Presupuesto y Gasto Público 91/2018: 153-168

Secretaría de Estado de Presupuestos y Gastos

© 2018, Instituto de Estudios Fiscales

Evaluación del control interno en la auditoría de cuentas

MERCEDES E. LEBRANCÓN CORTÉS
Intervención General de la Administración del Estado
Ministerio de Hacienda
Jefe de División de la Oficina Nacional de Auditoría
Recibido: Abril 2018
Aceptado: Mayo 2018

Resumen

Las sociedades modernas demandan cada vez más organizaciones y gestores públicos responsables, eficientes y
eficaces en el manejo de los recursos que se les encomienda, sometidas a la obligación de rendición de cuentas y
transparencia de la información que generan. Ello supone el establecimiento de sistemas de control que deben ser
evaluados por los auditores públicos como palanca de mejora en la información que generan las entidades y en la
generación de valor público.

Palabras clave: Control interno, evaluación, rendición de cuentas, transparencia, riesgos financieros y gestión de
riesgos, auditoría.

Clasificación JEL: G32, M42.

Abstract

Modern societies increasingly demand public organizations and managers responsible, efficient and effective in the
management of the resources entrusted to them, subject to the obligation of accountability and transparency of the
information they generate. This implies the establishment of control systems that must be evaluated by public audi-
tors as a lever to improve the information generated by the entities and in the generation of public value.

Key words: Internal control, assesment, accountability, transparency, Financial Risk and Risk Management, Auditing.

JEL Classification: G32, M42.

1. Introducción
Una de las principales labores a las que se enfrenta cualquier auditor de cuentas anuales
reside en el diseño de la estrategia global de auditoría, como mecanismo para optimizar su
labor como profesional que emite una opinión cualificada, sometida a normas metodológicas
exhaustivas y exigentes, sobre la información económica financiera que presentan las enti-
dades de forma que permitan reflejar la imagen fiel en el uso de los recursos y disponer de
información útil y oportuna para la toma de decisiones. Esta línea es general para todas las
entidades y organizaciones, de cualquier tipología y configuración, si bien, si hablamos de
entidades de naturaleza pública, toma especial relevancia la finalidad de transparencia que va
unida a la representación económico-patrimonial de la gestión financiera de los recursos em-
pleados por dichas entidades. En este ámbito, existe una ecuación que necesariamente debe
154 Mercedes E. Lebrancón Cortés

ser evaluada en el proceso de diseño de la estrategia de auditoría por el auditor, de un lado,

el control interno que haya establecido cualquier entidad y de otro los mecanismos que debe
utilizar el auditor de cara a evaluar correctamente dicho control interno para realizar su labor.
Cuando abordamos estas cuestiones, conviene detenerse en el entendimiento de dos
conceptos que van completamente imbricados en el trabajo a considerar por un auditor: con-
trol interno y evaluación del mismo.
Una acepción común del control interno es aquella que lo define como un conjunto de
áreas funcionales en una entidad y de acciones especializadas en la comunicación y el control
en el seno de la misma. No obstante, son múltiples las referencias que podemos encontrar
en la normativa específica en el sector de auditoría. Así las Normas de Auditoría del Sector
Público, aprobadas por Resolución de la Intervención General de la Administración del Es-
tado, de 1 de septiembre de 1998, pioneras en el ámbito público, ya delimitaron el concepto
del control interno configurándolo como el plan de organización y el conjunto de medidas,
métodos y procedimientos que se establecen en una entidad con el objetivo de salvaguardar
y proteger los activos y recursos; asegurar la fiabilidad e integridad de la información; asegu-
rar el cumplimiento de toda la normativa aplicable; garantizar una gestión eficiente y eficaz
de los recursos públicos; y garantizar que se logren de manera eficaz y eficiente las metas y
objetivos establecidos en los programas.
En el ámbito internacional, son diversas las referencias que podemos encontrar, entre
ellas, la NIA 315 «Identificación y valoración de los riesgos de incorrección material me-
diante el conocimiento de la entidad y de su entorno», considera el control interno como el
proceso diseñado, implementado y mantenido por los responsables del gobierno de la enti-
dad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable
sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información
financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las
disposiciones legales y reglamentarias aplicables.
Si nos detenemos en la definición que otorga la «Guía para las normas de control interno
del sector público» (INTOSAI, 2004) de INTOSAI, el control interno se define como un pro-
ceso integral efectuado por la gerencia y el personal, diseñado para enfrentarse a los riesgos
y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se
alcanzarán los siguientes objetivos gerenciales:
• Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones.
• Cumplimiento de las obligaciones de responsabilidad.
• Cumplimiento de las leyes y regulaciones aplicables.
• Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.
El control interno, por tanto, es un proceso integral y dinámico que requiere de adap-
taciones constantes a los cambios a los que se enfrenta cualquier organización. Ello supone
que los responsables y el personal de todo nivel deben estar involucrados en este proceso
para enfrentarse a los riesgos y para dar seguridad razonable sobre el logro de la misión de la
institución y de sus objetivos.
Evaluación del control interno en la auditoría de cuentas 155

2. Responsabilidad sobre el control interno de los responsables

públicos
A la vista de las definiciones conceptuales reseñadas, parece claro que la responsabili-
dad sobre el diseño y el establecimiento de los sistemas de control interno en las organiza-
ciones para alcanzar sus objetivos reside y debe emanar de sus máximos responsables y de
la alta dirección imbricándose a todos los niveles (horizontal y verticalmente) a lo largo de
la organización.
En el ámbito público se han ido reforzando normativamente las responsabilidades de
los gestores públicos en cuanto a los procesos de rendición de cuentas, transparencia y jus-
tificación en el empleo de recursos. A este respecto, basta ver entre otras, recientes normas
como la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno
que ha establecido requerimientos específicos en este sentido o la reciente Ley 40/2015, de
1 de octubre, de Régimen Jurídico del Sector Público cuyo fin parte de la necesidad de dotar
a nuestro sistema legal de un derecho administrativo sistemático, coherente y ordenado, en
base a los resultados emanados del informe aprobado por la CORA y responde de manera
específica, por un lado, a regular la legislación básica sobre el régimen jurídico administrati-
vo, aplicable a todas las Administraciones Públicas; y por otro, el régimen jurídico específico
de la Administración General del Estado, donde se incluye tanto la llamada Administración
institucional, como la Administración periférica del Estado.
En dicha ley, encontramos una mención expresa y concreta, en su artículo 90, que alude
a la responsabilidad de los gestores públicos en el sentido indicado. Señala dicho precepto
que la dirección del organismo público debe establecer un modelo de control orientado a
conseguir una seguridad razonable en el cumplimiento de sus objetivos. Es consustancial,
por tanto, a la propia naturaleza de entidad pública, que el sistema de control interno debería
contemplar entre sus objetivos, el de generación de información financiera válida, íntegra y
fiable.
Es en dicho proceso de rendición de cuentas anuales y transparencia de la gestión pú-
blica, donde toma importancia, por tanto, la evaluación del control interno que establecen las
entidades públicas para la generación de dicha información financiera.
No obstante, no es menos cierto que a pesar de que existen múltiples marcos metodo-
lógicos, muchos de los cuales se inspiran en el modelo definido por el Committee of Spon-
soring Organizations of the Treadway Commission (COSO), al que a continuación nos refe-
riremos, no está muy extendida aún en la cultura de las organizaciones públicas la necesidad
de abordar procesos que de forma estratégica e integrada ayuden a tener explicitados de
forma expresa los sistemas de control interno ni existan documentos descriptivos estructu-
rados sobre el análisis de los riesgos que afectan a los objetivos estratégicos, operativos, de
cumplimiento, y de generación de información financiera y contable, entre otros. Existe aún
un déficit de cultura respecto de la evaluación de riesgos en las organizaciones públicas.
En este camino, un paso adicional que ha dado recientemente el legislador y ahonda
en la responsabilidad de los gestores públicos focalizándolo en la evitación del fraude en
el seno de las organizaciones la encontramos en la Ley Orgánica 5/2010, del Código Penal
que incorporó a nuestro marco normativo la responsabilidad penal de la persona jurídica.
156 Mercedes E. Lebrancón Cortés

Posteriormente, ha sido la Ley Orgánica 1/2015 de 30 de marzo cuya entrada en vigor se

produjo el 1 de julio de 2015, la que ha venido a concretar las circunstancias para la exigencia
y exención de dicha responsabilidad en el caso de la persona jurídica y ha incluido expresa-
mente en su ámbito de aplicación a las sociedades mercantiles públicas.
La nueva regulación supone una fuerte exigencia y compromiso con la prevención de
los riesgos penales en el seno de las organizaciones, también las públicas, y establece la
necesidad de que las mismas establezcan sistemas de control interno, mediante programas y
acciones que impliquen a todas las personas y profesionales en la cultura del cumplimiento.
La propia ley ha establecido mecanismos que actúan de eximentes respecto de las penas apli-
cables, los cuales se articulan sobre las siguientes líneas:
• Adopción y ejecución con eficacia y previos a la materialización del riesgo, por el
órgano de administración de modelos de organización y gestión que incluyan me-
didas de vigilancia y control idóneas para la prevención de la comisión de delitos o
para reducir significativamente el riesgo.
• Atribución de la supervisión del funcionamiento y del cumplimiento del modelo de
prevención implantado a un órgano dentro de la organización, con poderes autóno-
mos de iniciativa y control.
• El riesgo debe haberse materializado eludiendo fraudulentamente los modelos de
organización o prevención.
• No debe haberse producido una omisión o ejercicio insuficiente en las funciones de
supervisión, vigilancia y control.
Todos estos elementos en los que se concretan los sistemas de control para la prevención
de riesgos penales, en tanto que referidos al ámbito de la evaluación y prevención de fraudes,
podría llevar al lector a pensar que su referencia específica pueda no ser de aplicación o de
aplicación muy limitada al ámbito de la rendición de cuentas anuales si bien interesa poner el
énfasis en que todos ellos se sustentan sobre elementos o componentes del control interno así
como, en el foco que el legislador ha querido señalar en torno a la responsabilidad que tienen
los gestores públicos en el diseño y establecimiento del sistema de control interno. Este es-
quema sin ser quizá tan explícito en el ámbito de la generación de información financiera no
es por tanto, de menor aplicación y significación.
En este sentido, encontramos también referencias en la normativa de aplicación a la
auditoría de los estados financieros que realizan los auditores públicos, que han de tener en
cuenta una especial exigencia en relación con los riesgos de incumplimiento legal y fraude
y, en consecuencia, una mayor profundización en la descripción y valoración del control
interno relacionado con esta materia. Correlativamente, ello implica un mayor y mejor co-
nocimiento del marco legal que afecta a la entidad auditada, tanto el que le aplica de forma
específica (materia contable, presupuestaria, etc.), como la materia legal por la que se puede
ver afectada de forma más o menos directa.
La Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) es-
tablece en la ISSAI 1240 (Párrafo P4) que «En una auditoría financiera en el sector público
los objetivos van más allá de la emisión de una opinión sobre si los estados financieros han
Evaluación del control interno en la auditoría de cuentas 157
sido elaborados, en todos sus aspectos significativos, de acuerdo con el marco de informa-
ción financiera aplicable (es decir, el alcance de las NIA).
El mandato de auditoría derivado de leyes, reglamentos, órdenes ministeriales, exigen-
cias de política pública o resoluciones del poder legislativo puede contener objetivos adicio-
nales, entre ellos obligaciones de auditoría o de información, cuando los auditores del sector
público hayan detectado falta de conformidad con las normas en cuestiones presupuestarias
o de rendición de cuentas, o informen sobre la eficacia del control interno. Sin embargo, aun
no existiendo objetivos adicionales, los ciudadanos pueden esperar de los auditores del sec-
tor público que notifiquen cualquier caso de falta de conformidad con las normas que hayan
detectado durante la auditoría o informen sobre la eficacia del control interno. Los auditores
del sector público han de tomar en consideración estas obligaciones suplementarias, y los
riesgos de fraude conexos, al planificar y ejecutar la auditoría.»

3. Marcos de referencia para el establecimiento del control interno

Los sistemas de control interno de cualquier organización y por ende, de las entidades
públicas variarán en función de la estructura y complejidad de las mismas, del sector en el
que operan, de su dimensión, de su exposición a operaciones vinculadas con otras entidades,
de las obligaciones de rendición de cuentas, individuales y/o consolidadas, etc. Podemos
encontrar referencias comunes en distintos marcos metodológicos que pueden orientar su es-
tablecimiento, si bien el referente más extendido lo constituye el marco integrado elaborado
por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) en 1992.
El informe COSO define el control interno como «Las normas, los procedimientos, las
prácticas y estructuras organizativas diseñadas para proporcionar seguridad razonable de
que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se
detectarán y se corregirán».
El marco integral definido por COSO se fundamenta en cinco componentes básicos de
control interno:
• Entorno de control.
• Evaluación de riesgos.
• Actividades de control.
• Información y comunicación.
• Supervisión.
Hay una relación directa entre los objetivos de una entidad y los controles que implanta
para suministrar información sobre su realización. No obstante, conviene indicar que no to-
dos los controles que establece una entidad tienen interés directo para la auditoría financiera.
El auditor se focalizará en los relacionados con la información financiera, las operaciones y
el cumplimiento de la normativa, la integridad y corrección de la información generada o los
controles sobre la protección de los activos contra las adquisiciones, uso o disposición no
autorizados.
158 Mercedes E. Lebrancón Cortés

El marco integrado COSO fue actualizado en 2013, estableciendo 17 principios desa-

rrollados a partir de los cinco componentes de control interno existentes en la versión original
del enfoque. El establecimiento de los principios ayuda a codificar los principales parámetros
de COSO y a explicar lo que constituye un control eficaz. Ello supone ampliar, por tanto, el
análisis de los componentes para dar entrada a un mayor detalle en la identificación de los
eventos que constituyen riesgos, su evaluación y las respuestas de la organización. En el
Cuadro 1 se delimitan dichos principios.

Cuadro 1
Principios del marco integrado de control interno COSO

Entorno de control Actividades de control

La organización:
1. La organización demuestra un compromiso con la
integridad y los valores éticos.
2. El consejo de administración demuestra independen-
cia de la gerencia y ejerce la supervisión del desarrollo
y el desempeño del control interno.
3. Bajo la supervisión del consejo de administración, la
gerencia establece estructuras, lineamientos para la pre-
sentación de informes, y las autoridades y responsabili-
dades correspondientes en pos del logro de los objetivos.
4. La organización demuestra su compromiso para
atraer, desarrollar y retener a los individuos competen-
tes en coordinación con los objetivos.
5. La organización exige a los individuos que asuman
sus propias responsabilidades por el control interno en
pos del logro de los objetivos
Evaluación de riesgos
La organización:
6. Establece los objetivos con la claridad suficiente para
permitir la identificación y la evaluación de los riesgos
relacionados con los objetivos.
7. Identifica los riesgos relacionados con el logro de
sus objetivos en toda la entidad y analiza los riesgos
como punto de partida para determinar cómo se van
a gestionar.
8. Considera la posibilidad de fraude al evaluar los ries-
gos relacionados con el logro de los objetivos.
9. Identifica y evalúa los cambios que podrían impactar
significativamente en el sistema de control interno.
 
La organización:
10. Selecciona y desarrolla actividades de control que
contribuyen a mitigar los riesgos relacionados con el
logro de los objetivos a niveles aceptables.
11. Selecciona y desarrolla actividades de control ge-
neral sobre la tecnología para apoyar el logro de los
objetivos.
12. Implementa actividades de control a través de po-
líticas que establecen los pasos a seguir y los procedi-
mientos que transforman las políticas en acción.
Información y comunicación
La organización:
13. Obtiene o genera y usa información relevante y de
calidad que respalde el funcionamiento del control in-
terno.
14. Comunica la información internamente (incluidos
los objetivos y las responsabilidades por el control in-
terno) necesaria para respaldar el funcionamiento del
control interno.
15. Se comunica con terceros externos respecto de
asuntos que afectan el funcionamiento del control in-
terno.
Vigilancia de actividades
La organización:
16. Selecciona, desarrolla e implementa evaluaciones
continuas y separadas para asegurar que los compo-
nentes de control interno estén presentes y funcionen
correctamente.
17. Evalúa y comunica oportunamente las deficiencias
de control interno a las partes responsables de tomar
las medidas correctivas, incluida la alta dirección y el
consejo de administración, según corresponda.

Fuente: Larry E. Rittenberg – Internal Auditor. 2013.

Evaluación del control interno en la auditoría de cuentas 159
Recientemente, en junio de 2017, se ha publicado una nueva actualización del enfoque
integrado de COSO. El nuevo marco –denominado ‘Enterprise Risk Management–Integra-
ting With Strategy and Performance’– se basa en el Marco Integrado de Gestión de Riesgos
Empresariales de 2004 y ahonda en los procesos de gestión de riesgos y su evaluación.
Un segundo marco metodológico de referencia a considerar lo constituye el modelo
PIFC (Public Internal Financial Control) desarrollado por la Comisión Europea. Su finalidad
fue proporcionar un modelo estructurado y operativo para asistir a los gobiernos en el redise-
ño de sus sistemas de control interno haciéndolos compatibles con los estándares internacio-
nales y las mejores prácticas a nivel europeo.
En el Cuadro 2 se incluyen los pilares fundamentales y las fases de implementación
recomendadas por el sistema PIFC.

Cuadro 2
Pilares del PIFC

Pilares fundamentales PIF Fases implementación

Responsabilidad de la gerencia en el establecimiento de
políticas operativas y sistemas de control interno utili-
Conceptualización del sistema y de sus elementos bá-
zando como herramienta el análisis de riesgos. Esto es
sicos.
tarea de los responsables de las unidades y no de las
unidades de auditoría interna.
Unidad de auditoría interna funcionalmente indepen-
diente y reportando al máximo nivel de la dirección
de la organización. Nunca involucradas en tareas de Desarrollo estructura organizativa.
gestión y revisando los sistemas de control interno de
la entidad de cara a detectar debilidades en el mismo.
Existencia de una unidad central armonizadora que im- Establecimiento y desarrollo del marco legal.
pulse y conduzca el cambio en el modelo de control
mediante desarrollo de metodologías y estándares en Política de desarrollo del personal.
relación con los pilares anteriores.

Fuente: Elaboración propia.

4. Referencias para el auditor en la evaluación del control interno

en la auditoría de cuentas anuales
Una primera referencia en el ámbito público la encontramos en las Normas de Audito-
ría del Sector Público (apartado 5 Control Interno) que establecen que deberá efectuarse un
estudio y una evaluación adecuada del control interno para determinar su grado de confianza
y en base a ello planificar la auditoría, determinando el alcance y la naturaleza, el momento
y la extensión de las pruebas a realizar.
El control interno en su sentido más amplio se puede subdividir de acuerdo con los
aspectos a los que se dirija, contemplándose entre los mismos, los controles contable-finan-
cieros, que comprenden el plan de organización y todos los métodos y procedimientos cuyo
objetivo es la salvaguarda de los activos y la fiabilidad de los registros contables-financieros;
160 Mercedes E. Lebrancón Cortés

y el control de cumplimiento de la entidad, como conjunto de métodos y procedimientos

destinados a detectar si se cumple toda la normativa de aplicación, dado que el alcance de
una auditoría de cuentas en el sector público suele ser más amplio por los requerimientos
inherentes a la propia naturaleza de las entidades.
El control interno contable se debe relacionar con cada una de las etapas de las que se
compone una transacción, comprendiendo su autorización, ejecución, registro y finalmente la
responsabilidad respecto a la salvaguarda y custodia de los activos que en su caso resulten de
dicha transacción, garantizándose que han sido clasificados en las cuentas apropiadas. Dentro
del control interno contable-financiero, habrá que prestar especial atención a los controles de
protección y custodia de activos que son aquellos relativos a la prevención y detección opor-
tuna de transacciones y accesos no autorizados a los activos que pudieran generar pérdidas
con significación en los estados financieros.
La entidad deberá tener perfectamente determinado a través de las correspondientes
instrucciones de la dirección a quién corresponde autorizar cada operación, y qué requisitos
y procedimientos deben seguirse en la adquisición, empleo y disposición de cada uno de los
activos. Adicionalmente, las entidades públicas pueden estar sometidas a un régimen presu-
puestario de carácter limitativo y a disposiciones legales y normativas de carácter general o
específico que obligan a la propia dirección de la entidad, por lo que los controles de protec-
ción deberán diseñarse de manera que puedan prever y detectar los incumplimientos de estas
normas a la hora de adquirir, usar o disponer de estos activos.
Si acudimos al ámbito internacional, dos son las referencias fundamentales que ofrecen
pautas al auditor de cuentas, la NIA 300 «Planificación de la auditoría de estados financieros»
(o NIA-ES 300 adaptada para su aplicación en España mediante Resolución del Instituto de
Contabilidad y Auditoría de Cuentas de 15 de octubre de 2013) y la NIA 315 «Identificación
y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad
y de su entorno» (o NIA-ES 315 respectivamente).
De acuerdo con la NIA-ES 300, el planteamiento de los procedimientos de auditoría debe
tener en cuenta si la auditoría se realiza por primera vez o se trata de una auditoría recurrente.
La realización de una auditoría recurrente no ha de impedir la implementación de una planifi-
cación correcta, pero evita la repetición de algunos procedimientos o los hace innecesarios (es
lo que se denomina «rotación de énfasis»). Todo trabajo, sea nuevo o sea recurrente, ha de estar
convenientemente planificado y documentado en los papeles de trabajo. Pero evidentemente
sobre aquellas cuestiones que resulten invariables no es preciso volver a hacer trabajo con tal
de que se encuentre documentada la cuestión y su invariabilidad en los papeles de trabajo.
Entre los factores significativos y actividades preliminares sobre los que el auditor debe
poner el foco en la evaluación del control interno, destacan:
• Los resultados de las auditorías anteriores que evaluaron la eficacia operativa del
control interno, incluida la naturaleza de las deficiencias identificadas y las medidas
adoptadas para tratarlas.
• La evidencia del compromiso de la dirección con el diseño, la implementación y el
mantenimiento de un control interno sólido, incluida la evidencia de una documen-
tación adecuada de dicho control interno.
Evaluación del control interno en la auditoría de cuentas 161
• El volumen de las transacciones, que puede determinar si resulta más eficiente para
el auditor confiar en el control interno.
• La importancia concedida al control interno en toda la entidad para el buen funcio-
namiento del negocio.
Por su parte la NIA-ES 315 cuando habla del control interno de la entidad señala que el
auditor deberá obtener conocimiento del control interno relevante para la auditoría. Si bien
es probable que la mayoría de los controles relevantes para la auditoría estén relacionados
con la información financiera, no todos los controles relativos a la información financiera
son relevantes para la auditoría. El hecho de que un control, considerado individualmente
o en combinación con otros, sea o no relevante para la auditoría es una cuestión de juicio
profesional del auditor.
Al obtener conocimiento de los controles relevantes para la auditoría, el auditor tendrá
que evaluar el diseño de dichos controles y determinar si se han implementado y funcionan
correctamente, mediante la aplicación de procedimientos adicionales a la indagación realiza-
da entre el personal de la entidad.
Dicha norma define claramente qué actividades debe realizar el auditor para evaluar
cada uno de los componentes del control interno (tomando como referencia COSO).

4.1. Entorno de control

El auditor debe obtener conocimiento del entorno de control debiendo evaluar, como
parte de este conocimiento, si:
• la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha
establecido y mantenido una cultura de honestidad y de comportamiento ético; y
si
• los puntos fuertes del entorno de control proporcionan en conjunto una base adecua-
da para los demás componentes del control interno y si estos otros componentes, a
su vez, no están menoscabados como consecuencia de deficiencias en el entorno de
control.

4.2. Evaluación de riesgos por la entidad

El auditor deberá obtener conocimiento de si la entidad ha establecido un proceso para:
• la identificación de los riesgos de negocio relevantes para los objetivos de la infor-
mación financiera;
• la estimación de la importancia de los riesgos;
• la valoración de su probabilidad de ocurrencia; y
• la toma de decisiones para minimizar o mitigar dichos riesgos.
A su vez, la norma diferencia entre dos situaciones:
162 Mercedes E. Lebrancón Cortés

• Si la entidad ha establecido dicho proceso, el auditor obtendrá conocimiento de tal

proceso y de sus resultados.
• Por el contrario, si la entidad no ha establecido dicho proceso, el auditor discutirá con
la dirección si han sido identificados riesgos de negocio relevantes para los objetivos
de la información financiera y el modo en que se les ha dado respuesta, debiendo va-
lorar si es adecuada, en función de las circunstancias, la ausencia de un proceso de va-
loración del riesgo documentado. En caso contrario, determinará si ello constituye una
deficiencia significativa en el control interno que incluso pudiera afectar a la opinión.

4.3. El sistema de información, incluidos los procesos de negocio relacionados,

relevante para la información financiera, y la comunicación
El auditor deberá obtener conocimiento del sistema de información relevante para la
información financiera, incluyendo:
• los tipos de transacciones que son significativos para los estados financieros;
• los procedimientos, relativos tanto a las tecnologías de la información (TI) como
a los sistemas manuales, mediante los que dichas transacciones se inician, se re-
gistran, se procesan, se corrigen en caso necesario, se trasladan al libro mayor y se
incluyen en los estados financieros;
• los registros contables relacionados, la información auxiliar que sirve de soporte
y las cuentas específicas de los estados financieros que son utilizados para iniciar,
registrar y procesar transacciones e informar sobre ellas;
• el modo en que el sistema de información captura los hechos y condiciones, distin-
tos de las transacciones, significativos para los estados financieros;
• el proceso de información financiera utilizado para la preparación de los estados
financieros de la entidad, incluidas las estimaciones contables y la información a
revelar significativas; y
• los controles sobre los asientos en el libro diario, incluidos aquellos asientos que no
son estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o
inusuales.
Asimismo, el auditor deberá conocer y evaluar el modo en que la entidad comunica las
funciones y responsabilidades relativas a la información financiera y las cuestiones significa-
tivas relacionadas con dicha información financiera, incluidas las:
• comunicaciones entre la dirección y los responsables del gobierno de la entidad; y
• comunicaciones externas, tales como las realizadas con los organismos reguladores.

4.4. Actividades de control relevantes para la auditoría

Por lo que respecta a este aspecto, el auditor deberá obtener conocimiento de las activi-
dades de control relevantes para la auditoría, entendiendo por tales aquellas que, a su juicio,
Evaluación del control interno en la auditoría de cuentas 163
es necesario conocer para valorar los riesgos de incorrección material y para diseñar los pro-
cedimientos de auditoría posteriores que respondan a los riesgos valorados.

4.5. Seguimiento de los controles

En esta área, el auditor obtendrá conocimiento de las principales actividades que la
entidad lleva a cabo para realizar un seguimiento del control interno relativo a la información
financiera, incluidas las actividades relevantes para la auditoría, y el modo en que la entidad
adopta medidas correctoras por las deficiencias en sus controles.
Si la entidad cuenta con una función de auditoría interna deberá, con el fin de determi-
nar si la función de auditoría interna puede ser relevante para la auditoría, obtener conoci-
miento sobre:
• la naturaleza de las responsabilidades de la función de auditoría interna y el modo
en que se integra en la estructura organizativa de la entidad; y
• las actividades que han sido o que serán realizadas por la función de auditoría inter-
na.
Ciñéndonos al marco regulatorio en el sector público estatal, resulta de interés destacar
la emisión por la Intervención General de la Administración del Estado (IGAE), a través
de la Oficina Nacional de Auditoría (ONA), de recientes notas técnicas que pretenden ir
reforzando en el trabajo de los auditores públicos determinados procedimientos desarrolla-
dos en dichas normas internacionales y que resultan operativos, eficientes y perfectamente
encuadrables en la metodología vigente de la IGAE. La emisión de dichas notas técnicas se
incardina en el marco del proceso de adaptación a las NIA-ES emprendido por dicho centro
directivo mediante Resolución de 18 febrero de 2014 por la que se establecen los objetivos y
líneas básicas del proceso de adaptación de las Normas de Auditoría del Sector Público a las
Normas Internacionales de Auditoría.
En este marco, interesa destacar la emisión de la Nota Técnica 3/2016 sobre planifica-
ción y evaluación del control interno en la auditoría de cuentas. El objetivo principal de la
misma es realizar una aproximación a las NIA-ES en una materia tan relevante como es la
planificación y evaluación del control interno, permaneciendo como contexto de trabajo las
NASP actualmente en vigor en tanto no se adopten las nuevas normas. Así las directrices
fijadas por la ONA en dicha nota pretenden fijar la definición, naturaleza y contenido de los
hitos más importantes y frecuentes en las actividades a realizar por el auditor al tiempo que
presentar los estándares más habituales que suelen realizarse en la auditoría de cuentas en
relación con estas materias.
Ello supone considerar como premisa de partida que en la planificación de una auditoría
de cuentas en el Sector Público el auditor, en la mayoría de los casos, tiene que considerar
objetivos adicionales, permanentes o eventuales, como el cumplimiento de la legalidad no
relacionada directamente con la imagen fiel, la valoración de la eficiencia del control interno
o cualesquiera otras indicaciones que se establezcan dentro del alcance del trabajo.
El auditor, por tanto, debe poner el foco en la necesidad de realizar una correcta evalua-
ción del control interno al objeto de evitar riesgos innecesarios, permitir optimizar tiempos
164 Mercedes E. Lebrancón Cortés

de ejecución y diseñar una estrategia de auditoría y plan global que conlleven una auditoría
más eficiente y segura.
Las claves de la evaluación del control interno habrán de versar sobre:
• El entorno o ambiente de control. Hace referencia al estilo de control que se practica
en la entidad auditada y a qué valores éticos se trasladan.
• El sistema de valoración del riesgo que la entidad auditada emplea. En tal sentido
puede ser indicativo la existencia de un manual de control interno que la entidad
aplica en el que se describan sus riesgos y los grandes procesos de control interno;
es decir, la descripción de qué riesgos existen y cómo se controlan las diferentes
áreas de trabajo de la entidad que generan información financiera.
• El sistema informático disponible. Conviene conocer con detalle el sistema infor-
mático y todas sus prestaciones, esencialmente las generadoras de información fi-
nanciera o de procesos relacionados más directamente con dicha información.
• Las rutinas de control existentes, distinguiendo entre controles de prevención y con-
troles de detección de errores o fraudes.
• Seguimiento realizado de los controles: La entidad auditada ha de tener una idea
precisa de cómo ha funcionado su control interno en el periodo auditado y en tal
sentido ha de disponer de documentos, que evidencien este funcionamiento, donde
se concreten los efectos tanto globales como a nivel de áreas de los sistemas y ex-
pongan cómo se han cubierto en la práctica los riesgos de la entidad y cuáles son las
medidas que se han tomado o se van a tomar para reducirlos a límites razonables en
el futuro.
En la evaluación del control interno, el auditor contemplará asuntos tales como:
• Existencia de mapa o relación de riesgos, descripción escrita y contrastada de un
procedimiento de control interno implementado por la entidad con sus correspon-
dientes informes de seguimiento.
• Existencia de códigos de ética en la entidad y la difusión entre su personal.
• Procedimientos de selección y formación del personal.
• Sistema informático y sus prestaciones.
• Control físico de activos y las medidas para evitar su pérdida, mitigarla o compen-
sarla en caso de siniestro.
• Existencia de departamentos de auditoría interna o de asuntos legales o de cumpli-
miento con mayor o menor grado de dedicación en función de la dimensión de la
entidad.
• Sistema contable, presupuestario, y en general regulatorio que se le aplica y su gra-
do de cumplimiento general.
Profundizando en este ámbito, la ONA emitió en 2017 la Nota técnica 1/2017 sobre el
procedimiento de «Términos del documento de inicio de la auditoría de cuentas (TDA)» cuya
Evaluación del control interno en la auditoría de cuentas 165
aplicación es obligatoria en los trabajos de auditoría de cuentas anuales 2018. La aplicación
de la Nota técnica pretende favorecer la existencia de unas condiciones previas al tiempo del
inicio del trabajo, o en una fase muy incipiente de este, que supongan la realización de una
auditoría más organizada y un mejor entendimiento entre el auditor y el auditado.
En el punto 4 del modelo de TDA que se contiene en la propia nota técnica, «Otra
documentación relevante», se solicita a la entidad cuyas cuentas van a ser auditadas por la
IGAE, entre otra información relevante, una descripción en forma narrativa del sistema de
control interno sobre la información financiera que presenta y una evaluación de los princi-
pales riesgos asociados a la generación de las cuentas anuales. Se pretende que la descripción
contenga una manifestación de los responsables del sistema de control interno de la entidad
sobre la implantación de un sistema adecuado a la entidad, el desarrollo de los principales
aspectos del mismo, la evaluación de los principales riesgos asociados a la generación de la
información contable y su opinión sobre si el sistema de control en el ejercicio auditado es
eficaz o no.
En desarrollo de lo previsto en dicha Nota técnica de la ONA, el pasado mes de febrero
fue aprobada por dicha oficina la «Guía para elaborar la descripción del sistema de control
interno sobre la información financiera de la entidad y la evaluación de los principales riesgos
asociados a la generación de las cuentas anuales».
Dicha guía se emite con la finalidad de cubrir varios objetivos:
• orientar a los auditores respecto de la elaboración que debe realizar la entidad que
va a ser auditada sobre dicha descripción del sistema de control interno en lo que
afecta a la información financiera y al cumplimiento de la legalidad;
• facilitar el entendimiento del tipo de contenido que se espera contenga la misma, y
• establecer herramientas para que la entidad realice la descripción y valoración de
los principales riesgos del sistema de control establecido para la generación de in-
formación financiera así como para que el propio auditor pueda efectuar la evalua-
ción del sistema establecido en la elaboración de su estrategia de auditoría.
En la misma, basándose en el enfoque del marco integrado de control interno de COSO,
se analizan los distintos componentes del control interno y se establecen algunos indicadores
al respecto que sirvan de referencia a los auditores públicos en los trabajos de auditoría sobre
las cuentas anuales. (Figura 1).
Considerando esto una exigencia para los auditores y por ende, para las entidades ob-
jeto de auditoría por la IGAE, una vez obtenida la descripción y evaluación, en actuaciones
recurrentes el auditor necesitará actualizar ese conocimiento, así como evaluar la necesidad
de obtener evidencia adicional sobre posibles cambios en el control.
166 Mercedes E. Lebrancón Cortés

Figura 1
Forma en que interactúan los cinco componentes del control interno

Cuentas e información a revelar importante en estados financieros

Incluye controles sobre:

co ntro l Valora
c
• Fraude (Dirección abusa,
d el ió n d
no el r i pasa por encima)
esg
tor o
Controles dominantes

En • Procesamiento centralizado
• Proceso de información
financiera de final de
Controles a nivel entidad ejercicio
on Controles generales de TI
M

ito
reo

formación
e in
ad
em
st
Si
Activid
Controles específicos

ades de control

Controles transaccionales
(proceso del negocio)

Aplicación de controles de TI

Transacciones

Fuente: Guía para el uso de las Normas Internacionales de Auditoría en Pequeñas y Medianas Empresas emitida por
la International Federation of Acountants.

5. Conclusión
A la vista de lo expuesto, podemos concluir que la estrategia del auditor necesariamente
debe ir enfocada, atendiendo a los requerimientos establecidos en las normas y marcos me-
todológicos de aplicación, a la prevención y detección de incorrecciones materiales por error
o fraude en el proceso de rendición de cuentas anuales por las entidades, y a la realización
de un proceso de auditoría más eficiente centrándose en las áreas críticas y con alto riesgo y,
minimizando o minorando la aplicación de procedimientos de auditoría en otras áreas menos
críticas con bajo riesgo.
En una situación de riesgos controlados, donde la entidad auditada haya valorado sus
riesgos, diseñado controles mitigadores de estos riesgos y además pueda evidenciar que di-
cho sistema ha funcionado, el auditor, tras aplicar una serie de procedimientos de auditoría,
Evaluación del control interno en la auditoría de cuentas 167
estará en condiciones de poder concluir que el riesgo se ha reducido a límites razonables y
proceder a la calificación del grado de confianza que le suponga el mismo. De esta forma,
llevará a cabo el diseño de su estrategia o plan de trabajo, poniendo especial atención en
aquellas áreas en las que haya encontrado debilidades en el sistema de control. Por el contra-
rio, en situaciones de riesgos no controlados, su estrategia de auditoría requerirá de esfuerzos
adicionales con el objeto de obtener seguridad razonable en la emisión de su opinión.
No obstante, debe tenerse en cuenta que ni la planificación ni la evaluación del control
interno y sus riesgos constituyen un departamento estanco, sino que se enlazan con otras
partes de la auditoría, imbricándose y retroalimentándose. Por ello, aunque la planificación
y la evaluación del control interno constituyen hitos o procesos recurrentes, debe tenerse en
cuenta que pueden variar en función de los propios resultados obtenidos al ejecutar el trabajo.
La evaluación del control interno debe permitirnos obtener un conocimiento de las en-
tidades e informar a la administración y a sus responsables de gobierno respecto de las fallas
o debilidades en el sistema que hayan sido identificadas en el transcurso de nuestro trabajo
como auditores. Y ello, en última instancia, supone la generación de valor público para las
propias entidades que debe revertir a la sociedad.

Bibliografía
Committee of Sponsoring Organizations of the Treadway Commission (COSO 2004). «Enterprise Risk
Management – Integrated Framework».
Committee of Sponsoring Organizations of the Treadway Commission (2013). «Internal Control – In-
tegrat​​​​​​​​ed F​r​​amework (2013)».
Committee of Sponsoring Organizations of the Treadway Commission (COSO 2017). «Enterprise Risk
Management–Integrating with Strategy and Performance» (2017).
Dirección General de Presupuesto de la Comisión Europea (2006). «Welcome to the world of PIFC
(Public Internal Financial Control)».
ICAC. Resolución ICAC de 15 de octubre de 2013. NIA-ES 300 «Planificación de la auditoría de
estados financieros».
ICAC. Resolución ICAC de 15 de octubre de 2013. NIA-ES 315 «Identificación y valoración de los
riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno».
International Federation of Accountants (IFAC). ISA (NIA) 300 «Planificación de la auditoría de esta-
dos financieros».
International Federation of Accountants (IFAC). International Federation of Accountants (IFAC). ISA
(NIA) 315 «Identificación y evaluación de los riesgos de incorrección material mediante el conoci-
miento de la entidad y de su entorno».
International Federation of Accountants (2010). Comité de Pequeñas y Medianas Firmas de Auditoría
de la Federación Internacional de Contadores (IFAC). «Guía para el uso de las Normas Internacio-
nales de Auditoría en Pequeñas y Medianas Empresas».
Intervención General de la Administración del Estado IGAE (1998). Normas de Auditoría del Sector
Público.
168 Mercedes E. Lebrancón Cortés

INTOSAI (2004). «Guía para las normas de control interno del sector público».
INTOSAI (2007). «Guía para las normas de control interno del sector público. Información adicional
sobre la administración de riesgos de la entidad».
INTOSAI (2010). ISSAI 1240 «Obligaciones del auditor en relación con el fraude en una auditoria de
estados financieros».
Oficina Nacional de Auditoría IGAE (2016). «Nota técnica 3/2016 sobre planificación y evaluación del
control interno en la auditoría de cuentas».
Oficina Nacional de Auditoría IGAE (2017). «Nota técnica 1/2017 sobre el procedimiento de «Térmi-
nos del documento de inicio de la auditoría de cuentas (TDA)».
Oficina Nacional de Auditoría. IGAE (2018). «Guía de ayuda para elaborar la descripción del sistema
de control interno sobre la información financiera de la entidad y la evaluación de los principales
riesgos asociados a la generación de las cuentas anuales».
Rittenberg, L. E. (2013). «Un reflejo del paso del tiempo». Internal Auditor, pp. 63.