126 Cuestionario C.I. y Fraude - Mittsu 15

CONSIDERACIONES SOBRE CONTROL INTERNO Y FRAUDE
Cliente Mittsu Motors, S.A. de C.V. Preparado Alfredo Granados Aguirre

Subsidiaria o División Aprobado
Fecha Estados Financieros 31/12/2015 Socio
General
Este formulario nos ayuda a:

• Obtener una comprensión del control interno a nivel de empresa para planear la auditoría y determinar la naturaleza,
oportunidad y alcance de nuestros procedimientos de auditoría;
• Identificar y evaluar el diseño de los controles a nivel de empresa importantes para la auditoría;
• Determinar si han sido establecidos los controles a nivel de empresa importantes para la auditoría;
• Evaluar la eficacia del control interno a nivel de empresa, y
• Resumir los procedimientos ejecutados y la información considerada al identificar los riesgos de aseveraciones
equívocas materiales provenientes de fraude.
Este formulario también trata los requerimientos de la PCAOB Auditing Standard No. 2 (Norma No. 2) cuando ejecutamos
una auditoría de control interno sobre el reporte de información financiera en conexión con una auditoría de estados
financieros (auditorías integradas). Para auditorías integradas, este formulario proporciona el enlace entre nuestra
comprensión y evaluación del diseño e implantación de controles a nivel de empresa, los controles a nivel de empresa que
seleccionamos para probar, y los procedimientos diseñados para probar esos controles. Además, según se requiere en la
Norma No. 2, este formulario nos ayuda a evaluar la eficacia de la vigilancia que ejerce el comité de auditoría sobre los
reportes externos de información financiera y el control interno sobre el reporte de información financiera.
Los temas de estos formularios marcados **Auditoría Integrada Solamente** deben ser completados solamente para
auditorías integradas. Todos los demás temas deben ser completados para todos los compromisos.
También se requiere que obtengamos información acerca del control interno a nivel de aplicación o proceso individual para
planear la auditoría (e.g., hacer nuestras evaluaciones de riesgo combinado inherente y de control) y determinar la
naturaleza, oportunidad y alcance de nuestros procedimientos de auditoría.
El ejecutivo a cargo de la auditoria revisa y aprueba este formulario cada año.

Cada sección de este formulario deber ser completada y/o revisada por los integrantes del compromiso con suficiente
experiencia y conocimientos de la empresa para saber, con un alto grado de certeza, si la información incluida describe
apropiadamente los controles a nivel de empresa que son importantes para la auditoría e indica los riesgos potenciales de
fraude que están presentes.
Además, para auditorías integradas, cada sección de este formulario debe ser completada y/o revisada por los miembros del
compromiso con suficiente experiencia y conocimiento del cliente para saber, con un alto grado de certeza, si la información
incluida indica la presencia de deficiencias potenciales de control que influirían en la naturaleza, oportunidad y alcance de
nuestras pruebas de la eficacia operativa para los controles a nivel de proceso o de transacción.
-1-
Puesto que el proceso de ejecutar los procedimientos y completar el formulario requiere contribuciones o información (input)
de más de un miembro del equipo, puede normalmente lograrse de una manera más eficaz y eficiente cuando el equipo del
compromiso (incluyendo al ejecutivo a cargo de la auditoria) discute, en una fecha temprana durante el compromiso, cuál(es)
individuo(s) va(n) a ser responsable(s) de ejecutar los procedimientos y completar las secciones respectivas del formulario.
En vista de la influencia significativa que la tecnología de información (IT) puede tener en el control interno sobre el reporte de
información financiera, consideramos los aspectos de IT cuando respondemos a cada uno de los componentes de control
interno incluidos en este formulario. Los “Factores a considerar” que están precedidos por el símbolo “#” son típicamente
relevantes para consideraciones de IT.
Durante nuestro proceso anual de continuidad del cliente revisamos el formulario ICFC completado más recientemente.
También consideramos los resultados y los factores identificados en el proceso de continuidad del cliente en la actualización
del ICFC y en nuestra estrategia de auditoria. La información nueva o actualizada identificada durante el proceso de
continuidad del cliente que no se refleja en ninguna otra parte de este formulario se considera al completar la Parte 2.6 – Otra
Información, y también se considera en nuestra identificación y evaluación de los riesgos potenciales de fraude para la
auditoría del año en curso.
Si el compromiso ha sido designado como de monitoreo estricto (close monitoring), enfocamos atención particular a los
factores de riesgo u otros asuntos que fueron un factor al hacer esa designación. También comunicamos a los miembros del
equipo del compromiso que el cliente ha sido designado para monitoreo estricto e indicamos las razones para esa
designación.
Consideraciones para Compromisos con Multilocalidades
El equipo primario de auditoria determina las localidades en las cuales se completa el ICFC, y su alcance. En general, para
compromisos con multilocalidades, completamos el formulario en su totalidad para aquéllas localidades (e.g., subsidiarias,
divisiones) donde ejecutamos un compromiso de full interoffice scope. Por ejemplo, en una subsidiaria donde ejecutamos un
compromiso de full interoffice scope, prepararíamos o actualizaríamos el formulario en el grado que se relacione con esa
subsidiaria. Para aquellas localidades donde no ejecutamos un compromiso de full interoffice scope, el ejecutivo a cargo del
compromiso de auditoria determina si parte o la totalidad del formulario debe ser completado. Al hacer esta determinación, el
ejecutivo a cargo de la auditoria considera factores tales como la materialidad de la localidad, la naturaleza y alcance de los
procedimientos en esa localidad, la naturaleza y alcance de las operaciones de la localidad y qué tan similares son sus
operaciones, sistemas y procedimientos a otras localidades; el grado de autonomía operacional que le han concedido a la
localidad ; si los auditores internos han completado (y nosotros hemos revisado) un formulario similar para la localidad;
nuestra compresión de los riesgos de negocios y de estados financieros asociados con la localidad; y las preocupaciones
sobre control interno a nivel de empresa o resultantes de la discusión del equipo del compromiso sobre fraude..
Consideraciones para Empresas Más Pequeñas
Nuestra identificación de los riesgos potenciales de aseveraciones equívocas materiales provenientes de fraude y
de control interno a nivel de empresa debe considerar las circunstancias únicas, así como el tamaño y la
complejidad, de las empresas más pequeñas. Por ejemplo, una empresa pequeña que no es públic a, puede no
tener un código de conducta por escrito o políticas y procedimientos corporativos formalmente documentados. En
estos casos, ponemos especial atención al “tono” establecido por la gerencia en sus propias acciones, así como
sus esfuerzos para comunicar a los empleados las políticas y valores de la empresa y la importancia de la
integridad y el comportamiento ético. Igualmente, una empresa más pequeña que no es pública puede no tener un
miembro independiente o externo en su junta directiva. En estos casos, debemos considerar el grado de diligencia
de la gerencia y de la junta directiva en la ejecución de sus responsabilidades de gobierno corporativo. Estas
condiciones no deben afectar negativamente nuestra evaluación de la eficacia del control interno a nivel de
empresa. Reconocemos que las empresas más pequeñas, por su naturaleza, tendrán grados variables de control
interno. Como resultado, se requiere juicio para evaluar los riesgos de fraude y determinar los efectos del control
interno a nivel de empresa sobre nuestro enfoque de auditoría .
-2-
Instrucciones para Completar el Formulario
1. Muchas de las secciones del formulario requieren que el equipo del compromiso documente observaciones basadas en
una lista de factores a considerar. No es necesario dar una respuesta para cada factor. La lista de factores tiene la
intención de estimular ideas para que el equipo del compromiso pueda aplicar su conocimiento colectivo de la empresa
al adaptar una respuesta apropiada para cada sección aplicable.
2. Documentamos nuestra consideración de los componentes de control interno a nivel de empresa en la Parte 1 del
formulario. Las respuestas que se proveen deben incluir observaciones (ya sea positivas o negativas) basadas en los
Factores a Considerar. De esta forma, una respuesta que diga “ninguna” o “no aplicable”, no es apropiada para esta
sección dentro de la Parte 1. También identificamos los controles a nivel de empresa importantes para la auditoría y
determinamos si esos controles han sido diseñados e implantados apropiadamente en la Parte 1. Las respuestas dentro
de la Parte 1 deben ser suficientes para soportar nuestra Conclusión sobre la Eficacia del Control Interno a Nivel de
Empresa. Cualquier respuesta dentro de la Parte 1 que es indicativa de un riesgo potencial de fraude también se incluye
en el Resumen de Observaciones y Riesgos de Fraude Identificados.
3. La Parte 2 es usada para documentar la fuentes de información disponibles específicas a nuestra identificación de los
riesgos de aseveraciones equívocas provenientes de fraude. Las respuestas en la Parte 2 que son indicativas de un
riesgo potencial de fraude, son incluidas en el Resumen de Observaciones y Riesgos de Fraude Identificados.
4. El formulario incluye una Tabla de Contenido que tiene hyperlinks a cada sección aplicable. También están incluidas
dentro del formulario hyperlinks de vuelta a la Tabla de Contenido o a otra sección específica dentro de las Partes 1 y 2.
Después de usar un hyperlink, usted podrá regresar al punto de origen mediante la selección de la tecla de retroceso
(back arrow key) en el toolbar de Microsoft Word. Estos hyperlinks proporcionan al equipo del compromiso la habilidad
de copiar, insertar y editar información de las secciones detalladas dentro de las Partes 1 y 2 a la Conclusión sobre la
Eficacia del Control Interno a nivel de Empresa y el Resumen de Observaciones y Riesgos de Fraude Identificados.
Adicionalmente, los hyperlinks facilitarán la revisión de la información en el formulario.
-3-
Contenido del Formulario
Conclusión sobre la Eficacia del Control Interno a Nivel de Empresa
Resumen de Observaciones y Riesgos de Fraude Identificados
Resumen de Riesgos de Fraude Identificados y Respuestas Planeadas
Parte 1 – Considerar los Componentes de Control Interno a Nivel de Empresa

1.1 Entorno de Control
a. Integridad y Valores Etícos, y el Comportamiento de Ejecutivos Clave
b. Conciencia de Control de la Gerencia y Estilo Operativo
c. Compromiso de la Gerencia a la Capacidad o Competencia
d. Participación de la Junta Directiva y el Comité de Auditoria en la Vigilancia y Gobierno Corporativo
e. Estructura Orgánica y Asignación de Autoridad y Responsabilidad
f. Políticas y Prácticas de Recursos Humanos
1.2 Evaluación de Riesgo
1.3 Actividades de Control, Información y Comunicación
1.4 Monitoreo
Parte 2 – Identificar Riesgos Potenciales de Aseveración Equívoca Material Proveniente de Fraude

2.1 Discusión(es) del Equipo del Compromiso
2.2 Factores de Riesgo Relativos al Reporte de Información Financiera Fraudulenta
2.3 Factores de Riesgo Relativos a Malversación de Activos
2.4 Resultados de Procedimientos Analíticos Durante la Planeación
2.5 Indagaciones a la Alta Gerencia, el Comité de Auditoria, la Auditoria Interna y Otros
2.6 Otra Información
-4-
Part 1 — Considering the Components of Internal Control at the Entity Level
1.1 Entorno de Control (Continuación)
Nuestra evaluación general de la eficacia del control interno a nivel de empresa está interrelacionada con nuestra
consideración de los riesgos de fraude y otros procedimientos que ocurren durante la auditoria. Consideramos si la
información obtenida en la Parte 2, Identificar Riesgos Potenciales de Aseveración Equívoca Material Provenientes de
Fraude, tiene un efecto significativo en nuestra evaluación general de la eficacia del control interno a nivel de empresa. En
forma similar, consideramos si las deficiencias en el control interno a nivel de empresa deben ser consideradas al evaluar los
riesgos de aseveración equívoca material provenientes de fraude (e.g., atención inadecuada al control interno y tecnología de
información, falta de personal contable y financiero con las habilidades técnicas requeridas, y falta de un departamento de
auditoria interna).
La presencia de una o más observaciones negativas dentro de la Parte 1 del formulario no necesariamente significa que el
control interno a nivel de empresa es ineficaz. Sin embargo, consideremos si las observaciones positivas mitigan
suficientemente cualesquier deficiencias o preocupaciones antes de llegar a nuestra conclusión general sobre la eficacia del
control interno a nivel de empresa. En forma similar, la presencia de algunos factores de riesgo de fraude dentro de la Parte
2 del formulario puede llegar a cuestionar una conclusión de que los controles a nivel de empresa son eficaces y debemos
darles consideración apropiada al hacer nuestra evaluación. A este respecto, ponemos particular atención a los factores de
riesgo relacionados con actitudes de la gerencia o de la junta directiva, u oportunidades que resultan de una atención
impropia o una falta de consideración por el control interno.
Basados en nuestras observaciones documentadas en las Partes 1 y 2, y los riesgos de fraude identificados incluidos en el
Resumen de Observaciones y Riesgos de Fraude Identificados, concluimos que el control interno a nivel de empresa es:
Eficaz
Ineficaz
Describa a continuación las bases para su conclusión. Para acceder a las respuestas detalladas dentro de la Parte 1,
haga clic aquí para un link a la Tabla de Contenido e hyperlinks a la secciones dentro de la Parte 1 - Considerar los
Componentes de Control Interno a Nivel de Empresa. Para auditorias de compañías públicas, si concluimos que el
control interno a nivel de empresa es ineficaz, consultamos con el Director de Práctica Profesional sobre el efecto en
nuestra estrategia de auditoria y las implicaciones sobre la continuidad del cliente.
La compañía tiene implantadas políticas y procedimientos para sus operaciones, la gerencia tiene una conciencia de
control, monitorea todas las actividades de sus operaciones, en las decisiones importantes consulta a sus asesores tanto
auditores y abogados, por las entrevistas realizadas con sus funcionarios se capta una sensibilidad a nuestras opiniones.
1.- Ética de la administración.
2.- Monitoreo constante de las operaciones por parte de la alta gerencia.
**Auditoría Integrada Solamente** - Consideraciones Adicionales
-5-
La Norma No. 2 reconoce la importancia de los controles a nivel de empresa y su efecto dominante potencial en el control
interno sobre el reporte de información financiera de la compañía. Por lo tanto, se requiere que probemos el entorno de
control. Sin embargo, no se requiere que probemos la eficacia operativa de los controles a nivel de empresa dentro de cada
uno de los demás componentes del control interno para una auditoría integrada a menos que éstos funcionen como controles
a nivel de transacción a los cuales intentamos otorgar confianza en relación con procesos significativos que afectan cuentas
significativas, o estén diseñados específicamente para prevenir, impedir o detectar fraude.
Por consiguiente, además de los requerimientos para la auditoría de estados financieros, usamos los siguientes principios
adicionales para guiar nuestro enfoque al evaluar y probar los controles a nivel de empresa para una auditoría integrada:
 Probar la eficacia operativa del entorno de control y los controles de programa anti-fraude –
La Norma No. 2 requiere que evaluemos y probemos el entorno de control, incluyendo los controles relacionados con
programas que son específicamente para prevenir, impedir y detectar fraude. Diseñamos pruebas que aporten evidencia
de que el control a nivel de empresa funciona eficazmente, teniendo en cuenta su efecto sobre los estados financieros.
Típicamente, la evidencia de la eficacia operativa de estos controles a nivel de empresa es menos persuasiva y más
subjetiva que la evidencia obtenida cuando probamos los controles a nivel de transacción. La naturaleza de nuestras
pruebas para estos controles será principalmente mediante indagación complementada por observación e inspección.
Enumere a continuación los controles a nivel de empresa de la Parte 1 de este documento en relación con el entorno de
control, incluyendo controles relacionados a programas que hemos seleccionado para prueba cuya intención es
específicamente prevenir, impedir y detectar fraude.
 Evaluar y probar la eficacia operativa de otros controles a nivel de empresa que funcionan como controles a nivel de
transacción – Ciertos controles a nivel de empresa funcionan esencialmente como controles a nivel de transacción y
pueden reducir el número de controles a nivel de transacción que de lo contrario necesitaríamos probar en ausencia del
control a nivel de empresa. Cuando identificamos tales controles, éstos deben ligarse a WCGWs relevantes. Pudiéramos
concluir que probar el control a nivel de empresa es más eficiente que probar otros controles de prevención o detección a
nivel de transacción. Sin embargo, necesitaríamos asegurarnos de que estos controles de detección a nivel de empresa
son suficientemente sensibles para detectar una aseveración equívoca material en las cuentas relacionadas.
Documente a continuación los riesgos identificados de aseveración equívoca material proveniente de fraude. Esperamos
que para la mayoría de los compromisos se identifiquen uno o más riesgos de fraude. Adicionalmente, existe una
presunción que identificaremos uno o más riesgos de fraude relacionados con el reconocimiento de ingresos. Al hacerlo,
consideramos los aspectos de reconocimiento de ingresos que son más susceptibles al riesgo de fraude y consideramos
cuidadosamente las cuentas y aseveraciones significativas que son afectadas por el riesgo de fraude identificado y
planeamos nuestras respuestas de auditoría para tratar esas aseveraciones específicas. En aquellos casos poco
frecuentes en los que no hemos identificado uno o más riesgos de fraude relacionados con el reconocimiento de ingresos,
documentamos tales razones en nuestro Memorando de Estrategias de Auditoria.
Riesgos de Fraude Identificados

 Riesgo de fraude relacionado con el reconocimiento de ingresos aun cuando no tenemos una preocupación
especifica *
-6-
* Los riesgos asociados con reconocimiento inapropiado de ingresos deben ser adaptados al compromiso específico (e.g. acuerdos
laterales o side agreements, ventas excesivas a los canales de distribución (channel stuffing ), incentivos para acelerar el
reconocimiento de ingresos, historial de corte de ventas (cut-off) inadecuado).
Documente a continuación las observaciones clave de las distintas fuentes de información en otras partes de este
formulario que soportan los riesgos de fraude identificados que se han listado arriba.
Observaciones de la Parte 1 – Considerar los Componentes del Control Interno a Nivel de Empresa
 No hemos identificado ningun cambio que puediera tener un riesgo material de fraude
Observaciones de la Parte 2.1 – Discusión(es) del Equipo del Compromiso

 No hemos identificado ningún riesgo adicional dentro de nuestra discusión con el equipo de auditoria, ver
documentación del Evento de Planeación. (180 ( E ) )
Observaciones de las Partes 2.2 and 2.3 – Factores de Riesgo de Fraude

 No hemos identificado ningún cambio que pudiera tener un riesgo material de fraude, distinto del de ingresos.
Observaciones de la Parte 2.4 – Procedimientos Analíticos de Planeación

 No hemos identificado ningún cambio que pudiera tener un riesgo material de fraude, distinto del de ingresos.
Observaciones de la Parte 2.5 – Indagaciones



Observaciones de la Parte 2.6 – Otra Información



-7-
Programas y Controles Generales de la Empresa Que Tratan o Mitigan los Riesgos de Fraude
Los programas y controles de una empresa que tratan o mitigan los riesgos identificados de aseveración equívoca material
proveniente de fraude pueden ser parte de cualquiera de los cinco componentes del control interno sobre el reporte de
información financiera, pero con frecuencia son una parte del entorno de control. Los programas eficaces anti-fraude pudieran
incluir los siguientes elementos:
o Código de conducta o política de ética, especialmente provisiones relacionadas con conflictos de interes,
transacciones entre partes relacionadas, actos ilegales, y el monitoreo del código o la política por parte de la
gerencia y el comité de auditoría o la junta directiva;
o Una función de auditoría interna eficaz, incluyendo la naturaleza y alcance de actividad y cobertura, y el alcance
de la participación e interacción de auditoría interna con el comité de auditoría;
o Vigilancia adecuada del reporte de información financiera y el control interno sobre el reporte de información
financiera por parte del comité de auditoría y la junta directiva.
o Política de informantes o “whistleblowers” y hotline de informantes o de ética relacionados, incluyendo los
procedimientos de la compañía para manejar las quejas y para aceptar presentación confidencial de
preocupaciones acerca de asuntos cuestionables de contabilidad o auditoría;
o Una estructura orgánica bien definida, que incluya políticas y procedimientos relacionados con la contratación,
promoción y remuneración de personal clave;
o Los procesos de evaluación de riesgo de la empresa, y
o Controles que ayuden a prevenir la malversación de activos de la compañía que pueda resultar en una
aseveración equívoca material de los estados financieros (e.g., segregación de funciones, autorización de
activos, sistemas de seguridad).
Enumere a continuación los programas y controles de la empresa que tratan o mitigan los riesgos identificados de
aseveración equívoca material proveniente de fraude. Estos programas y controles también se listan en este formulario en
cada componente relevante de control interno, donde evaluamos su diseño e implantación.
**Auditoría Integrada Solamente** – Para auditorías integradas, la Norma No. 2 requiere que evaluemos y probemos el
entorno de control, incluyendo controles relacionados con programas cuya intención es específicamente prevenir, impedir y
detectar fraude. Por lo tanto, para auditorías integradas resumimos estos programas y controles en la porción de este
formulario “**Auditoría Integrada Solamente** – Consideraciones Adicionales”, dentro de la sección “Conclusión sobre la
Eficacia del Control Interno a Nivel de Empresa”, no en la casilla que está a continuación.
 N/A


Respuestas de Auditoría a Riesgos de Fraude Identificados

Debido a que los riesgos de fraude identificados son siempre riesgos significativos, identificamos cualquier riesgo de
-8-
fraude, junto con otros riesgos significativos en el Memorando de Estrategias de Auditoría (ASM) e incluimos una breve
descripción de nuestra estrategia de auditoría para cada riesgo. Nuestra auditoría debe incluir la comprensión y
evaluación del diseño de los controles y determinar si los controles sobre los riesgos de fraude han sido implantados.
Para cada riesgo de fraude, consideramos cuidadosamente cuáles cuentas y aseveraciones significativas son afectadas
por los riesgos de fraude, e identificamos los controles que ayudan a prevenir o detectar una aseveración equívoca
material en los estados financieros.
Para cada riesgo de fraude identificado, proporcione una descripción breve de nuestra respuesta de auditoría planeada.
Nuestra respuesta de auditoría planeada puede ser: (1) una respuesta que tiene un efecto general sobre la manera como
es conducida la auditoría (e.g., asignando personas adicionales con destrezas o conocimientos especializados para el
compromiso, ejecutando procedimientos en las localidades en forma sorpresiva); (2) pruebas de programas y controles
generales o de controles diseñados para mitigar el riesgo de fraude específico; y (3) una respuesta específica que
involucra la naturaleza, oportunidad y alcance de nuestros procedimientos sustantivos de auditoría.
**Auditoría Integrada Solamente** Para cada riesgo de fraude, identificamos controles que ayuden a prevenir o detectar
una aseveración equívoca material en los estados financieros. Para los controles identificados, seleccionamos los
controles que tratan el riesgo específico de fraude que planeamos probar. Para auditorías integradas, probamos por lo
menos un control para cada riesgo de fraude identificado. Seleccionamos para prueba esos controles que tienen una
influencia más significativa para mitigar el riesgo de fraude relacionado. **Auditoría Integrada Solamente**
Debido a que la gerencia puede tener la capacidad para omitir (override) controles que aparentemente operan
eficazmente, no existe la posibilidad de reducir el riesgo de auditoría a un nivel apropiadamente bajo ejecutando
solamente pruebas sobre controles. Por consiguiente, siempre debemos ejecutar algunos procedimientos sustantivos
para responder al riesgo particular de fraude, además de cualesquier pruebas sobre controles.
Riesgo: Reconocimiento de los ingresos

Cuentas y Aseveraciones Afectadas: Bancos, Cuentas por Cobrar, Ventas, Costo de Ventas, Medición, Ocurrencia,
Derechos y Obligaciones.
Controles:

Respuesta de Auditoria:
1. Probar todas aquellas operaciones que pudieran considerarse inusuales, con base en la comparación entre
periodos incluida la revisión documental de facturas
2. Procedimiento de corte de formas para las ventas al cierre de año.
3. Específicamente probaremos operaciones inusuales.
4. Revisión detallada de Ingresos.
5. Corte de Formas al cierre del ejercicio.
6. Revisiones Analíticas.
7. Revisión de Variaciones Significativas.
8. Confirmación de Saldos de Intercompañias.
-9-
9. Verificar conciliaciones entre partes relacionadas
Procedimientos para Tratar el Riesgo de Omisión (Override) por Parte de la Gerencia

Aunque los riesgos específicos de aseveraciones equívocas materiales provenientes de fraude no sean identificados,
existe una posibilidad de que la gerencia omita los controles. Los procedimientos requeridos para tratar el riesgo de
omisión de la gerencia están incluidos en el Programa para Procedimientos Generales de Auditoria. Estos procedimientos
requeridos incluyen: 1) procedimientos para seleccionar y examinar documentación de soporte para asientos de diario y
otros ajustes, 2) revisar estimaciones contables significativas buscando evidencia de prejuicio de la gerencia, incluyendo
una revisión retrospectiva de las estimaciones significativas, y 3) evaluar la razón de negocios para transacciones
significativas poco usuales.
Al hacer nuestra evaluación del control interno de la empresa a nivel de empresa, consideramos la información relativa a
los cinco componentes de control interno para la empresa en conjunto.
1.1 Entorno de Control

El entorno de control establece el tono de una organización e influye sobre la conciencia de control de su personal. Es el
fundamento de todos los componentes de control interno, proporcionando disciplina y estructura. Obtenemos suficiente
conocimiento del entorno de control, incluyendo los aspectos de IT del entorno de control, para entender la actitud de la
gerencia y de la junta directiva, su percepción y acciones con respecto al entorno de control, considerando tanto la
sustancia de los controles como sus efectos colectivos.
El entorno de control consiste de lo siguiente:
 Integridad y valores éticos, y comportamiento de los ejecutivos clave.
 Conciencia de control de la gerencia y estilo operativo.
 Compromiso de la gerencia a la competencia o capacidad.
 Participación de la junta directiva y/o el comité de auditoría en el gobierno corporativo y vigilancia.
 Estructura orgánica y asignación de autoridad y responsabilidades.
 Políticas y prácticas de recursos humanos
Al adquirir conocimiento del entorno de control, consideramos cada uno de estos factores y su interrelación. En particular,
debemos reconocer que deficiencias significativas en cualquiera de los factores pueden debilitar la eficacia de los demás.
Integridad y Valores Éticos, y Comportamiento de los Ejecutivos Clave
La eficacia de los controles no puede sobrepasar la integridad y los valores éticos de quienes los crean, administran y
monitorean. La integridad y los valores éticos son elementos esenciales del entorno de control y afectan el diseño,
administración y monitoreo de los procesos clave. La integridad y el comportamiento ético son producto de las normas de
ética y comportamiento de la empresa y de la manera en que estas son comunicadas y cómo son supervisadas y puestas
-10-
en práctica dentro de las actividades del negocio. Esto incluye las acciones de la gerencia para eliminar o reducir
incentivos y tentaciones que puedan propiciar que el personal se involucre en actos fraudulentos, ilegales o poco éticos.
También incluye la comunicación al personal de los valores y normas de comportamiento de la empresa a través de
pronunciamientos de políticas y códigos de conducta, así como el ejemplo dado por los ejecutivos
Documente a continuación nuestras observaciones sobre la integridad y valores éticos y el comportamiento de los
ejecutivos clave.
Factores a Considerar:
 Tiene la empresa un código de conducta o comportamiento que es comunicado a todos los empleados?
 La cultura corporativa de la empresa enfatiza la importancia de la integridad y comportamiento ético? Por ejemplo, se
sanciona inmediatamente a quienes no cumplen?
 #La gerencia lidera con el ejemplo?
 #La alta gerencia se exige a sí misma el cumplir con las normas más estrictas?
 #La gerencia toma medidas y acciones apropiadas en respuesta a las desviaciones de políticas y procedimientos
aprobados o del código de conducta?
La empresa cuenta con una visión, misión y código de ética los cuales se encuentran en lugares visibles. La compañía no
ha tenido rotacion de personal significativa.
Conciencia de Control y Estilo Operativo de la Gerencia

La conciencia de control y estilo operativo de la gerencia tienen un efecto dominante sobre el control interno. Esto abarca
un amplio rango de características que podrían incluir: las actitudes de la gerencia acerca de la importancia del control
interno, incluyendo cómo responder a los comentarios de los auditores internos y los nuestros sobre las mejoras en el
control interno; las actitudes y acciones de la gerencia hacia el reporte de información financiera (enfoque conservador o
agresivo a la selección e implantación de principios contables alternativos y la conciencia y tendencia conservadora sobre
cuáles estimaciones contables son desarrolladas); y las actitudes de la gerencia hacia el procesamiento de información y
las funciones y personal contable.
Documente abajo nuestras observaciones sobre la conciencia de control y estilo operativo de la gerencia (en adición a los
factores a continuación, considere cualesquier factores de riesgo identificados relacionados con oportunidades o actitudes
asociadas con reporte de información financiera fraudulenta u oportunidades o actitudes asociadas con malversación de
activos, tal como se indica en la Parte 2).
 La gerencia da atención apropiada al control interno, incluyendo los controles de tecnología de información?
 Existen uno o unos pocos individuos que dominan a la gerencia sin una supervisión o vigilancia eficaz por parte de la
junta directiva o el comité de auditoría?
 Cuál es la tendencia de la gerencia respecto a la selección de principios contables y la determinación de estimaciones
contables — agresiva o conservadora?
-11-
 La gerencia consulta con nosotros sobre asuntos significativos relativos al control interno y asuntos contables, o
existen frecuentes desacuerdos (o, para compromisos iniciales, desacuerdos con los auditores predecesores)?
La gerencia tiene un amplio entendimiento de que el control interno y los procesos que ayuden a mitigarlo son vitales para
el buen funcionamiento de la compañía al igual que la inversión en tecnología.
Compromiso de la Gerencia a la Competencia o Capacidad

El compromiso de la gerencia a la competencia o capacidad incluye la consideración de la gerencia de los niveles de
competencia o capacidad para trabajos específicos y cómo esos niveles se traducen en requisitos de habilidades y
conocimientos. Entre los muchos factores que deben ser considerados por la gerencia se cuentan la naturaleza y grado de
juicio que deben aplicarse a un trabajo específico y el alcance de supervisión que se proporcionará.
Documente a continuación nuestras observaciones sobre el compromiso de la gerencia a la competencia o capacidad.
 #El personal de contabilidad, finanzas e IT tiene la capacidad y entrenamiento necesarios para desempeñarse de
acuerdo con la naturaleza y complejidad del negocio de la empresa? Se tratan apropiadamente los errores que se
repiten con cambios en el personal o los sistemas?
 #La gerencia está comprometida a proporcionar suficiente personal contable, financiero y de IT para mantener el
ritmo de crecimiento y/o complejidad del negocio y las demandas de los interesados (stockeholders)?
 #El personal contable, financiero y de IT tiene las habilidades técnicas requeridas para tratar los requerimientos
técnicos, estatutarios, o sistemas de IT nuevos o pendientes?
Personal de tecnologías de la información monitorea los movimientos que realiza la compañía
Participación de la Junta Directiva y/o el Comité de Auditoría en el Gobierno Corporativo y Vigilancia

La junta directiva y/o el comité de auditoría tienen una influencia significativa en la conciencia de control de la empresa. La
junta directiva, a través de sus propias actividades y respaldada por un comité de auditoría o una función equivalente, es
responsable de vigilar las políticas y procedimientos de contabilidad y de reporte de información financiera de la empresa.
Documente a continuación nuestras observaciones sobre la participación de la junta directiva y/o el comité de auditoría en
el gobierno corporativo y vigilancia.
 La junta directiva tiene un estatuto (charter) (u otros objetivos por escrito) para el comité de auditoría?
 Existe una línea de comunicación abierta entre la junta directiva, el comité de auditoría, y los auditores externos e
internos, y la naturaleza y frecuencia de las comunicaciones son apropiadas dado el tamaño y la complejidad de la
empresa?
 Los miembros del comité de auditoría son adecuadamente experimentados y calificados?
 Los miembros de la junta directiva (y del comité de auditoría) son independientes de la gerencia?
-12-
 La cantidad y duración de las reuniones de la junta directiva y del comité de auditoría son suficientes dado el tamaño
y la complejidad de la empresa?
 Se involucra el comité de auditoría (y/o la junta directiva) adecuadamente en el proceso de reporte de información
financiera?
 El comité de auditoría (y/o la junta directiva) da consideración adecuada a monitorear los riesgos de negocios que
afectan a la empresa y los procesos de evaluación de riesgos de la gerencia (incluyendo los riesgos de fraude)?
 #Las actividades de IT, los retos y riesgos son comunicados periódicamente a la junta directiva o al comité de
auditoría?
 Hay una alta rotación de los miembros de la junta directiva?
N/A
**Auditoría Integrada Solamente** – Evaluar la Eficacia de la Vigilancia que Ejerce el Comité de Auditoría del Reporte
Externo de Información Financiera y el Control Interno sobre el Reporte de Información financiera.
Además de los elementos de control interno descritos anteriormente, en una auditoría integrada también se requiere que
evaluemos la eficacia de la vigilancia que ejerce el comité de auditoría del reporte de información financiera y el control
interno sobre el reporte de información financiera.
La junta directiva de la compañía es responsable de evaluar el desempeño y la eficacia del comité de auditoría. Sin embargo,
debido a la importante función del comité de auditoría dentro del entorno de control y el monitoreo de los componentes de
control interno sobre el reporte de información financiera, consideramos la eficacia del comité de auditoría como parte de
nuestra comprensión y evaluación de esos componentes.
Dentro del entorno de control, un comité de auditoría eficaz sirve para reforzar la pauta establecida por la alta gerencia (tone
at the top) y para hacer valer la conciencia de control y el compromiso a la competencia o capacidad de los miembros de la
gerencia financiera de la organización. Dentro del componente de monitoreo, un comité de auditoría eficaz sirve para hacer
que la gerencia se responsabilice del diseño y eficacia del sistema de control interno de la organización y la calidad y
transparencia de sus reportes externos de información financiera.
Documente a continuación nuestras observaciones acerca de la eficacia de la supervisión que ejerce el comité de auditoría
del reporte externo de información financiera y el control interno sobre el reporte de información financiera de la compañía.
Esta evaluación se basa en nuestra interacción y observaciones directas del comité de auditoría y, por lo tanto, necesita ser
ejecutada por ejecutivos que tengan acceso al comité de auditoría y hayan observado el proceso del comité de auditoría,
incluyendo la interacción con la gerencia y la auditoría interna. Una vigilancia ineficaz por parte del comité de auditoría es
considerada como mínimo como una deficiencia significativa y un fuerte indicador de una debilidad material en el control
interno sobre el reporte de información financiera.
• Independencia de los miembros del comité de auditoría respecto a la gerencia
• Claridad con que están expresadas las responsabilidades del comité de auditoría (por ejemplo, en la carta de
constitución del comité de auditoría) y qué tan bien el comité de auditoría y la gerencia comprenden esas
responsabilidades.
-13-
• La participación e interacción del comité de auditoría con el auditor independiente y con los auditores internos, así
como su interacción con los miembros clave de la gerencia financiera, incluyendo al funcionario principal de finanzas
(CFO) y al funcionario principal de contabilidad (CAO).
• Si se formulan las preguntas correctas y se les da seguimiento con la gerencia y los auditores, incluyendo preguntas
que indiquen una comprensión de las políticas críticas de contabilidad y las estimaciones contables de juicio, y la
sensibilidad a los problemas presentados por el auditor.
• Si el comité de auditoría hace periódicamente una autoevaluación de su desempeño.
Estructura Orgánica y Asignación de Autoridad y Responsabilidades

La estructura orgánica de la empresa proporciona el marco dentro del cual se planean, ejecutan, controlan y supervisan las
actividades para lograr los objetivos de la entidad. Al establecer una estructura orgánica relevante deben considerarse
áreas clave de autoridad y responsabilidad y líneas apropiadas de reporte. La empresa debe tener una estructura de la
organización acorde con sus necesidades. La idoneidad de la estructura orgánica de la empresa depende, en parte, de su
tamaño y de la naturaleza de sus negocios. La asignación de autoridad y responsabilidades corresponde a la manera cómo
están asignadas las actividades operativas y cómo están establecidas las jerarquías de autorización y las relaciones de
reporte. Incluye también las políticas relativas a prácticas adecuadas de negocios, conocimientos y experiencia del
personal clave, y los recursos para llevar a cabo las funciones. Adicionalmente incluye políticas y comunicaciones
encaminadas a asegurar que todo el personal entienda los objetivos de la entidad, conozca cómo se interrelacionan sus
actuaciones individuales y contribuyen a tales objetivos, y reconozca cómo y de qué será responsable cada quien.
Documente a continuación nuestras observaciones sobre la estructura orgánica y asignación de autoridad y
responsabilidades (adicionalmente a los factores considerados a continuación, considere cualesquier factores de riesgo de
fraude identificados relativos a oportunidades asociadas con el reporte de información financiera fraudulenta u
oportunidades asociadas con la malversación de activos en la Parte 2).
 #La asignación de responsabilidades es clara dentro de la empresa (incluyendo responsabilidades específicas a los
sistemas de información y desarrollo de programas)?
 #Existe una estructura adecuada para asignar la propiedad de la información, incluyendo quién está autorizado para
iniciar y/o cambiar transacciones?
 #Las políticas y procedimientos para la autorización de transacciones están establecidos a un nivel apropiado?
La compañía cuenta con los manuales de puestos.
Políticas y Prácticas de Recursos Humanos

Las políticas y prácticas de recursos humanos se refieren a la contratación, orientación, entrenamiento, evaluación,
asesoría, promoción y remuneración del personal. Estas políticas y prácticas se refieren también a acciones de remedio,
tales como disciplina y despidos de personal
-14-
Documente a continuación nuestras observaciones acerca de las políticas y prácticas de recursos humanos de la empresa
(adicionalmente a los factores considerados a continuación, considere cualesquier factores de riesgo identificados en la
Parte 2, particularmente aquellos relativos a incentivos/presiones y oportunidades para reporte de información financiera
fraudulenta, y cualesquier factores de riesgo identificados para malversación de activos que se relacionan con políticas y
prácticas inadecuadas de recursos humanos).
 #Tiene la empresa normas y procedimientos adecuados para la contratación, entrenamiento, motivación, evaluación,
promoción, remuneración, traslados o terminación de personal (particularmente en contabilidad, mercadeo, sistemas
de información)?
 #Tiene la empresa descripciones de funciones o manuales de referencia por escrito que informen al personal sobre
sus obligaciones (o, en ausencia de documentación por escrito, existe una forma de comunicar las responsabilidades
y las expectativas de trabajo)?
 #Son las políticas y procedimientos claros y se emiten, actualizan o modifican oportunamente?
 #Tiene la empresa procedimientos adecuados para establecer y comunicar las políticas y procedimientos al personal
en las localidades descentralizadas (incluyendo localidades en el extranjero)?
 Tiene la empresa protección (e.g., seguros, fianzas) para empleados que tienen acceso a efectivo, valores u otros
activos valiosos?
 #El personal por contrato está sujeto a políticas y procedimientos creados para controlar sus actividades por la
función de IT y para proteger los activos de información de la empresa?
La compañía cuenta con un departamento nominas, en caso de contrataciones primero se busca personal dentro de la
compañía y posteriormente se busca personal externo.
Identificar y Evaluar el Diseño de Controles a Nivel de Empresa Importantes para la Auditoría y Determinar si los Controles
han sido implementados
Los controles a nivel de empresa importantes para la auditoría incluyen aquellos controles a nivel de empresa que respaldan
controles a nivel de transacción en la prevención o detección eficaz de aseveraciones equívocas materiales.
En las casillas anteriores hemos documentado nuestra comprensión de los controles a nivel de empresa relacionados con el
entorno de control. En la casilla a continuación, indique aquellos controles a nivel de empresa que son importantes para la
auditoría.
Algunos ejemplos de controles a nivel de empresa en el entorno de control que pudieran ser importantes para la auditoría
incluyen:
 La empresa cuenta con un código de conducta o política equivalente que es comunicado y monitoreado.
 Existen descripciones de funciones por escrito, manuales de referencia y otras comunicaciones para informar al personal
sobre sus deberes.
-15-
 El comité de auditoría proporciona vigilancia eficaz del reporte externo de información financiera y el control interno sobre
el reporte de información financiera de la empresa.
 La gerencia mantiene, monitorea y responde apropiadamente a una hot-line de fraude.
 La gerencia ha establecido una política de “informantes” y monitorea y responde apropiadamente a las quejas.
 La gerencia ha instalado otros procesos para manejar las quejas sobre problemas de contabilidad, auditoría, IT, o control
interno.
 Las comunicaciones de la empresa dan vigor a un mensaje consistente respecto a las políticas y cultura.
 La gerencia corrige oportunamente las deficiencias de control interno identificadas.
 Existen políticas apropiadas para asuntos tales como aceptación de nuevos negocios, conflictos de intereses, y prácticas
de seguridad, las cuales son comunicadas adecuadamente a toda la organización.
 El desempeño de funciones es evaluado y revisado periódicamente con cada empleado.
Después de haber identificado los controles a nivel de empresa importantes para la auditoría, evaluamos el diseño de los
controles y determinamos si éstos han sido implantados. Evaluar el diseño de los controles a nivel de empresa involucra
considerar si los controles respaldan eficazmente los controles a nivel de transacción. La implantación de un control significa
que el control existe y que ha sido puesto en operación.
Documente a continuación los procedimientos ejecutados, incluyendo dónde obtuvimos la información usada para respaldar
nuestras conclusiones de si los controles a nivel de empresa importantes para la auditoría han sido diseñados e implantados
apropiadamente. Al determinar que un control ha sido implantado, primero consideramos si el control está diseñado
apropiadamente. Obtenemos evidencia de auditoría apropiada de que el control interno a nivel de empresa ha sido diseñado
e implantado apropiadamente. En todo caso, la indagación por sí sola no es suficiente para evaluar el diseño de un control a
nivel de empresa o para determinar si ese control ha sido implantado. Nuestros procedimientos pueden incluir una
combinación de indagación al personal de la empresa (incluyendo indagaciones a más de una persona para obtener
evidencia corroborativa), observación de la aplicación de controles específicos, e inspección de documentos y reportes.
Nuestra descripción de Procedimientos Ejecutados a continuación puede ser una referencia a otros papeles de trabajo donde
están documentados nuestros procedimientos.
Controles a Nivel de Empresa Implantados? Procedimientos Ejecutados

Importantes para la Auditoría
Si No
Si No
Si No
Si No
Si No
Si No
-16-
1.2 Evaluación de Riesgo (Continuación)
Evaluación de riesgo es el proceso de la empresa para identificar y analizar los riesgos (tanto internos como externos) que
son relevantes para el logro de sus objetivos. Además, un proceso de evaluación de riesgo proporciona a la empresa una
base para determinar cómo administrar sus riesgos (e.g., las acciones para tratar riesgos específicos o una decisión de
aceptar el riesgo por razón de costo u otras consideraciones).
El proceso de evaluación de riesgo para propósitos de reporte de información financiera de una empresa es su identificación,
análisis y administración de los riesgos relevantes para la preparación de estados financieros que ofrezcan una visión
verdadera y razonable (o estén presentados razonablemente, en todos sus aspectos materiales) de acuerdo con IFRS,
principios de contabilidad generalmente aceptados, u otra estructura apropiada de reporte de información financiera. Cuando
obtenemos una comprensión del proceso de evaluación de riesgo de la empresa, debemos evaluar si la gerencia ha
identificado los riesgos de aseveración equívoca material en las cuentas y revelaciones significativas y las aseveraciones
relacionadas de los estados financieros, y ha implantado controles para prevenir o detectar errores o fraude que puedan
resultar en aseveraciones equívocas materiales. Por ejemplo, las evaluaciones de riesgo pueden tratar la manera como la
empresa considera la posibilidad de transacciones no registradas, o identifica y analiza las estimaciones significativas
registradas en los estados financieros. Los riesgos relevantes para el reporte de información financiera confiable también se
refieren a eventos o transacciones específicos.
Obtenemos una comprensión del proceso de evaluación de riesgo de la empresa, específicamente en cuanto se refiere al
objetivo de reporte de información financiera del control interno. Luego determinamos, generalmente a través de indagación,
observación e inspección de documentos relevantes, si el proceso de evaluación de riesgo de la empresa ha identificado y
analizado cada uno de los riesgos que nosotros hemos identificado (e.g., riesgos clave de negocios documentados en la
UBT, factores subyacentes que pudieran conducir a riesgos de aseveración equívoca material proveniente de fraude) que
puedan tener un efecto a corto plazo sobre las cuentas y aseveraciones de estados financieros. También consideramos si la
empresa ha implantado pasos apropiados para mitigar cada uno de los riesgos.
Describa a continuación o en otro documento el proceso de evaluación de riesgo de la empresa, específicamente en cuanto
se refiere al objetivo de reporte de información financiera del control interno (i.e., preparación de estados financieros para
propósitos externos que ofrezcan una visión verdadera y razonable (o estén presentados razonablemente en todos sus
aspectos materiales) de acuerdo con IFRS, principios de contabilidad generalmente aceptados, u otra estructura apropiada
de reporte de información financiera. Al describir el proceso, consideramos específicamente la manera como el personal de
contabilidad y de reporte de información financiera de la empresa tuvo conocimiento de riesgos que pueden tener un efecto
material sobre los estados financieros, incluyendo las revelaciones.
Se ha establecido un proceso de evaluación de riesgo, que incluye estimación de la importancia de los riesgos, evaluación
de la posibilidad de que éstos ocurran, y determinación de las acciones necesarias?
-17-
 El proceso de evaluación de riesgo de la empresa incluye específicamente la identificación y evaluación de

riesgos de fraude?
 El proceso de evaluación de riesgo de la empresa incluye específicamente la identificación y evaluación de
riesgos relacionados con IT (e.g., se ha ejecutado una evaluación de impacto de negocios que considere el efecto
de las fallas en el sistema sobre el proceso de reporte de información financiera)?
 Existen mecanismos establecidos para prever, identificar, y reaccionar a los cambios que puedan tener un efecto
dramático y dominante sobre la empresa (e.g., un comité de administración/responsabilidad de activos en una
institución financiera, un grupo de administración de riesgo de comercialización de productos básicos en una
empresa manufacturera)?
 Existen mecanismos establecidos para prever, identificar y reaccionar ante eventos cotidianos o actividades que
afectan el logro de los objetivos a nivel de empresa o de proceso/aplicación?
 Cuenta el departamento de IT con un proceso para notificar a los usuarios finales (end-users) (e.g., contabilidad)
cuando se hacen cambios significativos que pueden afectar el método o el proceso de registro de transacciones?
 Cuenta el departamento de contabilidad con procesos establecidos para identificar cambios significativos en la
estructura de reporte de información financiera promulgados por cuerpos autorizados pertinentes?
 Notifican los canales de comunicación establecidos a los departamentos de contabilidad e IT de los cambios en
las prácticas de negocios de la empresa que puedan afectar el método o el proceso de registro de las
transacciones?
 Cuenta el departamento de contabilidad con procesos establecidos para identificar cambios significativos en el
entorno operativo, incluyendo los cambios reglamentarios?
 Se han establecido y comunicado objetivos a nivel de empresa, incluyendo la forma en que están respaldados por
planes estratégicos y complementados sobre un nivel de proceso/aplicación?
 La gerencia de IT comunica periódicamente sus actividades, retos y riesgos al CEO y al CFO.
Siempre que la compañía realice cambios relacionados con normatividad contables o desee aplicar alguna estrategia
fiscal que represente una ventaja para la compañía, informa a la firma para que este le proporcione una opinión al
respecto, si este punto es muy importante para la organización se busca dos opiniones para respaldar la decisión de la
compañía antes de tomar una decisión.
Identificar y Evaluar el Diseño de los Procesos o Controles a Nivel de Empresa Importantes para la Auditoría y determinar si
han sido implantados
En la casilla anterior hemos documentado nuestra comprensión de los procesos o controles a nivel de empresa relacionados
con la evaluación de riesgo. En la casilla siguiente, indique esos elementos de los procesos o controles específicos a nivel de
empresa que son importantes para la auditoría.
Algunos ejemplos de procesos o controles a nivel de empresa relacionados con evaluación de riesgo que pudieran ser
importantes para la auditoría incluyen:
-18-
 La empresa cuenta con un mecanismo adecuado para identificar riesgos de negocios, incluyendo aquéllos que resultan de
ingreso a nuevos mercados, oferta de nuevos productos o servicios, cumplimiento con protección de privacidad e
información, y otros cambios en el entorno de negocios, económico y reglamentario
 La gerencia evalúa los riesgos de reporte de información financiera dentro de la organización.
 La auditoría interna (u otro grupo dentro de la empresa) ejecuta periódicamente (por lo menos anualmente) una evaluación
de riesgo, incluyendo IT.
 La junta directiva y/o el comité de auditoría supervisa y monitorea el proceso de evaluación de riesgo y las acciones de la
gerencia para tratar los riesgos significativos identificados.
 El departamento de contabilidad tiene establecido un proceso para identificar y tratar los cambios en la estructura de
reporte de información financiera, el entorno operativo, o el entorno reglamentario aplicables, así como para aprobar las
modificaciones hechas en contabilidad para tratar tales cambios.
 Los objetivos de negocios son establecidos, comunicados y monitoreados en toda la empresa.
 El plan estratégico es revisado y aprobado por la junta directiva.
 Los presupuestos o pronósticos son actualizados durante el año para reflejar las condiciones que cambian.
Después de haber identificado los procesos o controles a nivel de empresa importantes para la auditoría, evaluamos su
diseño y determinamos si han sido implantados. Evaluar el diseño de los procesos o controles a nivel de empresa involucra
considerar si éstos respaldan eficazmente los controles a nivel de transacción. La implantación de un proceso o control
significa que éste existe y que ha sido puesto en operación.
nuestras conclusiones de si los procesos o controles a nivel de empresa importantes para la auditoría han sido diseñados e
implantados apropiadamente. Al determinar que un proceso o control ha sido implantado, primero consideramos si éste está
diseñado apropiadamente. Obtenemos evidencia de auditoría apropiada de que el control interno a nivel de empresa ha sido
diseñado e implantado apropiadamente. En todos los casos, la indagación por sí sola no es suficiente para evaluar el diseño
de un proceso o control a nivel de empresa o para determinar si ha sido implantado. Nuestros procedimientos pueden incluir
una combinación de indagación al personal de la empresa (incluyendo indagaciones a más de una persona para obtener
evidencia corroborativa), observación de la aplicación de procesos o controles específicos, e inspección de documentos y
reportes. Nuestra descripción de Procedimientos Ejecutados a continuación puede ser una referencia a otros papeles de
trabajo donde están documentados nuestros procedimientos.

Si No
Si No
Si No
-19-
Parte 1 — Considerar los Componentes de Control Interno a Nivel de Empresa
1.4 Monitoreo
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se toman las acciones necesarias
para tratar los riesgos en el logro de los objetivos de la empresa. Las actividades de control, ya sean automatizadas o
manuales, tienen varios objetivos y se aplican a distintos niveles orgánicos y funcionales.
Un sistema de información consiste en infraestructura (física y componentes de hardware), software, personas,
procedimientos (manuales y automatizados) e información. El sistema de información pertinente a los objetivos de reporte de
información financiera, el cual incluye el sistema contable, consiste en procedimientos automatizados o manuales y en
registros establecidos para iniciar, autorizar, registrar, procesar, y reportar las transacciones de la empresa (así como sus
eventos y condiciones) y para mantener la responsabilidad sobre los activos, pasivos y patrimonio relacionados. La
comunicación involucra la comprensión de las funciones y responsabilidades individuales correspondientes al control interno
sobre el reporte de información financiera. Información y comunicación es el proceso de capturar e intercambiar la
información necesaria para conducir, administrar y controlar las operaciones de una empresa. La calidad de la información y
comunicación de la empresa afecta la habilidad de la gerencia para tomar las decisiones apropiadas en el control de las
actividades de la empresa y para preparar informes financieros confiables.
Documente a continuación nuestras observaciones sobre las actividades de control de la empresa y los componentes de
información y comunicación.
 #Tiene la empresa controles físicos adecuados (e.g., instalaciones protegidas, salvaguardias sobre el acceso a activos y
datos, autorización para el acceso a programas computarizados y archivos de datos, y conteos periódicos y comparación
de activos físicos con los importes que muestran los registros de control)?
 Cuenta la empresa con procesos para revisar el desempeño real contra los presupuestos, pronósticos y desempeño del
período anterior, y reportar adecuadamente las excepciones y variaciones del desempeño planeado y las respuestas
apropiadas a tales excepciones y variaciones?
 Cuenta la empresa con sistemas de planeación y de reporte (tales como planeación de negocios; planeación de
presupuestos, pronósticos, y utilidades; y contabilidad de responsabilidad) que establezcan adecuadamente los planes de
la gerencia y los resultados del desempeño real?
 #Tiene la empresa una segregación adecuada de funciones (e.g., segregación apropiada de custodia de activos,
autorización y aprobación de transacciones y asientos de diario, registro y reporte de transacciones y asientos de diario,
acceso a los archivos maestros)?
 Está la empresa en capacidad de preparar reportes de información financiera exactos y oportunos, incluyendo reportes
interinos?
 #Están los usuarios generalmente satisfechos con el procesamiento de los sistemas de información, incluyendo la
confiabilidad y disponibilidad de los reportes?
 #Existe un nivel apropiado de coordinación entre la contabilidad y las funciones de IT?
 #Cuentan los departamentos de contabilidad y de IT con el personal adecuado, con experiencia y/o capacitación (i.e.,
existe evidencia de que se han determinado los niveles apropiados de asignación de personal con base en las
responsabilidades de trabajo y que la gerencia busca mantener esos niveles) ?
 #Existen políticas y procedimientos adecuados para desarrollar y modificar los sistemas y controles contables, incluyendo
los cambios y uso de los programas computarizados y/o los archivos de datos?
 #Es razonable el nivel de rotación del personal contable y de IT?
-20-
1.4 Monitoreo
La empresa cuenta con una adecuada segregación de funciones.
Identificar y Evaluar el Diseño de Controles a Nivel de Empresa Importantes para la Auditoría y determinar si los controles
han sido implantados.
En la casilla anterior hemos documentado nuestra comprensión de los controles a nivel de empresa relacionados con
actividades de control y el componente de información y comunicación. En la casilla siguiente, indique esos controles a nivel
de empresa que son importantes para la auditoría.
Algunos ejemplos de controles a nivel de empresa para actividades de control y el componente de información y
comunicación que pueden ser importantes para la auditoría incluyen:
Actividades de control
• Existen políticas y procedimientos adecuados establecidos y son revisados periódicamente para determinar que
continúan siendo apropiados.
• La empresa cuenta con políticas y procedimientos adecuados para prácticas contables y de cierre que son aplicadas
consistentemente durante todo el año y al fin del año.
• Existen en toda la empresa políticas y procedimientos que tratan: (1) la segregación apropiada de funciones, (2)
salvaguardia de activos, (3) autorización adecuada de transacciones, y (4) procedimientos para monitorear la
responsabilidad por activos.
• La gerencia mantiene, comunica y monitorea objetivos claros en términos de presupuestos, utilidades, y otras metas
operativas financieras.
• La gerencia revisa regularmente (e.g. mensualmente, trimestralmente) los indicadores clave de desempeño (e.g.,
presupuesto, utilidades, metas financieras, metas operativas) e identifica las variaciones significativas. Las variaciones
son investigadas y se toma la acción correctiva apropiada.
• Los estados financieros son presentados a la gerencia operativa acompañados por comentarios analíticos.
• Se requieren aprobaciones adecuadas de la gerencia antes de permitir el acceso de alguien a aplicaciones y bases de
datos específicas.
• La seguridad física sobre los activos de IT es razonable dada la naturaleza del negocio de la compañía.
• La información crítica computarizada es replicada (backed up) diariamente y almacenada fuera del lugar (off-site)
• Información y Comunicación
• La empresa mantiene descripciones de trabajo por escrito y manuales de referencia que describen las funciones del
personal.
• La junta directiva o el comité de auditoría participa en el monitoreo de proyectos de sistemas de información y
prioridades de recursos.
• Existen responsabilidades definidas para las personas responsables de implantar, documentar, probar y aprobar
cambios a programas computarizados que son comprados o desarrollados por personal o usuarios de los sistemas de
información.
• Existen canales apropiados para comunicar información, monitorear el cumplimiento con las políticas y procedimientos, y
comunicar nuevos requerimientos.
-21-
1.4 Monitoreo
• Existen canales apropiados para comunicar información a localidades descentralizadas.
Después de haber identificado los controles a nivel de empresa importantes para la auditoría, evaluamos el diseño de los
controles y determinamos si han sido implantados. Evaluar el diseño de los controles a nivel de empresa involucra considerar
si éstos respaldan eficazmente los controles a nivel de transacción. La implantación de un control significa que éste existe y
ha que sido puesto en operación.
nuestras conclusiones de si los controles a nivel de empresa importantes para la auditoría han sido diseñados e implantados
apropiadamente. Al determinar que un control ha sido implantado, primero consideramos si éste está diseñado
apropiadamente. Obtenemos evidencia de auditoría apropiada de que el control interno a nivel de empresa ha sido diseñado
e implantado apropiadamente. En todo caso, la indagación por sí sola no es suficiente para evaluar el diseño de un control a
nivel de empresa o para determinar si ha sido implantado a nivel de empresa. Nuestros procedimientos pueden incluir una
combinación de indagación al personal de la empresa (incluyendo indagaciones a más de una persona para obtener
evidencia corroborativa), observación de la aplicación de controles específicos, e inspección de documentos y reportes.
Nuestra descripción de Procedimientos Ejecutados a continuación puede ser una referencia a otros papeles de trabajo donde
están documentados nuestros procedimientos.

Si No
Si No
Si No
Monitoreo es el proceso que evalúa la calidad del desempeño del control interno a través del tiempo. Una responsabilidad
importante de la gerencia es establecer y mantener el control interno. La gerencia monitorea los controles para determinar si
están funcionando como es debido y si se han modificado en forma apropiada de acuerdo con los cambios en las
condiciones.
Documente a continuación nuestras observaciones sobre procedimientos de monitoreo de la empresa (en adición a los factores
considerados a continuación, considere cualesquier factores de riesgo identificados relativos a oportunidades asociadas con el
reporte de información financiera fraudulenta y oportunidades asociadas con malversación de activos).
 #Responde la gerencia oportuna y apropiadamente a las recomendaciones sobre control interno hechas por los auditores
internos y nosotros?
 #Se ejecutan oportunamente los procedimientos de monitoreo?
 Existe un nivel bajo de quejas de los clientes, y responde la gerencia oportuna y apropiadamente a la causa de tales
quejas?
 Para empresas más pequeñas, se involucra el propietario/gerente activamente en el negocio?
 Examina cuidadosa y adecuadamente la casa matriz las actividades de las diferentes unidades operativas (e.g.,
subsidiarias, divisiones, plantas)?
-22-
1.4 Monitoreo
 Si es aplicable, es eficaz la vigilancia ejercida por los cuerpos legislativos o reglamentarios?
Factores adicionales para empresas con departamentos de auditoría interna (si la empresa no cuenta con una función de
auditoría interna, considerar si su ausencia constituye una deficiencia significativa en el control interno o si aumenta los
riesgos de fraude identificados):
 #Cuenta la auditoría interna con personal adecuado y entrenado, con las habilidades especializadas apropiadas,
incluyendo IT, según la naturaleza, tamaño y complejidad de la compañía y su entorno operativo?
 El departamento de auditoría interna es independiente (relaciones de autoridad y de reportes), y tiene acceso adecuado
al comité de auditoría (o su equivalente)?
 #Es apropiado el alcance de las actividades de auditoría interna según la naturaleza, tamaño y complejidad de la
empresa y su entorno operativo?
 Dedica la auditoría interna suficiente tiempo y atención a evaluar el diseño y operación del control interno?
 Tiene autoridad la auditoría interna para examinar todos los aspectos de las operaciones de la empresa, incluyendo
aquellas supervisadas o controladas por la alta gerencia?
 Se adhiere la auditoría interna a las normas profesionales?
La empresa cuenta con una adecuada segregación de funciones.
Identificar y Evaluar el Diseño de los Procesos o Controles a Nivel de Empresa Importantes para la Auditoría y Determinar Si
Han Sido Implantados.
En la casilla anterior hemos documentado nuestra comprensión de los procesos o controles a nivel de empresa relacionados
con el componente de monitoreo. En la casilla siguiente, indique esos elementos de los procesos o controles específicos a
nivel de empresa que son importantes para la auditoría.
Algunos ejemplos de procesos o controles a nivel de empresa para monitoreo que pueden ser importantes para la auditoría
incluyen
• Existen políticas y procedimientos establecidos para asegurar que se toma oportunamente acción correctiva cuando
ocurren excepciones de control.
• La gerencia toma acciones adecuadas y oportunas para corregir deficiencias reportadas por la función de auditoría
interna o los auditores independientes.
• El comité de auditoría proporciona vigilancia eficaz del reporte externo de información financiera y el control interno sobre
el reporte de información financiera.
• La función de auditoría interna es independiente de las actividades que ellos auditan y les está prohibido tener
responsabilidades operativas.
• Los auditores internos tienen acceso directo a la junta directiva o al comité de auditoría.
• La función de auditoría interna se adhiere a las normas profesionales (e.g., Normas Internacionales para la Práctica
Profesional de Auditoría Interna).
-23-
1.4 Monitoreo
• El alcance de las actividades de auditoría interna es apropiado según la naturaleza, tamaño y estructura de la empresa.
• El departamento de auditoría interna desarrolla un plan anual que considera el riesgo al determinar la asignación de
recursos.
• El alcance de las actividades planeadas de auditoría interna es revisado anticipadamente con la alta gerencia, la junta
directiva o el comité de auditoría, y los auditores independientes.
• Los resultados de las actividades de auditoría interna son reportados a la alta gerencia, la junta directiva o el comité de
auditoría, y los auditores independientes.
Después de haber identificado los procesos o controles a nivel de empresa importantes para la auditoría, evaluamos su
diseño y determinamos si han sido implantados. Evaluar el diseño de los procesos o controles a nivel de empresa involucra
considerar si éstos respaldan eficazmente los controles a nivel de transacción. La implantación de un proceso o control
significa que éste existe y ha sido puesto en operación.
nuestras conclusiones de si los procesos o controles a nivel de empresa importantes para la auditoría han sido diseñados e
implantados apropiadamente. Al determinar que un proceso o control ha sido implantado, primero consideramos si éste está
diseñado apropiadamente. Obtenemos evidencia de auditoría apropiada de que el control interno a nivel de empresa ha sido
diseñado e implantado apropiadamente. En todos los casos, la indagación por sí sola no es suficiente para evaluar el diseño
de un proceso o control a nivel de empresa o para determinar si ha sido implantado a nivel de empresa. Nuestros
procedimientos pueden incluir una combinación de indagación al personal de la empresa (incluyendo indagaciones a más de
una persona para obtener evidencia corroborativa), observación de la aplicación de procesos o controles específicos, e
inspección de documentos y reportes. Nuestra descripción de Procedimientos Ejecutados a continuación puede ser una
referencia a otros papeles de trabajo donde están documentados nuestros procedimientos.

Si No
Si No
Si No
-24-
Parte 2 — Identificar Riesgos Potenciales de Aseveración Equívoca Material
Proveniente de Fraude
2.2 Factores de Riesgo Relacionados con Reportes de Información Financiera Fraudulenta
Descripción y Características de Fraude

Hay dos tipos de aseveraciones equívocas que son relevantes para nuestra consideración de fraude: 1) aseveraciones
equívocas que surgen de reportes de información financiera fraudulenta, y 2) aseveraciones equívocas que surgen de la
malversación de activos (por lo cual el efecto de la malversación causa que los estados financieros no ofrezcan una visión
verdadera y razonable (o no sean presentados razonablemente, en todos sus aspectos materiales), de acuerdo con IFRS,
principios de contabilidad generalmente aceptados, u otra estructura de reportes de información financiera aplicable).
Cuando reunimos información para identificar riesgos de aseveración equívoca material proveniente de fraude, tomamos
en consideración ambos tipos de aseveraciones equívocas.
Generalmente se presentan tres condiciones cuando ocurre un fraude: (1) la gerencia u otros empleados tienen un
incentivo o están bajo presión, lo cual les proporciona una razón para cometer fraude; (2) existen circunstancias —por
ejemplo, la ausencia de controles, controles ineficaces, o habilidad de la gerencia para omitir los controles— lo cual
proporciona una oportunidad para perpetrar un fraude; y (3) las personas involucradas están capacitadas para racionalizar
un acto fraudulento como si fuera consistente con su código personal de ética. Algunas personas poseen una actitud, un
carácter, o una serie de valor éticos que les permiten cometer un acto fraudulento a sabiendas e intencionalmente. Por
otra parte, sin embargo, aún las personas honestas pueden cometer fraude cuando se encuentran en un ambiente que
impone suficiente presión sobre ellas. Entre mayor sea el incentivo o la presión, más posibilidad hay de que la persona sea
capaz de racionalizar la aceptabilidad para cometer un fraude.
Aunque el riesgo de aseveración equívoca material proveniente de fraude puede ser mayor cuando se observan o son
evidentes todas las tres condiciones de fraude, no podemos suponer que la incapacidad para observar una o dos de estas
condiciones signifique que no existe un riesgo de aseveración equívoca material proveniente de fraude.
Algunas aseveraciones, cuentas y clases de transacciones que tienen un alto riesgo inherente debido a que involucran un
alto grado de juicio de la gerencia y subjetividad, también pueden presentar riesgos de aseveración equívoca material
proveniente de fraude porque son susceptibles a manipulación por parte de la gerencia. Por ejemplo, los pasivos
resultantes de una reestructuración pueden ser considerados como de riesgo inherente más alto, debido al alto grado de
subjetividad y juicio de la gerencia que involucra su estimación. En forma similar, los ingresos para las compañías de
software pueden ser considerados como de más alto riesgo inherente debido a la subjetividad y complejidad que con
frecuencia involucra el reconocimiento y medición de las transacciones de ingresos de software.
Esperamos que, para la mayoría de los compromisos, se identificarán uno o más riesgos de aseveración equívoca material
proveniente de fraude. En particular, existe la suposición de que uno o más riesgos de fraude serán identificados en
relación con el reconocimiento de ingresos.
Aunque los factores de riesgo de fraude que se indican más adelante cubren una amplia gama de situaciones, éstos
solamente son ejemplos y, por consiguiente, puede ser necesario considerar factores de riesgos adicionales o diferentes.
Además, los ejemplos de factores de riesgo de fraude no se presentan en un orden que pueda reflejar su importancia
relativa o frecuencia de ocurrencia. Adicionalmente, los factores de riesgo conocidos para el equipo del compromiso pero
que no están incluidos en las Partes 2.2 y 2.3, deben añadirse a las secciones aplicables.
La importancia relativa de los factores de riesgo varía desde crítica hasta insignificante, según los compromisos. Por lo
tanto, ejercemos juicio profesional al considerar los factores de riesgo, individualmente y en combinación.
-25-
2.1 Discusión(es) del Equipo del Compromiso

Al planear la auditoría, los miembros del equipo de auditoría discuten el potencial para aseveraciones equívocas materiales
provenientes de fraude o errores. Los objetivos de esta discusión son: (1) aumentar la conciencia general y la sensibilidad
de todos los miembros del equipo hacia el fraude o errores, (2) intercambiar ideas y compartir información sobre cómo y
dónde pueden ser susceptibles los estados financieros de la empresa a aseveración equívoca material proveniente de fraude
o errores, y (3) para el ejecutivo a cargo de la auditoría, enfatizar la importancia de mantener un estado de ánimo y un nivel
de escepticismo profesional apropiados durante toda la auditoría.
Documente a continuación, o en un memorándum separado, las discusiones del equipo del compromiso acerca de la
susceptibilidad de los estados financieros de la empresa a aseveraciones equívocas materiales provenientes de fraude o
error. La documentación incluye la manera cómo y cuándo ocurren tales discusiones y los miembros del equipo que
participaron, la información discutida, y las decisiones significativas alcanzadas. El socio del compromiso también considera
cuáles asuntos deben ser comunicados a los miembros del equipo del compromiso que no participaron en la discusión. Las
observaciones de la discusión del equipo del compromiso que deben ser consideradas para identificar y evaluar los riesgos
de fraude se documentan en el Resumen de Observaciones y Riesgos de Fraude Identificados.
Trabajo realizado en índice 123 (E) y 124 (E)
Factores de Riesgo de Fraude Relacionados con Reportes de Información Financiera Fraudulenta y Malversación de Activos
La identificación de uno o más factores de riesgo de fraude no significa necesariamente que el control interno a nivel de
empresa es ineficaz. Sin embargo, la presencia de numerosos factores de riesgo de fraude debe alertar nuestra conciencia, y
debemos darle la debida consideración al hacer nuestra evaluación del control interno a nivel de empresa. A este respecto,
dedicamos particular atención a nuestra comprensión del entorno de negocios para el año bajo auditoría, los factores de riesgo
relacionados con actitudes de la gerencia o de la junta directiva, o a las oportunidades que resultan de una atención
inadecuada o descuido del control interno.
Incentivos/Presiones
a. La estabilidad financiera o la rentabilidad están amenazadas por condiciones económicas, del sector o de las
operaciones de la empresa, tales como (o como lo indica lo siguiente):
- Alto grado de competencia, acompañado por márgenes descendentes por las diferentes temporadas.
- Nuevos requerimientos contables, estatutarios o reglamentarios.
b. Existe excesiva presión para que la gerencia cumpla con los requisitos o expectativas de terceros debido a:
- Necesidad de obtener crédito adicional o financiamiento de patrimonio para mantenerse competitivo
incluyendo financiamiento de gastos de investigación y desarrollo o de capital importantes.
-26-
Incentivos/Presiones (Cont.)
c. El patrimonio neto del personal de la gerencia o de la junta directiva se ve amenazado por el desempeño
financiero de la empresa debido a:
- Intereses financieros personales importantes en la empresa.
d. Presión excesiva sobre la gerencia o el personal operativo (incluyendo aquellos en las subsidiarias o localidades
remotas con sistemas o registros separados) para lograr objetivos financieros establecidos por la junta directiva o
la gerencia, incluyendo metas incentivas de ventas o rentabilidad.
Indique cualquiera de los anteriores u otros factores de riesgo que deben ser considerados en relación con
incentivos/presiones asociados con aseveraciones equívocas que surgen del reporte de información financiera
fraudulenta:
No se identificaron factores de riesgo identificados con los conceptos antes mencionados
Oportunidades
a. La naturaleza de la industria o de las operaciones de la empresa proporciona oportunidades para participar en el
reporte de información financiera fraudulenta debido a:
- Una firme presencia financiera o habilidad para dominar cierto sector de la industria que le permite a la
empresa dictar términos y condiciones a los proveedores o clientes, lo cual puede dar como resultado
transacciones inadecuadas o que no son de libre competencia.
- Activos, pasivos, ingresos o gastos basados en estimaciones significativas que involucran juicios subjetivos o
incertidumbres difíciles de corroborar.
No se identificaron factores de riesgo identificados con los conceptos antes mencionados
Oportunidades (Cont.)
b. Existe monitoreo ineficaz de la gerencia debido a:
- Dominio de la gerencia por una sola persona o un pequeño grupo (en un negocio no administrado por el
propietario) sin controles compensatorios.
-27-
- Supervisión ineficaz de la junta directiva o el comité de auditoría sobre el proceso de reporte de información
financiera y el control interno.
- Falta de personal de gerencia con conocimiento y capacidad suficientes para reconocer cuando otros
miembros de la gerencia pueden intentar cometer fraude.
c. Existe una estructura orgánica compleja o inestable, como lo evidencia lo siguiente:
- Dificultad para determinar la organización o las personas que tienen un interés de control en la empresa.
- Estructura orgánica demasiado compleja que involucra entidades legales o líneas de autoridad administrativa
poco usuales.
- Alta rotación de los miembros de la alta gerencia, el asesor legal o la junta directiva.
d. Los componentes de control interno son deficientes debido a:
- Monitoreo inadecuado de los controles, incluyendo controles automatizados y controles sobre reporte de
información financiera interina (cuando se requieren reportes externos).
- Segregación inadecuada de funciones entre las responsabilidades de acceso a los datos y procesamiento.
- Altas tasas de rotación o contratación de personal ineficaz de contabilidad, auditoría interna o tecnología de
información.
- Sistemas de contabilidad e información ineficaces
Indique cualquiera de los anteriores u otros factores de riesgo que deben ser considerados en relación con oportunidades
asociadas con aseveraciones equívocas que surgen de reportes de información financiera fraudulenta:
La compañía cuenta con operaciones con partes relacionadas, con préstamos, compra y venta de producto terminado,
asesoría, sub arrendamiento. Algunas de las compañías con las que se tiene operaciones, no son auditadas por la firma.
La compañía no cuenta con una alta rotación de ejecutivos dentro de la organización, a su vez la empresa cuenta con
supervisión.
Actitudes
-28-
Los factores de riesgo que reflejan actitudes de miembros de la junta directiva, la gerencia u otros empleados, que les permiten
participar en el reporte de información financiera fraudulenta y/o justificarla, pueden no ser susceptibles a observación. Sin
embargo, si tenemos conocimiento de la existencia de tal información, debemos considerarla al identificar los riesgos de
aseveración equívoca material que surgen de reportes de información financiera fraudulenta.
a. Comunicación y respaldo ineficaces de los valores o normas de ética de la empresa por parte de la gerencia, o
la comunicación de valores o normas de ética inadecuados.
b. Participación excesiva de la gerencia no financiera, o su preocupación, en la selección de los principios

contables o la determinación de estimaciones significativas.
c. Historia conocida de infracciones a las leyes de valores u otras leyes y regulaciones, o quejas contra la
empresa, su alta gerencia, o los miembros de su junta directiva, alegando fraude o infracciones a leyes y
regulaciones.
d. Interés excesivo de la gerencia en mantener o aumentar el precio de las acciones y la tendencia de utilidades
de la compañía.
e. Una práctica por parte de la gerencia de comprometer a analistas, acreedores u otros terceros para lograr
pronósticos agresivos o poco realistas.
f. Falla de la gerencia en corregir oportunamente deficiencias de control conocidas.
g. Interés de la gerencia para emplear medios inadecuados a fin de minimizar las utilidades reportadas por
razones tributarias.
h. Intentos repetidos de la gerencia para justificar contabilización marginal o inadecuada sobre la base de
materialidad.
i. La relación entre la gerencia y nosotros, o la gerencia y los auditores predecesores, es tensa como lo
demuestra lo siguiente:
- Disputas frecuentes con nosotros o los auditores predecesores acerca de asuntos contables, de auditoría o de
reportes.
- Exigencias poco razonables tales como una excesiva presión de honorarios, o presiones no razonables de
tiempo respecto a la terminación de la auditoría o la emisión del informe de los auditores.
- Restricciones formales o informales que limitan inadecuadamente el acceso al personal o a información, o la

capacidad para comunicarse con la junta directiva o el comité de auditoría.
- Comportamiento dominante de la gerencia, especialmente en relación con intentos de influir en el alcance de

nuestro trabajo o la selección o continuación del personal de auditoría asignado al compromiso.
-29-
Indique cualquiera de los anteriores u otros factores de riesgo que deben ser considerados en relación con actitudes
asociadas con aseveraciones equívocas que surgen del reporte de información financiera fraudulenta:
La ejecutivos de la compañía no tienen influencia en la determinación de los precios de las acciones y los pagos de
honorarios a terceros tienen que contar con la autorización de Dirección antes de que estos sean contratados, también
la compañía no pone obstáculos en la selección del personal de auditoria y pone un énfasis especial en las
observaciones proporcionadas por el equipo de auditoria.
-30-
-31-
2.3 Factores de Riesgo Relativos a Malversación de Activos
Los factores de riesgo que se relacionan con aseveraciones equívocas que surgen de la malversación de activos también se
clasifican junto con las tres condiciones que generalmente se presentan cuando existe fraude: 1) incentivos/presiones, 2)
oportunidades, y 3) actitudes. Muchos de estos factores de riesgo se relacionan con descuido, o atención inadecuada, a la
salvaguardia de activos o a los controles sobre activos que son susceptibles a malversación. Algunos de los factores de
riesgo relacionados con aseveraciones equívocas que surgen de reportes de información financiera fraudulenta también
pueden estar presentes cuando ocurren aseveraciones equívocas que surgen de malversación de activos. Por ejemplo, un
monitoreo ineficaz de la gerencia y debilidades en el control interno pueden estar presentes cuando existe una aseveración
equívoca bien sea proveniente de reportes de información financiera fraudulenta o de malversación de activos.
Incentivos/Presiones
a. Las obligaciones financieras personales pueden crear presión sobre la gerencia o los empleados con acceso a
efectivo u otros activos susceptibles a robo para malversar tales activos.
b. Las relaciones tensas, difíciles o adversas entre la empresa y los empleados con acceso a efectivo u otros activos
susceptibles a robo pueden motivar a esos empleados para malversar tales activos. Estas relaciones pueden ser
creadas por:
- Futuros despidos de empleados, conocidos o esperados.
- Cambios recientes o esperados en la remuneración o planes de beneficios a empleados.
- Promociones, remuneración, u otras recompensas inconsistentes con las expectativas.
Indique cualquiera de los anteriores u otros factores de riesgo que deben ser considerados en relación con
incentives/presiones asociadas con aseveraciones equívocas provenientes de malversación de activos:
Por el giro de la empresa, se tiene operaciones en efectivo al público en general. Cuando el personal recibe efectivo, se
realiza la ficha de ingreso y esta a su vez es depositada al banco.
En la actualidad la empresa no prevé despidos masivos por lo que resta del año y el siguiente.
-32-
2.6 Other Informularioation
Oportunidades
a. Ciertas características o circunstancias pueden aumentar la susceptibilidad a malversación de los activos. Por
ejemplo, las oportunidades para malversar activos aumentan cuanto existen:
- Grandes cantidades de efectivo en mano o procesado.
- Partidas de inventario que son de tamaño pequeño pero de alto valor o gran demanda.
- Activos fácilmente convertibles, tales como bonos al portador, diamantes, o chips de computador.
- Activos fijos que son de tamaño pequeño, negociables, o que carecen de identificación de propiedad visible.
b. Un inadecuado control interno sobre activos puede aumentar la susceptibilidad a malversación de tales activos.
Por ejemplo, puede ocurrir malversación de activos debido a que existe:
- Segregación inadecuada de funciones o chequeos independientes.
- Vigilancia inadecuada por parte de la gerencia de los empleados responsables de los activos – por ejemplo,
supervisión o monitoreo inadecuados de las localidades remotas.
- Inadecuada selección de solicitudes de trabajo para empleados con acceso a activos.
-33-
- Mantenimiento inadecuado de registros con respecto a los activos.
- Inadecuado sistema de autorización y aprobación de transacciones (por ejemplo, en compras).
- Salvaguardias físicas inadecuadas sobre efectivo, inversiones, inventario o activos fijos.
- Carencia de conciliaciones de cuentas completas y oportunas.
- Carencia de documentación oportuna y apropiada de transacciones; por ejemplo, créditos para devoluciones
de mercancía.
- Carencia de vacaciones obligatorias para empleados que desempeñan funciones clave de control.
- Comprensión inadecuada de la tecnología de información por parte de la gerencia, lo cual permite a los
empleados de tecnología de información perpetrar una malversación.
- Controles de acceso inadecuados sobre registros automatizados, incluyendo controles y revisión de registros
de asuntos de sistemas computarizados.
Indique cualquiera de los anteriores u otros factores de riesgo que deben ser considerados en relación con oportunidades
asociadas con aseveraciones equívocas que surgen de malversación de activos:
Todas las unidades están aseguradas, asi como las intalaciones y edificio. Las personas que manejan efectivo se encuentra
afianzada.
Actitudes
Los factores de riesgo que reflejan actitudes de empleados que les permiten justificar malversaciones de activos,
generalmente no son susceptibles a observación. Sin embargo, si tenemos conocimiento de la existencia de tal información,
debemos considerarla al identificar los riesgos de aseveración equívoca material que surgen de la malversación de activos.
a. Descuido de la necesidad de monitorear o reducir los riesgos relacionados con la malversación de activos.
b. Descuido del control interno sobre malversación de activos, omitiendo controles existentes o dejando de corregir
deficiencias conocidas de control interno.
c. Comportamiento que indica desagrado o disgusto con la empresa o su tratamiento del empleado.
d. Cambios en el comportamiento o estilo de vida que pueden indicar que los activos han sido malversados.
-34-
Indique cualquiera de los anteriores u otros factores de riesgo que deben ser considerados en relación con actitudes
asociadas con aseveraciones equívocas que surgen de la malversación de activos:
N/A
Los procedimientos analíticos ejecutados durante la planeación pueden ayudar en la identificación de riesgos de aseveración
equívoca material proveniente de fraude. Sin embargo, puesto que tales procedimientos analíticos generalmente usan datos
agregados a un alto nivel, los resultados de esos procedimientos solamente proporcionan una indicación inicial amplia acerca
de que pueda existir una aseveración equívoca material de los estados financieros. Por consiguiente, los resultados de
dichos procedimientos son considerados junto con las otras fuentes de información en la Parte 2.
Al planear la auditoría, ejecutamos procedimientos analíticos relativos a ingresos con el objetivo de identificar relaciones poco
usuales o inesperadas que involucren cuentas de ingresos o transacciones significativas que puedan ser indicio de una
aseveración equívoca material proveniente de reportes de información financiera fraudulenta.
Documente a continuación cualesquiera observaciones poco usuales o inesperadas provenientes de los resultados de
nuestros procedimientos analíticos ejecutados en la planeación de la auditoría, particularmente aquellos que se refieren a
ingresos y cuentas relacionadas. También debemos documentar las observaciones acerca de importes de estados
financieros o razones financieras clave que no han cambiado, cuando se esperaban cambios con base en nuestro
conocimiento del negocio y la industria de la empresa.
N/A
Hacemos indagaciones a la alta gerencia sobre su evaluación del riesgo de que los estados financieros puedan contener
aseveraciones equívocas materiales provenientes de fraude, si tienen conocimiento de algún fraude o sospecha de
fraude, y los programas y controles que la empresa ha establecido para prevenir, detener y detectar fraude. También
hacemos indagaciones al comité de auditoria y a auditoria interna cuando sea aplicable. Cuando las respuestas a
nuestras indagaciones son inconsistentes, obtenemos información adicional para resolver tales inconsistencias
Un gerente senior, un principal, un director o un socio hace las indagaciones a la alta gerencia (e.g., el CEO, COO, CFO,
y CIO) y al comité de auditoría en todas las empresas públicas. Para empresas que no son públicas, un gerente o alguien
de más jerarquía, hace tales indagaciones a la alta gerencia y al comité de auditoria. Un gerente o alguien de más
jerarquía, hace tales indagaciones a los auditores internos para empresas públicas o no públicas. También consideramos
información obtenida mediante indagaciones a otros (e.g., asesor legal, director de ventas, gerencia de operaciones o de
división, personal financiero de más bajo nivel o empleados operacionales) durante el curso de la auditoria.
Alta Gerencia
-35-
Documente a continuación los resultados de nuestras indagaciones sobre fraude a la alta gerencia, así como la base para
sus respuestas (e.g., qué procesos emplean para proveerles una seguridad razonable de que sus evaluaciones de riesgo
son apropiadas).
Indique el(los) nombre(s) y nivel(es) del(los) miembro(s) de la alta gerencia con quien(es) se mantuvieron las discusiones.
Discutido con:
Nombre(s): Título(s): Fecha:
C.P. Salvador Martínez Gerente Administrativo 10-Nov- 2015
Indagamos acerca de:

 Si la alta gerencia tiene conocimiento de cualquier fraude real, sospechado o pretendido.
No tiene
La compañía no tiene conocimiento de alegatos o sospecha sobre reportes de información financiera fraudulenta.
 Si la alta gerencia tiene conocimiento de alegatos o sospechas sobre reporte de información financiera fraudulenta,
por ejemplo, debido a comunicaciones de informantes o “whistleblowers”, empleados, ex-empleados, analistas,
reguladores, vendedores al descubierto (short-sellers) u otros inversionistas.
La compañía no tiene conocimiento de alegatos o sospecha sobre reportes de información financiera fraudulenta.
 El proceso de la alta gerencia para identificar y responder a los riesgos de fraude en la empresa, incluyendo
cualesquier riesgos de fraude que la empresa haya identificados o saldos de cuentas, clases de transacciones, o
revelaciones sobre las cuales es posible que exista un riesgo de fraude.
N/A
 Programas y controles que la empresa ha establecido para mitigar riesgos específicos de fraude que la empresa haya
identificado, o que en otra forma ayuden a prevenir, impedir y detectar fraude, y cómo la alta gerencia monitorea tales
programas y controles.
N/A
-36-
 Para empresas con localidades múltiples, (a) la naturaleza y alcance del monitoreo de las localidades operativas o
segmentos del negocio, y (b) si existen localidades operativas o segmentos del negocio en particular donde la
posibilidad de riesgo de fraude sea mayor
La compañía no cuenta sucursales
Si la alta gerencia ha comunicado a los empleados sus puntos de vista sobre prácticas de negocios y
comportamiento ético, y cómo lo ha hecho
La compañía no cuenta sucursales
 Si la alta gerencia ha reportado al comité de auditoría u otros con autoridad y responsabilidad equivalentes sobre
sus procesos para identificar y responder a los riesgos de fraude en la empresa, y si la gerencia cree que el control
interno (incluyendo el entorno de control, los procesos de evaluación de riesgos, las actividades de control, los
sistemas de información y comunicación, y las actividades de monitoreo) sirve para prevenir, impedir o detectar
aseveraciones equívocas materiales provenientes de fraude
La empresa tiene colocada en el área de recepcion la misión y visión al igual que su código de ética para que todos y
cada uno de sus empleados conozcan los valores de la organización.
Comité de Auditoria o Equivalente

Los comités de auditoría o aquellos a quienes ha encomendado el gobierno corporativo juegan un importante papel en la
vigilancia de la evaluación de la empresa sobre los riesgos que pueden tener un efecto material en los estados financieros,
y algunos comités de auditoría están asumiendo una función más activa en la vigilancia del proceso de la gerencia para
identificar y responder a los riesgos de fraude y los programas y controles que han establecido para mitigar estos riesgos.
Obtenemos una comprensión de cómo el comité de auditoría ejerce su actividades de vigilancia en esta área, e indagamos
directamente al comité de auditoría (o por lo menos al chairman del comité) acerca de sus puntos de vista sobre los riesgos
de fraude y si los miembros del comité tienen conocimiento de algún fraude real, sospechado o pretendido.
La compañía cuenta con un equipo de auditoria interna
Para compañías públicas, indagamos acerca de asuntos que resultaron de los procedimientos del comité de auditoría para
la recibir, retener y tratar las quejas (incluyendo informantes o “whistleblowers”) relativos a asuntos contables, de control
interno o de auditoria, incluyendo procedimientos para el envío anónimo de preocupaciones de los empleados sobre
asuntos contables o de auditoria que sean cuestionables.
La compañía cuenta con un equipo de auditoria y se tiene personal de contabilidad que es encargada de verificar que se
-37-
lleven a cabo los controles establecidos por la empresa.
Auditoria Interna
Si la empresa no tiene una función de auditoria interna, considere si tal ausencia constituye un factor de riesgo de fraude o
afecta nuestra evaluación de la eficacia del control interno a nivel de empresa.
Para entidades que tienen la función de auditoría interna, hacemos indagaciones al personal de auditoria interna acerca de:
(1) sus puntos de vista sobre los riesgos de fraude, (2) si durante el año ellos han ejecutado algunos procedimientos para
identificar o detectar fraude, (3) actividades concernientes al diseño y eficacia de los controles internos de la empresa, (4)
si la gerencia ha respondido satisfactoriamente a los hallazgos resultantes de esos procedimientos, y (5) si los auditores
internos tienen conocimiento de algún fraude actual, sospechado o pretendido.
La empresa tiene colocada en áreas visibles la misión y visión al igual que su código de ética en áreas visibles para que
todos y cada uno de sus empleados conozcan los valores de la organización.
Otras Personas dentro de la Empresa

Además de las indagaciones anteriores, hacemos indagaciones de otras personas dentro de la empresa, según sea
apropiado, para determinar si ellas tienen conocimiento de algún fraude real, sospechado o pretendido que afecte a la
empresa. Tales otras personas pudieran incluir: empleados de menor jerarquía en las áreas financiera y operativa, el asesor
legal interno, personal de mercadeo o ventas, empleados involucrados en el inicio, registro, procesamiento o reporte de
transacciones complejas poco usuales, y quienes supervisan a estos empleados, o el ejecutivo jefe de ética o personal
equivalente.
N/A
Otra información que puede ser útil para identificar los riesgos de aseveraciones equívocas materiales provenientes de
fraude podría incluir:
a. Información de los resultados de nuestros procedimientos relativos a la aceptación y continuidad de
clientes;
b. Revisión de estados financieros interinos;
c. Nuestra consideración de riesgo inherente para saldos de cuentas individuales o clases de
transacciones;
d. El Memorándum Sumario de Revisión y el Sumario de Diferencias de Auditoria del año anterior; y
e. Reportes de analistas.
Documente a continuación nuestras observaciones sobre la consideración de otra información.
-38-
Elaboró: KNVS 13-OCT-14
Revisó: JJ 13 OCT 14
-39-

126 Cuestionario C.I. y Fraude - Mittsu 15

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

126 Cuestionario C.I. y Fraude - Mittsu 15

Cargado por

Copyright:

Formatos disponibles

CONSIDERACIONES SOBRE CONTROL INTERNO Y FRAUDE

Cliente Mittsu Motors, S.A. de C.V. Preparado Alfredo Granados Aguirre

Este formulario nos ayuda a:

El ejecutivo a cargo de la auditoria revisa y aprueba este formulario cada año.

Conclusión sobre la Eficacia del Control Interno a Nivel de Empresa

Resumen de Observaciones y Riesgos de Fraude Identificados

Resumen de Riesgos de Fraude Identificados y Respuestas Planeadas

Parte 1 – Considerar los Componentes de Control Interno a Nivel de Empresa

Parte 2 – Identificar Riesgos Potenciales de Aseveración Equívoca Material Proveniente de Fraude

1.1 Entorno de Control (Continuación)

**Auditoría Integrada Solamente** - Consideraciones Adicionales

1.1 Entorno de Control (Continuación)

Riesgos de Fraude Identificados

1.1 Entorno de Control (Continuación)

Observaciones de la Parte 2.1 – Discusión(es) del Equipo del Compromiso

Observaciones de las Partes 2.2 and 2.3 – Factores de Riesgo de Fraude

Observaciones de la Parte 2.4 – Procedimientos Analíticos de Planeación

Observaciones de la Parte 2.5 – Indagaciones

Observaciones de la Parte 2.6 – Otra Información

1.1 Entorno de Control (Continuación)

Respuestas de Auditoría a Riesgos de Fraude Identificados

1.1 Entorno de Control (Continuación)

Riesgo: Reconocimiento de los ingresos

3. Específicamente probaremos operaciones inusuales.

4. Revisión detallada de Ingresos.

5. Corte de Formas al cierre del ejercicio.

7. Revisión de Variaciones Significativas.

8. Confirmación de Saldos de Intercompañias.

1.1 Entorno de Control (Continuación)

9. Verificar conciliaciones entre partes relacionadas

Procedimientos para Tratar el Riesgo de Omisión (Override) por Parte de la Gerencia

1.1 Entorno de Control

1.1 Entorno de Control (Continuación)

Conciencia de Control y Estilo Operativo de la Gerencia

1.1 Entorno de Control (Continuación)

Compromiso de la Gerencia a la Competencia o Capacidad

Personal de tecnologías de la información monitorea los movimientos que realiza la compañía

Participación de la Junta Directiva y/o el Comité de Auditoría en el Gobierno Corporativo y Vigilancia

1.1 Entorno de Control (Continuación)

1.1 Entorno de Control (Continuación)

Estructura Orgánica y Asignación de Autoridad y Responsabilidades

La compañía cuenta con los manuales de puestos.

Políticas y Prácticas de Recursos Humanos

1.1 Entorno de Control (Continuación)

1.1 Entorno de Control (Continuación)

Controles a Nivel de Empresa Implantados? Procedimientos Ejecutados

1.2 Evaluación de Riesgo (Continuación)

1.2 Evaluación de Riesgo (Continuación)

 El proceso de evaluación de riesgo de la empresa incluye específicamente la identificación y evaluación de

1.2 Evaluación de Riesgo (Continuación)

Controles a Nivel de Empresa Implantados? Procedimientos Ejecutados

La empresa cuenta con una adecuada segregación de funciones.

Controles a Nivel de Empresa Implantados? Procedimientos Ejecutados

La empresa cuenta con una adecuada segregación de funciones.

Controles a Nivel de Empresa Implantados? Procedimientos Ejecutados

2.2 Factores de Riesgo Relacionados con Reportes de Información Financiera Fraudulenta

Descripción y Características de Fraude

2.2 Factores de Riesgo Relacionados con Reportes de Información Financiera Fraudulenta

2.1 Discusión(es) del Equipo del Compromiso

Trabajo realizado en índice 123 (E) y 124 (E)

- Nuevos requerimientos contables, estatutarios o reglamentarios.

2.2 Factores de Riesgo Relacionados con Reportes de Información Financiera Fraudulenta

- Intereses financieros personales importantes en la empresa.

No se identificaron factores de riesgo identificados con los conceptos antes mencionados

Auditoría Integrada Solamente - Consideraciones Adicionales