La evaluación del entorno de controles en

auditorías de estados financieros

 
 CREADO: 08 JULIO 2022
Por: CP Iván Rodríguez. Colaborador de Auditool.
Mantener un entorno de control altamente efectivo es parte integral de cualquier buen
programa de aseguramiento y de cumplimiento de una organización. Cuando los controles
u otras medidas de seguridad fallan, hay una exposición a diferentes riesgos que puede
tener impactos significativos. Las repercusiones pueden implicar una costosa violación de
datos, interrupción en la cadena de suministro, daño a la reputación, pérdida de ingresos y
otros efectos más. Sin embargo, con un monitoreo adecuado la mayoría de las fallas de
control son completamente prevenibles.
Para un auditor es importante la revisión del entorno de control de su cliente, pues esto le
permite identificar áreas de mejora y plantear recomendaciones apropiadas para evitar
interrupciones y fallas futuras en los procesos. Una vez que la organización se comprometa
a una mejor gestión de los controles, advertirá su importancia, bien sean estos detectivos,
preventivos o correctivos. Una buena gestión de los controles es una adecuada respuesta a
la protección contra catástrofes.
En un reciente artículo[1] de auditcomply se cita a Amy Brachio, Vicepresidenta Adjunta
Global de Sostenibilidad de EY, y sus recomendaciones sobre preguntas para hacer durante
una revisión de su entorno de control:

 ¿La estructura de gobierno maximiza la cobertura de riesgos y los recursos? Si bien

puede parecer una tarea sin importancia después de algunos años de cumplir con los
requisitos de SOX y normas semejantes, muchas compañías están revisando,
complementando y documentando su programa de control interno para reportes
financieros ICFR[2] (Internal Control Over Financial Reporting por sus siglas en
inglés) parte de sus programas de capacitación.
 ¿Se actualiza regularmente el programa ICFR para responder a los cambios en el
negocio y los requisitos reglamentarios? Las organizaciones de prácticas líderes han
establecido un proceso sostenible para actualizar periódicamente su programa ICFR
para responder a los cambios en el mercado, e incluso usarlo como una plataforma
para hacer cambios y mejoras más holísticas.
 ¿Se identifican los cambios en las normas de contabilidad y las implicaciones para
el negocio?, ¿se abordan de manera oportuna? Un proceso continuo bien
documentado y bien entendido es fundamental para mantenerse al tanto de los
cambios en las normas contables.
 ¿Cómo se selecciona y supervisa el alcance y la combinación de controles
adecuados? La optimización del control no debe ser un ejercicio de una sola vez,
sino que debe hacerse periódicamente para mantenerse al día con los cambios en los
entornos comerciales y regulatorios.
 ¿Los controles de revisión de gestión están diseñados y ejecutados adecuadamente?
Las áreas típicas incluyen procesos de estimación de mayor riesgo, fraude u otros
riesgos significativos, clases inusuales o no rutinarias de transacciones, controles de
todo el grupo y controles de compensación. En estos se confía para mitigar las
deficiencias.
 ¿Está considerando la integridad y precisión de la información provista por la
entidad en sus controles? Cuando las empresas recopilan internamente evidencia del
diseño y la efectividad operativa de los controles, deben considerar y documentar la
integridad y precisión de la evidencia.
 ¿Cuándo es importante la integridad de la población? Los informes utilizados como
población en las pruebas de TI y los controles de procesos de negocio deben ir
acompañados de evidencia de que los datos reportados reflejan completamente la
información contenida en el sistema. Además, que no se modificó indebidamente
cuando se generaron los informes.
 ¿Los controles son lo suficientemente precisos como para detectar problemas
significativos? El objetivo general de las pruebas de estimación de la administración
es validar que los supuestos y estimaciones del emisor que subyacen a la valoración
de los activos y pasivos son razonables.
 ¿Se sabe quiénes son las partes relacionadas? Las empresas deben revisar los
controles que tienen establecidos para identificar, contabilizar y divulgar
transacciones con partes relacionadas y ejecutivos, así como transacciones inusuales
significativas.
 ¿La organización realiza un análisis de impacto una vez que se identifica una
deficiencia? Cuando se identifican deficiencias relacionadas con los procesos de
negocio o los sistemas y controles financieros clave, la realización de
procedimientos adicionales para determinar si sucedió algo malo es el siguiente
paso.
 ¿Retrasar la corrección de las deficiencias hoy en día puede convertirse en
deficiencias significativas en el futuro? La administración debe definir e
implementar planes de corrección específicos para todas las deficiencias. Si los
planes están en vigor, pero abarcan varios años, es posible que sea necesario
implementar controles de compensación temporales para mitigar los riesgos.
 ¿Cómo afectan las implementaciones del sistema al entorno de control interno? Las
implementaciones de aplicaciones de TI a menudo introducen nuevas capacidades
de control, pero también nuevos riesgos que afectan la capacidad de la aplicación
para soportar un control interno efectivo que permite informes financieros precisos.
 ¿Dónde reside la responsabilidad y la supervisión de los sistemas y procesos de
negocio subcontratados en su organización? La externalización de sistemas y
procesos de negocio no exime a las entidades usuarias de su responsabilidad por un
entorno de control interno eficaz.
 ¿Qué puede hacer si no hay un informe SOC[3] disponible? Si no existen
suficientes controles en la entidad usuaria, es posible que la administración, con la
asistencia de los equipos de cumplimiento y los auditores internos, deba realizar
pruebas de controles o procedimientos sustantivos en la organización del servicio.
 ¿Cuando los sistemas se trasladan a la nube se puede esperar que los controles
sigan? Hay que tener cuidado con el proveedor: cuando sistemas completos o sus
 componentes se trasladan a soluciones administradas por el proveedor, la diligencia
debida relacionada con los controles dará sus frutos.
 ¿Por qué la segregación de funciones es importante? Sin una herramienta
automatizada de GRC (gobierno, riesgo y cumplimiento) los principales sistemas de
planificación de recursos empresariales pueden no tener controles adecuados sobre
los conflictos de segregación de funciones.
 ¿Se le da suficiente consideración al riesgo cibernético en su programa de gestión
de riesgos? Cuando se trata de riesgo cibernético esperar que algo suceda no es una
respuesta apropiada en circunstancia alguna.
 ¿Se ha considerado cómo el análisis de datos puede ayudar a la organización a
evaluar los controles y evaluar los riesgos de manera más eficiente? Las áreas
comunes de implementación son el monitoreo continuo de controles en conjunto
con los sistemas, el alcance de auditoría para identificar las áreas de mayor riesgo, y
análisis de impacto en el caso de deficiencias de control identificadas.
 ¿La organización aprovecha la tecnología y las herramientas para gestionar de
manera más efectiva los controles internos? El repositorio de código fuente y las
herramientas de administración de versiones pueden permitir controles adecuados
sobre los cambios en los sistemas de producción y la segregación de las tareas de
soporte frente a las de desarrollo. Además, el software de pruebas comerciales
permite la implementación de un enfoque disciplinado para las pruebas de cambio
del sistema financiero.

Las anteriores preguntas y comentarios pueden orientar al auditor a hacer una mejor
evaluación del entorno de controles de una organización, así como dar una mejor cobertura
a su trabajo, por lo que es conveniente tenerlas en cuenta.
 
[1] Ver: https://www.auditcomply.com/2022/05/10/elevating-your-controls-environment/
[2] El ICFR se refiere a los controles diseñados específicamente para abordar los riesgos
relacionados con la información financiera. En términos sencillos, el ICFR de una empresa
consiste en controles diseñados para proporcionar una seguridad razonable de que los
estados financieros de la empresa son confiables y que están preparados de acuerdo con los
PCGA.
[3] Un informe SOC documenta los controles internos de un proveedor de servicios en la
nube que pueden ser relevantes para los informes financieros de un cliente.