclo de
compras son:

6. Solo deben realizarse compras que estén dentro del plan anual de compras y/o
siguiendo las políticas de compras y contrataciones establecidas en la entidad.
7. Debe obtenerse un número mínimo de cotizaciones, por ejemplo, tres, y comparar las
ofertas antes de aprobar las compras.
8. Cada compra debe ser revisada antes de ingresarla al inventario de la entidad.
9. Únicamente las compras efectivamente realizadas y recibidas pueden generar cuentas
por pagar a proveedores.
10. Debe controlarse el efectivo pagado al proveedor hasta que éste confirme el recibido
del pago a satisfacción.
11. Los costos de las mercancías y servicios adquiridos deben clasificarse, concentrarse e
informarse correcta y oportunamente.
12. La información del efectivo pagado al proveedor debe clasificarse, concentrarse e
informarse correcta y oportunamente.
13. Los ajustes a los inventarios y cuentas de proveedores deben clasificarse, concentrarse
e informarse correcta y oportunamente.
14. Las facturas de proveedores, pagos y liquidación de impuestos deben aplicarse con
exactitud a las cuentas apropiadas de cada proveedor.
15. En cada periodo contable deben prepararse asientos contables para compras,
importaciones, efectivo pagado y ajustes relativos.
16. Los asientos contables del ciclo de compras deben resumir y clasificar las transacciones
de acuerdo con las políticas establecidas por la gerencia.
17. La información para determinar bases de impuestos derivada de las actividades de
compras debe producirse correcta y oportunamente.

17
 c) Objetivos de verificación y evaluación

Estos objetivos tratan de todos aquellos controles relativos a la verificación y evaluación

periódica de los saldos que se informan, así como de la integridad de los sistemas de
procesamiento. Estos objetivos para el ciclo de compras son:

18. Debe existir verificación de la consistencia en la información de la orden de compra, el

ingreso de mercancías y la factura del proveedor antes del registro contable de la
compra.
19. Las facturas de proveedores deben recibirse y contabilizarse previa revisión de la
exactitud de su diligenciamiento y contenido.
20. Se debe verificar que el valor a pagar al proveedor corresponda a mercancía
efectivamente comprada a los precios previamente aprobados.
21. Deben verificarse y evaluarse en forma periódica los saldos de cuentas por pagar y las
transacciones relativas.

d) Objetivos de salvaguarda física

Estos objetivos tratan de aquellos controles relativos al acceso a los activos, registros, formas
importantes, lugares de proceso y procedimientos de proceso. Estos objetivos para el ciclo de
compras son:

22. El acceso a las mercancías compradas debe permitirse únicamente de acuerdo con
controles adecuados establecidos por la gerencia.
23. El acceso a los registros de importaciones en tránsito, compras, cuentas por pagar a
proveedores, inventarios, pagos, así como a las formas importantes, lugares y
procedimientos de proceso debe permitirse únicamente de acuerdo con políticas
adecuadas establecidas por la gerencia.

5.1.2 Identificación de los riesgos del proceso

Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que
los mitigan. En la identificación de riesgos es importante que considere los factores que
pueden incrementar esos eventos, tales como: la calidad del personal, experiencias pasadas
en la obtención de objetivos, complejidad de una actividad y distribución geográfica de las
actividades, entre otras.

Factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de

los procesos. Ejemplos:

La vinculación de personal no competitivo frente a los retos de la organización, así como

la falta de efectividad de métodos de entrenamiento y motivación que puedan influir en
el nivel de conciencia del auto-control en la entidad.

18
 Fallas en el procesamiento de los sistemas de información, que afectan las operaciones
de la entidad
Cambios en las responsabilidades asignadas de la administración, que afecten la
ejecución de algunos controles
Indebida aplicación de las políticas de la organización.

Riesgos del proceso. Ejemplo:

Transacción significativa:
Proceso de compras, cuentas por pagar
Riesgos:
Creación de proveedores ficticios
Realizar compras y pagos a proveedores ficticios
Compras a proveedores con precios más altos del mercado
No pago a los proveedores y no cumplimiento de créditos otorgados a la Compañía.

Con base en el entendimiento del proceso se identifican los riesgos que amenacen la
integridad, existencia, exactitud, presentación y revelación de las cifras. Antes de empezar a
revisar cada actividad debemos concluir si el proceso cuenta con una adecuada segregación
de funciones. Recordemos que la función de la segregación de funciones es la de asegurar
que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde
su autorización, pasando por la custodia de activos y el mantenimiento de los registros
maestros necesarios. Lo anterior, debido a que en los casos en donde no existe una
adecuada segregación de funciones es probable que los controles implementados no sean
confiables. Ejemplo:

La persona que custodia el inventario puede realizar ajustes a este dando de baja inventario
que es utilizado para beneficio personal (robo). Al darlo de baja lo puede retirar como
inventario dañado que es llevado al gasto y al momento de realizar el inventario físico
(control) no se va a detectar un faltante.

Si en la evaluación de la segregación de funciones concluimos que no confiamos en esta, el

auditor puede tomar la decisión de tomar un enfoque sustantivo, por lo tanto, no realizará
pruebas a los controles. Si estamos tranquilos con la segregación de funciones podemos
pasar al siguiente paso que es dividir el proceso de compras en actividades en donde se
pueden generar los riesgos.

19
Actividades (retomamos las actividades señaladas anteriormente):

Determinar bienes y servicios requeridos

Seleccionar proveedores
Elaborar orden de compra
Ingreso de las compras al inventario
Verificar bienes y servicios adquiridos
Registrar los asientos de la compra en el libro mayor general
Tramitar los pagos de los bienes adquiriros
Ajustes por devoluciones de los productos comprados
Atender y resolver reclamos y/o sugerencias relacionadas con los productos
comprados y el proceso en sí.

En cada una de estas actividades procedemos a identificar riesgos y controles que los
mitiguen.

La forma más fácil de identificar si se trata de un control es verificar si lo que se está

evaluando corresponde a revisión, verificación, aseguramiento a través de sistemas,
reconciliación, contraseñas, reportes de error, mapeo de cuentas, etc.

En la página AUDITOOL se tiene a disposición del auditor una herramienta que le ayuda a
identificar los riesgos inherentes de un proceso general de compras, el cual considera las
actividades de planeación de compras, evaluación y selección de proveedores o contratistas,
gestión de contratos, procesos de cuentas por pagar y pagos. No obstante, cabe señalar que
para el análisis del proceso de compras se deben identificar los riesgos particulares de la
entidad sujeta a auditoría. Esta herramienta está en la ruta:

AUDITOOL \ Control Interno \ Biblioteca de Riesgos \ riesgos inherentes de un proceso

general de compras

De otra parte, se puede consultar la guía AUDITOOL, denominada Guía para identificar
riesgos en el proceso de compras1, la cual muestra la relación de las aseveraciones con
los riesgos de este proceso. Este documento se encuentra en la ruta:

AUDITOOL \ Auditoría externa \ Controles \ Guía para Identificar Riesgos en el Proceso de

Compras (Transacción Significativa)

1
Lista de verificación NIA 315. Identificación y valoración de los riesgos de incorrección material mediante el
conocimiento de la entidad y su entorn

20
 5.1.3 Identificación de los controles del proceso

Clasificaciones de los controles. Para esta actividad, es importante conocer los controles teniendo
en cuenta sus diferentes clasificaciones.

Según la forma de operación, los controles se clasifican en tres tipos:

1. Automático: Es realizado de principio a fin por un sistema de información.

2. Semiautomático: Es ejecutado de manera parcial por una persona, pero con la
colaboración de un sistema de información.
3. Manual: Lo ejerce en su totalidad una persona, sin la colaboración de un sistema de
información.

Según el momento en que se ejecutan, los controles pueden ser preventivos, detectivos o
correctivos:

Tipo de control Ejemplos en proceso de compras

1. Control Preventivo: Su
objetivo es anticiparse a los
eventos no deseados,
actuando sobre las causas
del riesgo, así como evitando
la generación de errores o
eventos fraudulentos.
• Manual de compras y contrataciones
• Evaluación de proveedores
• Segregación de funciones
• Niveles de autorización dentro del proceso de
compras
• Plan Anual de Compras
• Exigencia de por lo menos tres (3) cotizaciones
• Comité de compras
• Exigir la autorización según el caso, de
asamblea, junta directiva o gerencia para la
compra de propiedad planta o equipo.

2. Control Detectivo: Identifica

todos aquellos eventos en el • Informes mensuales sobre estadísticas en
momento en que ocurren, así compras
como advierte sobre la • Análisis de saldos de cuentas por pagar por
presencia de riesgos. proveedor, valor y antigüedad del saldo.
• Seguimiento continuo por parte de directivos, al
cumplimiento de las normas éticas del personal
que conforman el departamento de compras.
• Información oportuna a directivos interesados,
de las diferentes variaciones entre el
presupuesto y el precio real del artículo o servicio
21
 Tipo de control Ejemplos en proceso de compras
solicitado.

• Exigirse por parte del departamento de compras

la información oportuna de máximos y mínimos
de existencias de materia prima y demás
elementos necesarios al proceso productivo y
administrativo de la compañía.
• El departamento de compras debe exigir que los
documentos enviados por los proveedores,
llenen los requisitos de orden interno y legal.
• Registro control de pedidos, llegada de
mercancía, pedidos pendientes y servicios
cumplidos.
• Debe hacerse evaluación y auto evaluación de la
gestión de compras. Con este control se busca
obtener los respectivos índices de gestión.

3. Control Correctivo: Se
orienta a la implementación • Aplicar las sugerencias y recomendaciones que
de las acciones correctivas el departamento de auditoría o revisoría fiscal ha
una vez se ha identificado un hecho para el mejoramiento del proceso y
evento no deseado. Su gestión de las compras.
implementación se realiza • Reevaluación de proveedores
cuando los controles
preventivos y detectivos no
han funcionado, lo cual
representa que su
implementación sea más
costosa, pues actúan
cuando ya se han
materializado eventos de
pérdida para la organización.

22
Los siguientes son los tipos de controles más comunes:

Categoría de Tipo de Descripción Ejemplos en proceso de

control control compras
La aprobación de • Aprobación
transacciones manual
ejecutadas de designada
acuerdo con las • Límites de autorización
Autorización Manual
políticas y los • Documentación soporte
procedimientos
generales o
específicos de la
gerencia.
• Revisar todas las
Revisar reportes del ediciones hechas
Reportes de
sistema para por empleados a
Excepción /
monitorear errores o archivos maestros.
Edición Manual
entradas y • Revisar compras
seguimiento a su que excedan el
resolución. presupuesto.

Análisis de • Análisis de
Indicadores
interrelaciones, Presupuesto de
Clave de
Manual tendencias, y compras vs. real
Desempeño
revisión de • Reportes Gerenciales
desempeño de • Métricas y análisis
indicadores de tendencias de
compras.
Involucramiento de • Revisión por un
Revisión la gerencia en segundo empleado o
Gerencial Manual revisión de gerente
transacciones y • Inclusión en la
supervisión de información a la
staff. Junta.
Comparación de • Reconciliación de
diferentes grupos de compras.
Reconciliación Manual datos, destacar
diferencias y su
correspondiente
seguimiento.

23
 Categoría de Tipo de Descripción Ejemplos en proceso de
control control compras
Separación de • El procesador del
funciones y ingreso de las
responsabilidades mercancías al
para registro de inventario es
Segregación
transacciones, diferente al
de Funciones Manual
autorización de procesador que
transacciones, y registra la factura
mantenimiento de del proveedor.
custodia.

Grupo de “Switches” • Grupos de Autorización

para asegurar los • Facturas registradas
datos contra en el libro mayor solo
procesamiento si corresponden a un
Configuración
inadecuado. proveedor creado
y Mapeo de Automático “Switches” previamente en la
Cuentas.
relacionados co n base de datos.
direccionamiento de
transacciones al
libro mayor.

Transferencia de • Auxiliares a Libro Mayor

Interface Automático
datos de una • Compras a Libro Mayor
base de datos a
otra.
Derechos de • El acceso al módulo
acceso otorgados a de SCM - Gestión de
Acceso al un usuario la Cadena de
Sistema individual dentro de Suministro está
Automático
un ambiente de limitado a empleados
procesamiento de de compras.
TI.

A continuación, mostramos un ejemplo de cómo podemos identificar riesgos y controles de

una forma sencilla mediante la utilización una matriz de riesgos y controles. Los ejemplos
aquí enunciados no pretenden abarcar todas las situaciones, simplemente queremos que
sirvan de guía para facilitar la identificación de riegos y controles por parte del auditor. En la
sección Herramientas / Buenas Prácticas, se encuentran listas de chequeo que le pueden
ayudar a identificar oportunidades de mejora en los procesos de la entidad auditada.

24
CONTROLES. Algunos controles del proceso de compras son:

Control 1. Segregación de funciones u obligaciones según la según la estructura para

la administración, supervisión, revisión y autorización de compras y cuentas por pagar.
Control 2. Proceso de selección y evaluación periódica de los proveedores vinculados.
Control 3. La vinculación de los proveedores se formaliza por medio de contrato y/o
similar permitiendo validar los precios, condiciones de pago, devoluciones y demás
aspectos pactados.
Control 4. La vinculación de proveedores evalúa la documentación soporte que
certifica el tipo de contribuyente de impuestos, para parametrizar las deducciones que
corresponden según su naturaleza en el sistema.
Control 5. Todos los proveedores son creados por el administrador del Maestro de
Proveedores, previa aprobación de la selección y según la documentación soporte.
Control 6. El archivo plano para la realización de los pagos es encriptado y el mismo
no permite hacer modificaciones.

Matriz de riesgos y controles:

PROCESO DE COMPRAS
Riesgos Controles
1 2 3 4 5 6
Un mismo funcionario realiza la creación de los proveedores,
X
elabora la factura y ejecuta los pagos

Vinculación de proveedores que no cumplen con los

X
requerimientos legales para la prestación de los servicios

Se vinculan proveedores no registrados y evaluados X X X

Sanciones económicas por deducciones que no corresponden

X
con la naturaleza tributaria del proveedor.
Fraude electrónico durante la realización de los pagos a X
proveedores.

Ver la estructura de Matriz de riesgos y controles en el Anexo 2 de esta guía.

Adicionalmente, para documentar su trabajo de análisis de riesgos y controles, puede
obtener la plantilla MS-Excel en la página de AUDITOOL. Este formato se encuentra en la
ruta: AUDITOOL \ Auditoría externa \ Controles \ Matriz de Riesgos y Controles del Proceso
de Compras desde la Perspectiva Financiera

25
 5.1.4 Selección de los controles relevantes a los que se les realizarán las
pruebas

Para el desarrollo de las pruebas a los controles se deberán identificar los controles
relevantes. Esta selección se deberá hacer teniendo en cuenta que el conjunto de los
controles seleccionados permita prevenir, detectar o corregir un error, de acuerdo con el
objetivo tanto del proceso, como de la auditoría aplicada. Teniendo en cuenta que las
compañías normalmente cuentan con un gran número de controles, nosotros procedemos a
seleccionar los controles que consideramos tienen las siguientes características:

Los más eficientes de probar

Los que mitigan más número de riesgos
Los que cubren un mayor número de aseveraciones
Si se trata de un cliente recurrente se debe tener en cuenta la evaluación de los años
anteriores.

5.1.5 Evaluación de los controles

Durante el proceso de la auditoría de estados financieros, el auditor debe evaluar y diseñar los
procedimientos que den respuesta a los riesgos significativos identificados de errores en su
auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una
aseveración en específico.

Para el diseño y ejecución de las pruebas de control, el auditor debe indagar respecto a:

Cómo se aplicaron los controles

Frecuencia con que se aplican
Quién o por cuál medio (manual o sistematizado) fueron aplicados.

Por sí solas, las indagaciones no son suficientes para probar la eficacia operativa de los
controles. En consecuencia, se realizan otros procedimientos de auditoría en combinación con
las indagaciones. La indagación combinada con la inspección, la repetición del cálculo o la
repetición, pueden producir una mayor certeza que la indagación y la observación, porque la
observación es pertinente únicamente en el momento en que se realiza.

La evaluación de los controles consta de tres pasos:

1. Evaluación del diseño de los controles relevantes

2. Evaluación de la implementación de los controles relevantes
3. Evaluación de la efectividad de los controles relevantes.

26
Al momento de evaluar el diseño e implementación de los controles, primero debemos
considerar el diseño del control y si este ha sido diseñado de manera efectiva, luego
evaluamos también si se implementó de manera efectiva para prevenir, o detectar y corregir,
errores materiales.2

La implementación de un control quiere decir que este existe y que la entidad lo está
usando. No tiene ningún sentido evaluar la implementación de un control que no es efectivo,
por lo que primero se considera su diseño. Un control mal diseñado puede representar una
deficiencia considerable en el control interno.

Los procedimientos de evaluación de riesgos para obtener evidencia de auditoría sobre el

diseño y la implementación de controles relevantes deben incluir:

• Las indagaciones con el personal de la entidad (pero recordemos que las indagaciones
por sí solas no son suficientes para evaluar el diseño y la implementación de los
controles relevantes).
• Observar la aplicación de controles específicos, inspeccionar documentos e informes,
y
• Rastrear, a través del sistema de información, las transacciones que sean relevantes
a la emisión de información financiera.

Pruebas de recorrido. Podemos hacer pruebas de recorrido como parte de obtener un

entendimiento del sistema de información relevante a la emisión de información financiera
para identificar y entender mejor lo que podría fallar en el proceso e identificar los controles
relevantes que la gerencia haya implementado para cubrir lo que podría fallar. Con esto se
puede obtener información suficiente para poder evaluar el diseño e implementación de los
controles relevantes sin tener que hacer procedimientos adicionales. Si hemos hecho una
prueba de recorrido que incluye una combinación de indagación, observación o inspección,
esto generalmente es suficiente para evaluar el diseño e implementación de controles.

Cuando estemos evaluando el diseño e implementación de un control, podemos considerar:

• El objetivo del control

• Cómo se hace y documenta, incluyendo la naturaleza y el tamaño de los errores
potenciales cubiertos y las consideraciones sobre computación para el usuario final
• La naturaleza del control
• Si el control cubre un riesgo de fraude con qué frecuencia se aplica
• El conocimiento, la experiencia y las habilidades de la persona que lo ejecuta,
estableciendo si se trata de un control manual o de un control manual con un
componente automatizado
• La aplicación de TI relacionada, de haberla

2 De acuerdo con la NIA 315, la evaluación del diseño de un control requiere considerar si el control, ya sea individualmente
o en combinación con otros, es capaz de prevenir, o detectar y corregir, errores materiales con efectividad.
27
 • Si el control depende de información producida por la entidad
• Si el control cubre las consideraciones del usuario para una organización de servicios
el nivel de juicio requerido
• Si la entidad consideró debidamente los factores internos y externos que pueden afectar
el diseño del control.

Cuando evaluamos el diseño e implementación de controles, podemos concentrarnos en

combinaciones de controles, además de controles específicos aislados, para determinar si se
han alcanzado los objetivos del control. También podemos considerar la evidencia de
auditoría obtenida de nuestra experiencia anterior con la entidad.3

Cuando la gerencia no haya documentado el control, podremos considerar el impacto que

esto tenga sobre nuestra evaluación del diseño e implementación del control.

Cuando ocurre un fallo en el diseño o implementación de un control durante una parte

específica del periodo que se está auditando, el impacto sobre la naturaleza, oportunidad y
alcance de los procedimientos de auditoría se puede considerar por separado.

Una deficiencia de control existe cuando el diseño o implementación del control relevante
no es efectivo. En este caso no podemos hacer pruebas de la eficacia operativa de esos
controles.4

Una entidad más pequeña y menos compleja podría alcanzar sus objetivos de control
relevantes a nuestra evaluación de los riesgos de error material de una manera diferente a la
utilizada por una organización más grande y más compleja.

Además, aunque algunos procedimientos de evaluación de riesgos tal vez no hayan sido
diseñados específicamente como pruebas de controles, estos pueden proporcionar evidencia
de auditoría sobre la eficacia operativa de los controles y, por consiguiente, servir como
pruebas de controles.

3 La NIA 330 señala que la prueba de controles es un procedimiento de auditoría diseñado para evaluar la eficacia operativa de los controles para
prevenir o detectar y corregir los errores materiales a nivel de aseveraciones, y que probar la eficacia operativa de los controles es diferente a obtener
un entendimiento y evaluar el diseño e implementación de los controles. No obstante, se emplean los mismos procedimientos. Por tanto, podremos
decidir que sea eficiente probar la eficacia operativa de los controles al mismo tiempo que evaluamos su diseño y determinamos que han sido
implementados.
4 De acuerdo con la NIA 500, las pruebas de controles se diseñan para evaluar la eficacia operativa de los controles para prevenir, o detectar y
corregir, errores materiales a nivel de aseveraciones. El diseño de las pruebas de controles para obtener evidencia de auditoría relevante incluye
identificar condiciones (características o atributos) que indican el desempeño de un control, y condiciones de desviación que indican que se apartan
de un desempeño adecuado. Después nosotros podemos probar la presencia o ausencia de esas condicione

28
 Ejemplo del proceso de compras:

Nuestros procedimientos para la evaluación de riesgos pueden haber incluido:

• Hacer indagaciones sobre el uso del plan anual de compras, por la gerencia,
• Observar la comparación que hace la gerencia de los gastos mensuales de
administración con los reales,
• Inspeccionar informes sobre la investigación de variaciones entre los montos
presupuestados de compras y compras reales.

Estos procedimientos de auditoría brindan conocimiento sobre el diseño de las políticas

presupuestarias de la entidad y si han sido implementadas, pero también pueden
proporcionar evidencia de auditoría sobre la efectividad de la operación de las políticas
presupuestarias en la prevención o detección y corrección de errores materiales en la
clasificación de los gastos de administración.

Las pruebas de recorrido que incluyen una combinación de indagación, observación,

inspección y repetición de los controles pueden ser suficientes para probar la eficacia
operativa de los controles, dependiendo de la combinación de procedimientos realizados, el
riesgo de fallo del control, la naturaleza, la oportunidad y el alcance de las pruebas de la
eficacia operativa y los resultados de esos procedimientos.

La NIA 315 señala que obtener un entendimiento de los controles de una entidad no basta
para probar su eficacia operativa, a menos que exista alguna automatización que contemple
la operación uniforme de los controles. Por ejemplo, la obtención de evidencia de auditoría
sobre la implementación de un control manual en determinado momento no proporciona
evidencia de auditoría sobre la eficacia operativa del control en otros momentos durante el
periodo que se está auditando. Sin embargo, en el caso de un control automatizado, debido a
la uniformidad inherente del procesamiento de TI, la realización de procedimientos de
auditoría para determinar si se ha implementado un control automatizado puede servir como
una prueba de la eficacia operativa, dependiendo de nuestra evaluación y pruebas de
controles como las que hay sobre los cambios de programas.
Cuando evaluamos el diseño y la implementación de los controles de una entidad, debemos
tener en cuenta la adecuada segregación de funciones que deben existir en estos, para
garantizar transparencia en la ejecución de los controles. Adicionalmente cuando se
presenten diseños e implementación inefectivos en los controles, debemos buscar controles
alternos que puedan cubrir los objetivos de control dejados de probar con los resultados
negativos.

29
Con base en lo anterior, separando los tres tipos de pruebas sobre los controles relevantes,
tenemos lo siguiente:

Evaluación del diseño de los controles

Para los controles seleccionados, se debe obtener evidencia válida y suficiente que le
permita al auditor evaluar si éstos están debidamente diseñados para prevenir, detectar y
corregir un error e irregularidad significativos en los estados financieros.

Los procedimientos que efectuamos en esta evaluación se basan en la revisión de

documentos (Manuales de procedimientos, políticas, organigramas, documentos que entran
y salen del proceso, entre otros), indagaciones con los dueños y clientes del proceso de
compras y la experiencia de años anteriores.

Documentamos y evaluamos los siguientes aspectos con el propósito de concluir sobre el

adecuado diseño:

La forma como está estructurado el control

La competencia, es decir, la experiencia de la persona que lo desempeña (si es un
control manual)
Enfoque del control (prevención, detección o corrección)

Si su aplicación requiere un componente de sistemas

Riesgos que contribuye a mitigar.

Esta documentación se hace para verificar si el esquema del control establecido dentro del
proceso es realmente efectivo para prevenir, detectar o corregir un error relevante en el
desarrollo del proceso.

Los resultados de estas pruebas de diseño se utilizan como una evaluación preliminar del
riesgo de que ocurran errores e irregularidades significativas, con relación a los objetivos de
la auditoría relacionados.

Si el auditor determina que el control no está adecuadamente diseñado deberá emitir la respectiva
recomendación y proceder a identificar otro control para verificar su diseño.

Evaluación de la implementación de los controles

La evaluación de la implementación hace referencia a verificar que los controles que fueron
identificados durante el entendimiento del proceso realmente existen. Para esta primera
evaluación normalmente se toma una transacción y se verifica desde su inicio hasta su
registro en los estados financieros.

30
Evaluación de la eficacia operativa de controles

Hemos mencionado que a las pruebas de controles se les conoce también como pruebas
de eficacia operativa de los controles y estas se llevan a cabo como parte de la respuesta
a los riesgos de error material identificados durante la evaluación del riesgo.

La evaluación de la eficacia es la verificación que realiza el auditor al funcionamiento del

control.

Probamos la eficacia operativa mediante una muestra determinada con base en la frecuencia
del control y la calificación del riesgo inherente e igualmente concluimos sobre la misma.

El objetivo de aplicar la prueba de operación de los controles es comprobar cómo se

aplicaron los controles, el grado de consistencia con que se aplicaron durante el período y
quiénes lo aplicaron.

Para demostrar la eficacia operativa se considera:

Las técnicas que se usan para obtener evidencia de auditoría

La naturaleza de las pruebas

El alcance de las pruebas

El momento oportuno de las pruebas, es decir evidencia de que se efectuó regular y

debidamente durante todo el año.

Técnicas para verificar la eficacia operativa de los controles

Se utilizan diferentes técnicas, que permiten verificar, en el desarrollo de la auditoría, la

eficacia de la operación de los controles que son:

1. Observación: Se observa el desempeño del control. Ejemplo: Observar el conteo

del inventario físico.
2. Indagación: Se les solicita a varias personas informadas y competentes, que nos
proporcionen información acerca del funcionamiento del control.

3. Inspección: Se analizan los registros o documentos que soporten el

funcionamiento del control. Por ejemplo, se inspecciona la conciliación del libro
mayor con el sub-libro de cuentas por pagar, con respecto a evidencia de un
desempeño eficaz.
4. Repetición: Se puede repetir el funcionamiento de un control para determinar que
se desempeña correctamente. Por ejemplo, se puede repetir el análisis de un
proveedor antes de su ingreso a la base de datos.

31
 5. Evaluación de conocimientos: El auditor combina técnicas de indagación,
inspección y repetición que le permitan comprobar los conocimientos de los
individuos sobre un tema o su competencia para el desempeño de un control.
6. Indagación corroborativa: El auditor corrobora el desempeño de un control por
medio de confirmación con otros miembros de la organización, es decir, se confirma
la validez y consistencia de la aplicación del control, como una prueba de eficacia
operativa.
7. Indagación del Sistema: El auditor prueba que los controles automatizados dentro
de una aplicación de Tecnología de la Información funcionan según lo esperado.
Dentro de estos ejemplos tenemos:
• Que el sistema logre identificar correctamente una excepción predefinida, en
donde la excepción puede estar relacionada con los principios de integridad
y/o exactitud de un insumo y procesamiento y producto de la aplicación.
• Que la configuración de acceso dentro de la aplicación se encuentre
estructurada de tal forma que distribuya las obligaciones a los usuarios, así
como la autorización de transacciones, según el perfil asignado a cada usuario.

En todos los casos, es importante mencionar que las pruebas de diseño, y eficacia operativa
deben ser realizadas en orden. Por ejemplo, si se concluye que un control no está
adecuadamente diseñado, no se deben hacer las pruebas de eficacia y si está bien diseñado
pero la implementación no es adecuada, no se debe hacer la prueba de eficacia operativa.

Las debilidades detectadas en la evaluación del diseño y la efectividad de los controles las
debemos informar a la gerencia.

Ejemplo:

Un control de conciliación entre el libro mayor y el sub-libro de cuentas por pagar puede
estar bien diseñado, pero no es ejecutado de forma oportuna, por tanto, no es eficaz.

Cuando se detectan desviaciones de los controles sobre los cuales el auditor piensa confiar,
deberá hacer indagaciones específicas para entender las causas y sus posibles
consecuencias, para determinar:

• Si las pruebas de controles realizadas ofrecen una base adecuada para confiar en los
controles

• Si se requieren pruebas de controles adicionales

• Los posibles riesgos de errores de importancia relativa que deben ser tratados mediante
procedimientos sustantivos.

Las desviaciones en los controles prescritos pueden ser causadas por factores como
cambios en el personal clave, fluctuaciones estacionales importantes en el volumen de
32
transacciones y error humano.

La tasa de desviación detectada, especialmente en comparación con la tasa esperada,

podría indicar que no se puede confiar en el control para reducir el riesgo a nivel de
aseveración al nivel evaluado por el auditor.

Verificación de la implementación

Antes de iniciar la evaluación de los controles seleccionados, debemos verificar que el

proceso funciona de acuerdo con lo documentado por el auditor, teniendo presente de
verificar que todos los controles con los que cuenta el proceso realmente existen. Para esto
tomamos una transacción y efectuamos el recorrido desde su inicio hasta su registro en los
estados financieros, verificando la existencia de los controles. En este paso únicamente
inspeccionamos la existencia de los controles.

Ejemplo:

Para el proceso de compras y cuentas por pagar, tomamos una orden de compra y
verificamos todo el proceso desde la requisición del área que genera la necesidad de
adquisición hasta su registro en el libro mayor y posteriormente desde el recibo de la
factura del proveedor hasta su registro en el libro mayor, observando la existencia de
los controles de autorización, revisión, conciliación, segregación de funciones, etc.

Documentación:

El auditor debe dejar evidencia de la existencia de cada control, documentando en qué

soportes verificó la existencia del control.

Ejemplo:

“Se verificó la autorización de la Orden de Compra número 4321 del 20 de noviembre de

2018”.

Finalizado esto procedemos a realizar las actualizaciones respectivas. Ejemplo:

“Identificamos que ciertos controles no se están ejecutando entonces los eliminamos de

nuestra documentación”

y emitimos una carta de recomendaciones si lo consideramos necesario.

33
 a. Evaluación de Procesos que Administran Riesgos de Negocio y/o
Fraude
Los riesgos de negocio son aquellos riesgos que pueden llegar a impedir que la entidad
cumpla con sus objetivos y se generan en tres ambientes:

1. Ambiente externo de la organización

2. Ambiente de la industria de la organización
3. Ambiente interno de la organización.

Los riesgos identificados se califican según su probabilidad de ocurrencia y su impacto en los estados
financieros y se deben seleccionar los riesgos significativos.

Para cada uno de los riesgos significativos se debe identificar la respuesta que tiene la
administración de la compañía para mitigarlos. Las acciones que puede tomar la compañía
para mitigar los riesgos pueden ser:

Acciones de mitigación del riesgo

Acción Situación o ejemplo
1. Aceptar el Asume el impacto Es una acción válida en caso de riesgos
riesgo de bajo impacto o de muy baja
probabilidad de ocurrencia. La entidad
puede consumir tiempo y recursos en
preparar una estrategia para tratar de
forma diferente estos riesgos, pero
estas acciones tendrían un algo costo,
razón por la cual, lo mejor es no hacer
nada con respecto a ellos.
2. Intentar reducir Implementa El incumplimiento en los compromisos
el riesgo controles fiscales y tributarios que tiene la entidad
le puede acarrear serias sanciones
penales y pecuniarias que causarán un
gran impacto en sus finanzas, por tanto,
empieza a trabajar en sus declaraciones

34
 Acciones de mitigación del riesgo
Acción Situación o ejemplo
fiscales, una vez ha terminado el año.
3. Transferir el Reconoce que es un Contrata una póliza de seguros con una
riesgo riesgo inminente y compañía aseguradora

que no tiene recursos

técnicos ni
económicos para
tratarlo, así es que lo
transfiere a la
aseguradora.

4. Evitar el riesgo Se retira del Usualmente el riesgo se anula

ambiente que le eliminando la causa, reduciendo la
genera el riesgo probabilidad de pérdida a cero.

Existen dos objetivos a los que el auditor debe apuntar cuando se audita un proceso que
administra un riesgo de negocio:

1. Obtener evidencia suficiente y adecuada que le permita al auditor concluir que la

compañía cuenta con procedimientos adecuados para mitigar los riesgos de
negocio.
2. Obtener evidencia suficiente y adecuada que le permita al auditor concluir que los
estados financieros reflejan el impacto de los riesgos de negocio.5

Para el logro de estos objetivos, el auditor debe seguir los mismos pasos o actividades
descritos en el capítulo anterior:

1. Entendimiento del proceso

2. Identificación de los riesgos asociados
3. Identificación de los controles del proceso
4. Selección de los controles relevantes a los que se les realizarán las pruebas
5. Evaluación de los controles
6. Diseño de las pruebas de auditoría relativas a la eficacia operativa de controles

i. Entendimiento del proceso

Se debe comprender la forma como la gerencia de la compañía administra este riesgo.

Los esfuerzos se deben enfocar, principalmente, a entender las actividades que permiten
mitigar el riesgo.

5 Las implicaciones de los riesgos de negocio en los estados financieros están relacionadas con estimaciones en los estados financieros, revelaciones
y/o una calificación de la opinión del auditor.

35
 ii. Identificación de los riesgos del proceso

Una forma sencilla para identificar riesgos de procesos es preguntar: ¿Qué puede impedir que
el proceso logre sus objetivos?

iii.Identificación y selección de controles relevantes a los que se les

realizarán pruebas

Para el desarrollo de las pruebas a los controles se deberán identificar los controles
relevantes. Esta selección se deberá hacer teniendo en cuenta que el conjunto de los
controles seleccionados permita prevenir, detectar y corregir un error, de acuerdo con el
objetivo tanto del proceso como de las transacciones significativas.

iv. Evaluación de los controles

Se debe verificar el diseño y la efectividad del control de acuerdo con lo comentado en

transacciones significativas.

Ejemplo de cómo auditar los procesos que administran riesgos de negocio: Los ejemplos
aquí enunciados no pretenden abarcar todas las situaciones, simplemente queremos que
sirvan de guía para facilitar el trabajo del auditor.

Ejemplo:

Riesgo de negocio

Incumplimientos de los proveedores en ausencia de un debido contrato:

Imposibilidad de reclamaciones contractuales, por ausencia de un contrato o documento

formal de las negociaciones y por falta de cláusulas de responsabilidad e incumplimiento
aplicables al proveedor.

Proceso que administra el riesgo de negocio:

Compras y contrataciones

Objetivos del proceso dirigidos a mitigar el riesgo de negocio:

1. Garantizar que los proveedores a los que se les compra productos, se les exige
contrato previo o documento equivalente
2. Ejecutar negociaciones comerciales con proveedores asegurando respaldo legal
y/o formalización contractual

36
 Actividades dirigidas a mitigar el riesgo de negocio:

1. Políticas de contrataciones
2. Análisis de proveedores previo a firma contractual
3. Elaboración, revisión, aprobación y firma de contratos conforme a la segregación
de funciones establecida
4. Exigencia de garantías (pólizas) al proveedor las cuales son estipuladas en todo
contrato.

Riesgos y Controles del proceso

Riesgos del proceso Control Control Control

1 2 3

1) Que el estudio y aceptación de proveedores no

se realice de acuerdo con el manual de
X
procedimientos.
2) Que no se haga un monitoreo
permanente a gestión de los
proveedores. X

3) Que se firmen contratos sin la previa revisión y

X
autorización.

v. Diseño de las pruebas de auditoría relativas a la efectividad de los

controles

Para el caso de que el control mitigue riesgos de fraude o un riesgo inherente alto,
diseñamos pruebas con el propósito de identificar si existe o no la evidencia de ejecución de
éste. La periodicidad sugerida es como sigue:

Riesgo Inherente Riesgo inherente

bajo moderado o alto
Frecuencia del control
(Veces a Probar) (Veces a Probar)
Anual – Incluyendo la de fin de año 1 1
Semestral – Incluyendo la de fin de año 1 2

Bimensual – Incluyendo la de fin de año 3 4

Mensual – Incluyendo la de fin de año 3 5

37
 Riesgo Inherente Riesgo inherente
bajo moderado o alto
Frecuencia del control
(Veces a Probar) (Veces a Probar)
Quincenal 5 8
Semanal 6 10
Diario 25 30

Más que diario 30 40

b. Evaluación del Diseño y la Efectividad de los controles

Algunas generalidades de controles son:

1. Segregación de funciones
2. Autorización
3. Conciliación
4. Indicadores Clave de Desempeño
5. Acceso al Sistema, Configuración y Mapeo de Cuentas.

Control de segregación de funciones

La segregación de funciones es una de las principales actividades de control interno

destinada a prevenir o reducir el riesgo de errores o irregularidades, y en especial, el fraude
interno en las organizaciones. Su función es la de asegurar que un individuo no pueda llevar
a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la
custodia de activos y el mantenimiento de los registros maestros necesarios. Se daría una
adecuada segregación de funciones cuando para realizar una acción fraudulenta o
irregularidad se requiera de la confabulación de dos o más empleados.

38
 Evaluación del diseño del Control Evaluación de la efectividad del Control

Para determinar un correcto diseño de Para determinar la efectividad de la

la segregación de funciones debemos segregación de funciones debemos
responder a las siguientes preguntas: evaluar lo siguiente:

1. ¿Los manuales de procedimientos 1. Inspeccionar el manual de políticas

definen una adecuada segregación de
funciones en el proceso que estamos
auditando?
2. ¿Están definidos los controles de
acceso al sistema que limitan la
capacidad de los individuos de
desempeñar funciones de autorización,
custodia de activos y mantenimiento
de los registros al mismo tiempo?
y procedimientos del proceso
analizado y observar que lo
relacionado con segregación de
funciones esté claramente
documentado.
2. Mediante la revisión de la estructura
del proceso y la verificación de los
accesos en el sistema, verificar la
adecuada segregación de funciones.

3. ¿En qué se basa la asignación de

responsabilidades?
4. ¿Existen procedimientos de
revisión de la gerencia para garantizar
que la segregación de funciones sea
adecuada?

Control de autorización

Identificamos dos tipos de autorizaciones:

1. Aprobación de transacciones ejecutadas de acuerdo con las políticas y los

procedimientos de la Compañía.
2. Autorización para el acceso a activos y registros de acuerdo con las políticas y
procedimientos de la Compañía.

39
 Evaluación del diseño del Control Evaluación de la efectividad del Control
Preguntas / acciones a Para determinar la efectividad del
considerar: control de autorización debemos
1. ¿Cómo se efectúa la evaluar los siguientes aspectos
autorización (manualmente teniendo en cuenta la frecuencia del
o en el sistema)? control:
2. Qué evidencia se deja de la
autorización (firma, actas, 1. Revisar la documentación
etc.) que evidencie la
3. ¿Qué busca prevenir la autorización? autorización.
4. ¿Quién realiza la autorización?
2. Si la autorización es generada por el
5. ¿Qué parámetros definen si la sistema de información, efectuar una
autorización es apropiada? revisión del sistema para determinar
Ejemplo: Manual de si el acceso al sistema prohíbe el
procedimientos procesamiento no autorizado.
6. ¿La autorización se realiza de
acuerdo con el manual de 3. Si ocurre la revisión de la gerencia,
procedimientos? considerar usar sus pruebas para
7. ¿Qué niveles de autorización obtener evidencia relacionada con la
existen? eficacia del control.
8. ¿Se autorizan todas las
transacciones?
9. ¿Cómo se anula la autorización?
10. ¿Cómo se detecta la anulación
de una autorización?
11. ¿Se deja evidencia de las
anulaciones?
12. ¿Existen procedimientos de revisión
de la gerencia que garanticen que la
autorización ocurra según los
planes?

40
Control de conciliación

El control de conciliación se refiere a la comparación de dos grupos de datos cuya fuente es

diferente. La conciliación es un control de doble propósito porque por un lado ayuda a
detectar errores o irregularidades en los estados financieros y adicionalmente le ayuda al
auditor a probar la razonabilidad del saldo de contabilidad

Ejemplos:

• Conciliación cuentas por pagar: Se compara el auxiliar de cuentas por pagar (fuente
contabilidad) con el reporte del sistema de proveedores (fuente cuentas por pagar)
• Conciliación bancaria: Se compara el auxiliar de bancos (fuente contabilidad) con el
extracto bancario (fuente banco)

De la comparación de los dos grupos de datos pueden surgir diferencias (partidas

conciliatorias). El auditor debe analizar el efecto de estas partidas en los estados
financieros y si es necesario proponer ajustes y/o emitir recomendaciones.

Qué nos ayuda a detectar el control de conciliación

La conciliación ayuda a asegurar la integridad, existencia y exactitud de la cuenta

probada. Factores que indican que el control no funciona correctamente:

1. Partidas conciliatorias con antigüedad superior a 60 días.

2. Diferencias no identificadas.
3. Partidas conciliatorias falsas (Nos puede indicar que la conciliación no se ejecuta
correctamente. Las partidas falsas se usan para “cuadrar” las conciliaciones.
4. La persona que elabora la conciliación puede realizar ajustes para modificar alguna
de las dos fuentes.
5. Partidas conciliatorias significativas con efecto en los estados financieros Ejemplo:
Devoluciones por contabilizar. Efecto: mayor valor de las mercancías y la cuenta
por pagar.
6. La conciliación no es revisada por un nivel superior de la persona que la prepara.

¿Cuántas conciliaciones debemos probar?

• Para el diseño, con una conciliación es suficiente.

• Para la efectividad debemos tener en cuenta la tabla sugerida. Normalmente las

conciliaciones son mensuales. Si es una conciliación mensual la debemos probar entre
3 y 5 veces al año dependiendo la calificación del riesgo inherente. Para este caso
sugerimos probar al pre cierre y al cierre; el resto, en los meses que el auditor considere;
cuando son varias las conciliaciones. Ejemplo: Cinco bancos, debemos probar el 100%
de las conciliaciones las veces sugeridas (entre 3 y 5).

41
Evaluación del control de conciliación
A continuación, mostraremos los parámetros a tener en cuenta en la evaluación del
control de conciliación:
Evaluación del diseño del Control
Para determinar un correcto diseño
de este control debemos responder
a las siguientes preguntas:
1. ¿En qué consiste el proceso de
conciliación? ¿ Qué fuentes utiliza?
2. ¿Se prepara manualmente o la
prepara el sistema, o una
combinación de ambos?
3. ¿Qué busca prevenir o
detectar este control?
4. ¿Con qué frecuencia se prepara el
proceso de conciliación?
5. ¿Quién realiza el proceso de
conciliación?
6. ¿ La persona que realiza la
conciliación posee la competencia y
el conocimiento?
7. ¿La persona que prepara la
conciliación puede realizar
ajustes a las fuentes? (Ver control
de segregación de funciones)
8. ¿La conciliación es revisada por
un nivel superior de la persona
que la prepara?
9. ¿Qué tipo de evidencia se deja
proceso de conciliación?
Evaluación de la efectividad del
Control
Inspeccionar la conciliación y
determinar la eficacia operativa del
control, teniendo en cuenta los
siguientes aspectos básicos:
1. ¿Los saldos de la conciliación cruzan
con los saldos de las fuentes?
2. ¿Los soportes de las fuentes son
confiables? Ejemplo: extractos
bancarios originales, auxiliares
bajados directamente del sistema
etc.
3. ¿La fecha de preparación de la
conciliación es oportuna?
4. ¿Las partidas conciliatorias existen?
(esto lo verificamos con el soporte de
la partida conciliatoria. Ejemplo:
Consignación en extracto no en
contabilidad – revisamos que la
partida conciliatoria efectivamente
aparece en el extracto y no está en
el auxiliar del banco).
5. ¿Se observan partidas conciliatorias
con efecto significativo en los
estados financieros? ¿ Es necesario
ajustarlas al cierre?
6. ¿Se observan partidas conciliatorias
con antigüedad superior a 60 días?
7. ¿Qué gestión está realizando la
compañía para ajustar las partidas
conciliatorias significativas y
antiguas?
8. ¿Las conciliaciones están revisadas
por un nivel superior de la persona
que las prepara?
42
Control de indicadores claves de desempeño

Se refiere a las medidas cuantitativas, financieras y no financieras, que la administración de la

Compañía genera para realizar seguimiento al progreso de sus objetivos.

Como auditores podemos generar valor agregado ayudando a nuestros clientes a encontrar
mejores formas de medición, monitoreo y control de sus negocios.

Qué nos ayuda a detectar el control Indicador Clave de Desempeño

Un Indicador Clave de Desempeño le puede ayudar al auditor a asegurar la integridad y

existencia de la cuenta probada o a medir la gestión en la administración de los riesgos de
negocio.

Factores que indican que el control no funciona correctamente:

• Las bases sobre las cuales se prepara el indicador no son confiables. Ejemplo, un
presupuesto de compras que se hace con base en el incremento del Índice de Precios
al Consumidor - IPC sin tener en cuenta otros factores como, situación actual del
mercado, nuevos productos, nuevos competidores, etc.
• La persona que prepara el indicador clave es la misma que evalúa el resultado
(Segregación de funciones)
• El indicador clave no es revisado por un nivel superior de la persona que lo prepara.

A continuación, mostraremos los parámetros a tener en cuenta en la evaluación del

control de indicador clave de desempeño:

Evaluación del diseño del Control Evaluación de la efectividad del Control

Para determinar un correcto diseño Inspeccionar la documentación del

de este control debemos indicador clave del desempeño tomando
responder a las siguientes en consideración:
preguntas:
1. ¿La base de comparación es la
1. ¿En qué consiste el Indicador aprobada por el nivel superior?
Clave de Desempeño? Ejemplo: Presupuesto aprobado por la
junta directiva.
2. ¿Cómo se elabora? ¿Sobre qué
bases? ¿Son confiables las bases? 2. ¿La fecha de preparación es
¿Se prepara manualmente o lo oportuna?
prepara el sistema, o una
combinación de ambos?

43
 Evaluación del diseño del Control
3. ¿Cómo se establecen las bases
de referencia con que se compara el
indicador clave de desempeño (por
ejemplo, presupuestos, promedios de
la industria, etc.)?
4. ¿Cuál es el objetivo de Indicador?
5. ¿Con qué frecuencia se prepara
este indicador?
6. ¿Quién elabora el indicador? ¿La
persona que elabora el indicador
posee la competencia y el
conocimiento?
7. ¿El indicador es revisado por un
nivel superior de la persona que la
prepara? ¿La persona que realiza
la revisión posee la competencia y
el conocimiento?
Evaluación de la efectividad del Control
3. ¿Están documentadas las
explicaciones de las fluctuaciones
extraordinarias? Comprobar que
coincida con los libros / registros que
estemos auditando.
4. Verificar lo adecuado del seguimiento.
Usar la técnica corroborativa de
indagación con otras personas que
realizan el seguimiento.
5. Analizar este indicador e identificar
posibles riesgos.
6. Documentar nombres, fechas,
resumen de la entrevista y la medida
de seguimiento tomada.

8. ¿Qué medida se toma si la

fluctuación esperada del revisor no
guarda proporción con la
fluctuación real en el análisis de
indicadores clave del desempeño?
¿Resulta oportuna esa medida?

44
 Indicador Fórmula o interpretación
Cumplimiento en
= (Cantidad de producto recibido (CPR) /
Ítems pedidos %
Cantidad de producto solicitado (CPS)) *100
(CIP %)
Producto y/o servicio
= (Cantidad de productos y/o servicios conforme (CPSC) /
conforme a lo
cantidad de productos recibidos (CPR)) * 100
solicitado % (PSCS)
Cumplimiento del
Este indicador mide la eficacia del control mensual, semestral o
Presupuesto de
anual del presupuesto de compras de la entidad
Compras
= (Total contabilizado mes vencido (TCMV) / Presupuesto de
Cumplimiento del
compras Anual (PCA)) * 100
Presupuesto de
Compras Mes
El resultado del indicador debe ser mayor o igual que (0) cero y
Vencido (CPCMV) %
menor o igual que 1 (100%)

Indicador Fórmula o interpretación

= (Total contabilizado Año Vencido (TCAV) / Presupuesto de
Cumplimiento del
compras Anual (PCA)) * 100
Presupuesto
De Compras Año
El resultado del indicador debe ser mayor o igual que (0) cero y
Vencido (CPAV) %
menor o igual que 1 (100%)
= Días reales que se demora la entrega por parte del proveedor
(DRE) /
Eficiencia en Días establecidos en la orden de compra remitida al proveedor
Compras (EC) (DOC).

El resultado del indicador debe ser mayor que (0) cero y menor
o Igual a 1, lo cual indicaría que se cumplen con los tiempos
estipulados en la negociación.

45
Controles de un sistema de información

En los sistemas de información identificamos dos tipos de controles clave que pueden ser
evaluados por el Auditor:

1. Acceso al Sistema
2. Configuración y Mapeo de Cuentas.

1) Acceso al sistema

Se refiere a la capacidad que tienen los usuarios de acceder al sistema de información

de acuerdo con las funciones asignadas.

Buenas prácticas

• El acceso a la aplicación requiere de una autorización por parte de un nivel superior.

• El acceso a la aplicación se determina teniendo en cuenta una adecuada segregación

de funciones (el control asegura que un individuo no pueda llevar a cabo todas las fases
de una operación/transacción, desde su autorización, pasando por la custodia de
activos y el mantenimiento de los registros maestros necesarios).
• Existe un proceso de verificación permanente por parte de la administración de la
Compañía en donde se revisa que únicamente ingresan a la aplicación las personas
autorizadas. En caso de existir excepciones se les realiza un adecuado seguimiento de
la causa y el efecto.
• La aplicación debe estar configurada de tal forma que le solicite al usuario cambiar su
contraseña de acceso periódicamente y no debe permitir que se reemplace por
contraseñas usadas anteriormente.

• La aplicación debe estar configurada de tal forma que, a más de tres intentos fallidos
para ingresar a la aplicación, el usuario es bloqueado y esta situación se le informa al
administrador del sistema para que investigue la causa y el efecto.
• Los manuales de procedimientos definen la forma como se estructuran los accesos al
sistema, las personas autorizadas para definir esta estructura y los procedimientos de
monitoreo para su cumplimiento.

46
Evaluación del control
Evaluación del diseño del Control
Para determinar un correcto diseño
de este control debemos responder
a las siguientes preguntas:
1. ¿En qué consiste el control de acceso
al sistema?
2. ¿Cómo se estableció? (funciones,
responsabilidades, etc.)
3. ¿Los manuales de procedimientos
definen la forma como se estructuran
los accesos al sistema y las
personas autorizadas para definir
esta estructura? Evidenciar.
4. ¿La forma como está estructurado el
control y las autorizaciones para el
acceso y modificaciones están de
acuerdo con el manual de
procedimientos?
5. ¿Quiénes son las personas
autorizadas para realizar los
cambios de configuración de
accesos al sistema? ¿Tienen la
experiencia y el conocimiento? ¿Se
deja evidencia de la autorización del
cambio?
Evaluación de la efectividad del
Control
Inspeccione el control de acceso al
sistema y determine la eficacia
operativa del control, teniendo en
cuenta los siguientes aspectos
básicos:
1. Verifique en el sistema que los
niveles de acceso estén de
acuerdo con lo autorizado por la
administración.
2. Solicite a Recursos Humanos el
reporte del personal que ha
ingresado durante el año en
curso y con apoyo del
administrador del sistema
seleccione aquellos que tienen
acceso a la aplicación que
estamos auditando. Verifique
que los accesos fueron
aprobados por los niveles
adecuados.
3. Solicite a Recursos Humanos el
reporte del personal que se ha
retirado de la compañía durante
el año en curso y con apoyo del
administrador del sistema
seleccione aquellos con acceso a
la aplicación que estamos
47
 Evaluación del diseño del Control
6. ¿Tiene en cuenta una adecuada
segregación de funciones este
control? (Ver control de segregación
de funciones)
7. ¿Existen restricciones relacionadas
con cambios a la configuración del
sistema? ¿Identifica algún riesgo
importante?
8. ¿La administración de la compañía
monitorea que el acceso al sistema
se esté realizando de acuerdo con lo
establecido en sus manuales de
procedimientos? ¿Cómo lo hace?
¿Está documentado y, si es así,
puedo ver una copia? ¿Quién es
responsable y qué calificaciones
tiene?
9. ¿Existe un proceso de verificación
permanente por parte de la
administración de la Compañía en
donde se revisa que únicamente
ingresan a la aplicación las personas
autorizadas? ¿En caso de existir
excepciones se les realiza un
adecuado seguimiento de la causa y
el efecto?
Evaluación de la efectividad del
Control
auditando. Verifique que los
retiros de personal fueron
informados por el área de
Recursos Humanos y autorizados
por los niveles adecuados.
Adicionalmente, verifique que
estas personas fueron dadas de
baja de la aplicación.
4. Solicite al administrador de
sistemas la relación de cambios
de perfiles ocurridos durante el
año y verifique si fueron
autorizadas por los niveles
adecuados. ¿Los cambios
afectan la segregación de
funciones?
5. Verifique si otros usuarios no
autorizados tienen acceso al
módulo que se está verificando.

2) Configuración y mapeo del sistema

• Configuración del sistema: Es la forma como está parametrizado un sistema

de información contable. Ejemplos: límites de cupos de crédito, autorizaciones,
límites para realizar desembolsos, límites de acceso, etc.
• Mapeo de cuentas: Se refiere a la forma como están direccionadas las entradas
de información a una cuenta contable especifica.
Es importante que el auditor identifique los cambios en la configuración y mapeo del
sistema, con el fin de evaluar si fueron implementados de forma adecuada.

48
En caso de no tener un apoyo de especialistas en tecnología, como revisores fiscales o
auditores externos (contadores) podemos obtener evidencia suficiente y adecuada que nos
permita concluir que los cambios a los sistemas de información fueron solicitados,
autorizados, realizados, probados e implementados para el logro de los objetivos de control
de la aplicación de la gerencia.

Riesgos que se pueden generar

• Un mapeo errado puede no mostrar las cuentas en los estados financieros o puede que
se muestren de forma herrada Ejemplo: Un gasto se registra como activo, un pasivo
como un ingreso, etc.

• Los controles de configuración pueden desactivar las características de control de

seguridad. Por ejemplo, el hecho de no asignar cupos de crédito a los clientes,
desactivar la segregación de funciones, etc.

Evaluación del control

Evaluación del diseño del Control Evaluación de la efectividad del

Control
Para determinar un correcto diseño En caso de identificar cambios
de este control debemos responder a realizados a la configuración y
las siguientes preguntas: mapeo del sistema dentro del año
auditado, debemos verificar:
1. ¿Cómo se realiza la configuración
del sistema?
1. Revisar la documentación del
2. ¿Quién la realiza? cambio
3. ¿Se efectuaron pruebas del 2. Verificar que se realizó de
establecimiento del diseño inicial? Si acuerdo con el manual de
fue así, ¿están documentadas? procedimientos
¿Puedo ver evidencia? 3. Verificar que el cambio fue
revisado y autorizado por un
4. Quien revisa y autoriza los cambios
nivel superior
a la configuración del sistema
4. Verificar el cambio en el sistema.
5. ¿Existen restricciones relacionadas
con cambios a la configuración del
sistema? ¿Identifica algún riesgo
importante?
6. Se han realizado cambios a la
configuración del sistema en el
último año ¿existe documentación y
puedo verla?
7. ¿Qué existe que garantice la
integridad de la información?
49
 Evaluación del diseño del Control Evaluación de la efectividad del
Control
8. ¿Qué prácticas se observan para
comprobar los cambios a la
configuración?
9. ¿ Tienen procedimientos
documentados? ¿ Puedo verlos?

En el Anexo 3 de esta guía, suministramos un diligenciamiento modelo del

Documento de Análisis del Proceso de Compras, considerando todos los elementos
mencionados en la metodología aquí propuesta.

6. PAPELES DE TRABAJO

NOMBRE DEL DESCRIPCIÓN

DOCUMENTO
Plantilla para la Este papel de trabajo sirve para documentar el entendimiento de
evaluación de los las actividades de inicio, procesamiento y salida de las actividades
procesos clave relacionadas con los estados financieros.

Matriz de riesgos y La Matriz de Riesgos y Controles de Compras desde la perspectiva

controles financiera es una herramienta que sugiere al auditor los posibles
riesgos y controles que tienen efectos sobre la información
financiera de la organización, así mismo, le permite fortalecer el
diseño de sus recomendaciones. De otra parte, puede servir a la
administración en la optimización de su proceso. En cualquiera de
los dos casos la herramienta debe ajustarse a las necesidades de
la entidad auditada, ya que no abarca todas las situaciones.

Documento modelo
diligenciado del análisis En este documento se compila, a modo de ejemplo, el
del proceso de compras diligenciamiento del análisis del proceso de compras, con base en
de la entidad ejemplo la metodología expuesta en el CAPÍTULO 5 de la presente guía.
 ANEXOS

1. Plantilla para la evaluación de proceso clave

2. Matriz de riesgos y controles
3. Documento modelo diligenciado del análisis del proceso de compras de la
entidad ejemplo
4. Modelo de papel de trabajo para evaluar la eficacia operativa de un control