Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

Auditoría

Unidad 4
 
 

EVALUACION DE LOS ELEMENTOS DE CONTROL

El control interno es un proceso integrador conformado por políticas, planes de trabajo,

elementos, métodos y procedimientos, ejecutado por la dirección, la gerencia y el resto del
personal de un ente, diseñado con el fin de coordinar, dirigir y controlar la gestión del ente en
lo que respecta al cumplimiento delos medios que son el camino para el logro de sus
objetivos.

En efecto, el control interno no constituye un acontecimiento aislado, sino una serie de acciones que se
extienden por todas las actividades de una empresa. En este proceso forman parte los procedimientos y las
personas; todos los niveles de la organización están involucrados en el control interno.

La organización tiene la responsabilidad de diseñar, implementar y mantener el control interno con el propósito
de responder a los riesgos del negocio que amenazan el cumplimiento de sus objetivos.

Según el informe COSO, el control interno procura asegurar los siguientes objetivos:

a)   La efectividad y eficiencia de las operaciones del ente;

b)   La confiabilidad de la información financiera, incluyendo la prevención contra la información

financiera fraudulenta;

c)   El cumplimiento de las leyes y regulaciones aplicables al ente.

 
 

| Auditoría

1/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

COMPONENTES DEL CONTROL INTERNO

Actividades de control: Las actividades de control son políticas y procedimientos que aseguran
que las directivas de la dirección se lleven a cabo, tienen varios objetivos y se aplican a los diversos
niveles de la organización:

1. Separación de la custodia de activos, de la contabilidad:

a. Separación de la autorización de las operaciones de la custodia de los activos relacionados.
b. Separación de la responsabilidad operativa de la responsabilidad de la registración contable.
c. Separación de responsabilidades dentro del departamento de procesamiento electrónico de datos.
2. Autorización adecuada de operaciones y actividades, que incluye:
a. Autorización por parte de la administración, de las políticas generales del ente y de niveles de
autorización de la línea media.
b. Autorización de operaciones individuales, para casos específicos.
3. Documentación respaldatoria y registros contables adecuados, que agrupa:
a. Documentación pre numerada
b. Emisión de comprobantes en el momento en que ocurra la operación que respaldan
c. Claridad en los datos expuestos
d. Establecimiento de un plan de cuentas
4. Control físico sobre los activos y registros.
5. Verificaciones sobre el desempeño, que implica el seguimiento permanente, por una parte de un sector
independiente- como puede ser auditoría interna- del cumplimiento de los controles y procesos.

Los controles contables son aquellos que tienen por objetivo asegurar razonablemente que la
información contable sea confiable.

Para el auditor deben ser evaluados desde dos perspectivas: la del funcionamiento formal y la del contenido de
las registraciones contables. En la primera perspectiva, lo que se analiza es si el sistema funciona correctamente
para garantizar razonablemente la existencia, la validez y la integridad de las operaciones. Son ejemplos de
controles contables, la conciliación bancaria, la conciliación de cuentas corrientes de deudores y proveedores, el
control de la razonabilidad de ingresos brutos sobre los ingresos gravados.

Ambiente de control: está formado por acciones, políticas, procedimientos, instrucciones, etc, que evidencian
las actitudes globales de la administración y su mentalidad sobre la necesidad de control y su importancia en la
organización.

Es la base de la cultura del control con el fin de lograr los objetivos propuestos. Los elementos del
ambiente de control que debe evaluar el auditor son:

| Auditoría

2/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

Comunicación y puesta en práctica por la dirección de los valores éticos como la integridad;
Compromiso con la competencia;
Participación de los encargados de gobierno;
Filosofía de la gerencia y estilo de operación;
Estructura organizativa y asignación de autoridad y responsabilidad;
Políticas y prácticas respecto de los recursos humanos.

Evaluación de riesgos: son riesgos aquellos que pueden entorpecer el logro de los objetivos de la organización.

Identificar los riesgos del negocio (y para la preparación de estados contables), que pueden ser externos (nuevas
normas impositivas, cambios en la estructura del mercado, en la conducta de los consumidores) o internos
 (inestabilidad de los sistemas informáticos, fijación de objetivos ambiguos, falta de determinación de
parámetros o instrumentos de evaluación)

Como los riesgos implican incertidumbre, una vez identificados debe medirse su significatividad ( es decir, la
importancia relativa de la consecuencia que el riesgo generará en los objetivos) y la probabilidad de que esa
consecuencia se materialice por ocurrencia del factor riesgo.

Comunicación de controles y políticas:   el auditor debe obtener una comprensión de este

componente del control interno, el sistema de información, incluidos los procesos de negocios
relacionados, importantes para los estados financieros, incluyendo las siguientes áreas de
relevamiento:

Las clases de transacciones que integran las operaciones del ente;

Los procedimientos que integran el sistema de información financiera del ente;
El modo en que el sistema de información captura los hechos y condiciones significativos;
Los registros contables que respaldan la información;
El proceso que la entidad utiliza para la preparación de los estados financieros;
Los controles que rodean a los asientos de diario.

Monitoreo del funcionamiento del sistema: realizado por el propio ente de la efectividad en el desempeño de
los controles de manera de tomar acciones correctivas, de corresponder.

Conocimiento formal y real del control interno:

Una vez realizado un análisis del conocimiento del ente y se sus características específicas y de las
manifestaciones que se encuentran en los estados contables debe determinar qué riesgo inherente conlleva la
auditoría.

Posteriormente, se debe establecer el riesgo de control, es decir, la posibilidad de que el sistema de control
interno no detecte (y, por consiguiente, no corrija) errores que tienen impacto en la información contable. Esto
se realiza con el fin de determinar las características (naturaleza, alcance y oportunidad) de las pruebas de
validación de saldos posteriores.

El análisis formal pretende que el auditor saque sus conclusiones acerca de la utilidad de los controles diseñados

| Auditoría

3/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

y supuestamente aplicados por el ente. Es decir, el objetivo de esta etapa es determinar qué actividades de
control diseñadas por el ente son útiles para asegurar razonablemente que las manifestaciones contenidas en los
estados contables son veraces.

Los procedimientos que deberá aplicar:

Lectura de organigrama
Lectura de manual de funciones
Lectura de manual de procedimientos
Lectura de cursogramas: Los cursogramas o diagramas de flujo son la representación gráfica de la
secuencia de las operaciones de un determinado sistema. Esa secuencia se gráfica en el orden cronológico
en que cada operación tiene lugar.
Lectura de plan de cuentas

En ocasiones ocurre, que las empresas no cuentan con algunas herramientas o aún estando disponibles no
siempre son conocidos por quienes realizan los controles o bien no se encuentran escritos.

Por ello, debe complementar con:

Entrevistas al personal
Cuestionarios al personal: Estos cuestionarios consisten en la presentación de determinadas preguntas
estándar para cada uno de los distintos componentes que forman parte de los estados financieros. Estas
preguntas siguen la secuencia del flujo de operaciones del componente analizado. Con sus respuestas,
obtenidas a través de indagaciones con el personal del ente o con la documentación de sistemas que se
facilite, se analiza si esos sistemas resultan adecuados o no en pos de la realización de las tareas de
auditoría.

De éste análisis, el auditor analizará si los controles diseñados sirven a los objetivos de la auditoría.

Si el auditor concluye que los controles sirven, podrá descansar en ellos en la medida que se cumplan. De allí, la
necesidad del conocimiento real del control interno, a través de pruebas de cumplimiento de los controles.

Pruebas de cumplimiento:

Reproceso de operaciones: consiste en realizar nuevamente una operación ya hecha por la empresa para
analizar si la totalidad de los controles que deberían haberse aplicado en verdad se realizaron.
Lote de prueba existente: el auditor toma un conjunto de operaciones (o una en particular) antes de que
ingrese al sistema de información contable conociendo las características de estas con el fin de saber
como deberían salir del sistema.
Lote de prueba ficticio: el auditor ingresa una operación creada por él, conociendo por tanto como debería
salir del sistema de información.
Examen de evidencia: consiste en verificar las evidencias de controles realizados sobre los comprobantes
del ente (sellos, firmas, entre otros, que evidencien comprobaciones de cálculo, autorizaciones,
comparaciones).

| Auditoría

4/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

Observaciones de actividades: el auditor realiza una inspección ocular de las actividades del personal del
ente en el momento en que se están efectuando.

EJEMPLO DE PRUEBAS DE CUMPLIMIENTO APLICADAS AL CIRCUITO DE VENTAS Y

COBRANZAS

OBJETIVO DE AUDITORIA CONTROL INTERNO PRUEBA DE CUMPLIMIENTO

Incorporar una operación ficticia

Se compara la nota de que no tenga nota de pedido.
Validez de operaciones de venta
pedido con remito Verificar la inicialización del
responsable de la autorización.

Incorporar una operación ficticia

Se verifica el límite de
que supere el límite.  Verificar la
crédito para autorizar una
inicialización del responsable de la
operación
autorización.

Verificar la correlatividad de
Integridad en las operaciones de Los remitos y facturas son
numeración con fecha del
ventas prenumeradas
comprobante.

Comparar los remitos con las

Las ventas se contabilizan
registraciones en el subdiario de
con la fecha del remito
ventas.

Validez de las cobranzas
Observar la separación de
Separación de funciones
funciones. Verificar la evidencia
entre el manejo de fondos
de autorización en la
y la registración
documentación.

reprocesar una conciliación

Conciliación bancaria
bancaria.

Integridad de las cobranzas Endoso de cheques Arqueo sorpresivo de valores

Conciliación mensual de Verificar papeles de trabajo de

cuentas ctes. Clientes conciliación.

verificar la correlatividad de
los recibos son
numeración y fecha y comprar
prenumerados
con conciliación de clientes.

Algunos autores, denominan aquél control válido a los fines de la auditoría, como “control clave”

Control clave es aquel control que reúne dos condiciones:

• proporciona satisfacción de auditoría relevante, siempre que esté operando efectivamente, y,

• la proporciona de modo más eficiente que otro procedimientos.

| Auditoría

5/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

Estas pruebas de cumplimiento van a formar parte de los programas de trabajo de auditoría, y su realización
normalmente va a efectuarse en la visita denominada preliminar, antes del cierre del período/ejercicio a auditar.

Los programas de trabajo de auditoría realizados a partir de las pruebas de cumplimiento seleccionadas deberán
tener una claridad meridiana, de manera que no se presten a confusión temas tales como naturaleza de la
prueba, oportunidad y alcance. A su vez este alcance debe ser medido en función de la cantidad de
documentación a revisar y de los pasos a seguir en caso de detectar errores o fraudes.

La existencia de errores o fraudes en la realización de las pruebas de cumplimiento, invariablemente implicarán:

o un aumento en el alcance de las tareas, o la conclusión de que ese control no se cumple en forma adecuada, o
no está vigente, y por lo tanto deben modificarse los procedimientos de auditoría a emplear.

En ese caso se tendría que modificar esa prueba de cumplimiento por la de cumplimiento de algún otro control
que ahora se denominará clave, o por la realización de otras pruebas de tipo sustantivo. De ahí la importancia
de realizar la prueba de estos controles con anticipación a la fecha de cierre del período/cierre a auditar, ya que
resultaría problemático detectar debilidades de control y no poder tomar acciones correctivas oportunas en el
plan de auditoría, si es que estas pruebas son efectuadas con posterioridad a dicha fecha.

Por ejemplo, dentro del relevamiento del componente de Existencias (bienes de cambio) y
costos de producción se puede llegar a definir que determinados procedimientos en el área de
recepción de materiales son controles clave y probarlos, en lugar de efectuar un recuento
físico selectivo al cierre del período. Si de la conclusión de las pruebas de cumplimiento de
esos controles clave resulta que los mismos no funcionan adecuadamente, necesariamente se
debería tomar un recuento físico al cierre del período. Si esta prueba de cumplimiento de
controles clave se efectúa a posteriori de esa fecha, el recuento físico no va a poder ser
realizado en esa oportunidad, y esto entorpecería la labor de auditoría, generando
ineficiencias (será menester desarrollar las denominadas pruebas de reconstrucción —con un
recuento físico a fecha posterior—, reconstruyendo en base a documentación de soporte, lo
que hubiera sido el saldo físico a la fecha de cierre).

Consideración de los controles internos según el "informe coso"

Con diferentes enfoques, el sistema de control interno de cualquier empresa ha sido definido en numerosos
tratados y pronunciamientos. En opinión de los autores, el sistema de control interno mejor abordado y
detallado es el correspondiente al "Comittee of Sponsoring Organizations" (COSO) dependiente de la comisión
del Senado de los Estados Unidos, la "Treadway Commission, National Commission on Fraudulent Financial
Reporting", ampliamente conocido como el "Informe COSO".

El Informe COSO, actualizado en mayo de 2013 (reemplaza a su antecesor de 1992), define

de la siguiente forma al control interno:

"...un proceso efectuado por el consejo de administración, la dirección y el resto del personal de

| Auditoría

6/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecución de objetivos de operación, información y cumplimiento".

Esta definición resalta que todos los miembros de una organización son responsables de la implantación y
correcto funcionamiento del sistema de control interno, siendo la Dirección el principal responsable. No son los
auditores internos los responsables de implementar y velar por el correcto funcionamiento del sistema de control
interno. La responsabilidad recae fundamentalmente sobre la Dirección, a partir de los niveles más altos y luego
en cascada, en todos los niveles directivos intermedios.

Los auditores internos desarrollan una importante función en lo que se refiere a la evaluación del sistema de
control interno. Su dependencia jerárquica de la más alta Dirección les garantiza la suficiente independencia
para desarrollar su trabajo en forma eficaz.

El informe COSO, define los siguientes objetivos de aplicación del control interno:

Operación;
Información; y
Cumplimiento

Dentro de dichas áreas se desarrollan diversos componentes de control interno, a saber:

Ambiente interno: La conclusión que obtenga el auditor al analizar este componente tendrá un efecto
importante sobre la determinación de la naturaleza, extensión y oportunidad de las pruebas a realizar por
el auditor.
Evaluación de riesgos: Evaluar integralmente el análisis de riesgo que realiza la compañía le servirá al
auditor para determinar si la gerencia ha contemplado los posibles errores que considera que podrían
ocurrir sobre la información financiera del ente.
Actividades de control: mediante el entendimiento de este componente el auditor podrá evaluar los
controles implementados por el ente para prevenir y detectar errores o fraudes sobre la información
financiera de la compañía.
Información y comunicación: El auditor debe poner énfasis en como el ente realiza la salvaguarda de sus
activos, los procesos de autorizaciones de transacciones, etc.
Monitoreo: Es el proceso mediante el cual la gerencia supervisa las actividades de control realizadas en los
procesos, que la gerencia ha identificado como claves para prevenir o detectar errores o fraudes en la
información financiera de la compañía.

El nuevo marco COSO, a diferencia del original del año 1992, explicita 17 principios que representan conceptos
fundamentales que están asociados a cada uno de los componentes del control interno. De esta manera,
cualquier compañía que aplique los 17 principios se asegura de lograr un control interno efectivo. No obstante,
deberán existir controles relacionados, cuyo diseño y operación sea efectivo en pos del objetivo que persigue.

Podemos graficar la relación entre los objetivos, los componentes y los 17 principios aplicables al ente como un
todo, de la siguiente manera:

| Auditoría

7/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

Recomendaciones sobre el sistema de información contabilidad y control interno:

La forma en que, normalmente, las fallas del sistema de información, contabilidad y control son comunicadas a la
Gerencia es a través de informes, como subproductos de la labor de auditoría.

Es importante en la etapa de planificación estratégica evaluar la predisposición de la Gerencia hacia

la recepción de estos informes o, si por el contrario, no le es de relevante interés (o, lo que es
peor, molestos por inconvenientes para la evaluación de su desempeño que hacen sus superiores
jerárquicos).

Las recomendaciones a incluir en este informe, deberían ser de un tenor tal que no modifiquen la opinión vertida
sobre los estados contables en su conjunto, o de ser deficiencias de determinada magnitud, que quede claro que
a través de los procedimientos y de la documentación general del trabajo realizado se han efectuado —por el
auditor— todas aquellas tareas tendientes a reemplazar (a través de procedimientos denominados alternativos)
lo que no "cubren" las deficiencias observadas.

En general, la redacción de estos informes se divide en párrafos que detallan cada una de las deficiencias o
sugerencias cuya comunicación se considere necesaria (por su naturaleza constructiva). Es conveniente que
estas notas sean redactadas de una manera cuidadosa, donde el lector tome clara idea de que la labor del
auditor es de tipo positivo, y que apunta hacia la mejora general de la eficiencia y eficacia de los procedimientos
de la organización. Esta carta debería ser dirigida al máximo responsable de la administración de la empresa.
Normalmente tiene el mismo destinatario que el informe de auditoría.

| Auditoría

8/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

EL RIESGO DE AUDITORIA

El riesgo de auditoría es la probabilidad de que el auditor exprese una opinión de auditoría

inapropiada cuando los estados financieros son significativamente incorrectos. Este riesgo es
una función del riesgo de incorrecciones significativas y del riesgo de detección.

El riesgo de incorrecciones significativas existe a dos niveles:

a)   A nivel de los estados financieros en su conjunto;

b)   A nivel de las afirmaciones contenidas en los estados financieros.

Y se manifiestan en dos componentes que atañen al ente, es decir, que no dependen de la

auditoría:

a)   El riesgo inherente: que es la susceptibilidad de una afirmación a una incorrección que puede ser
significativa, individual o agregada a otras, suponiendo que no haya controles internos establecidos por el ente
que prevengan o detecten y corrijan la incorrección (por ejemplo, operaciones con instrumentos derivados);

b)  El riesgo de control: que es el riesgo de una incorrección que pueda ocurrir en una afirmación y que pueda
ser significativa, individualmente o agregada a otras incorrecciones, no sea prevenida o detectada y corregida
oportunamente por el control interno del ente.

Asimismo, existe el riesgo de detección, que consiste en el riesgo de que los procedimientos ejecutados por el
auditor para reducir el riesgo de auditoría a un nivel aceptablemente bajo, no detecten una incorrección que
existe y que puede ser significativa, en forma individual o agregada a otras incorrecciones. Este es un riesgo
dependiente de la auditoría y no del ente.

Medición de Riesgos:

Riesgo de auditoría: Probabilidad de que el informe se emita con errores:

a. Riesgo Inherente: Éste riesgo viene dado, por la naturaleza de la actividad, que realiza el ente.
b. Riesgo de Control: Éste riesgo viene dado, porque el sistema de control interno no detecta algún error o
desvío de la información contable.
c. Riesgo de Detección: Es controlable por el auditor, puesto que depende de la realización de sus pruebas
de validación de saldos. Los factores que determinan el riesgo de detección:
La ineficacia de un procedimiento de auditoría aplicado
La mala aplicación de un procedimiento

| Auditoría

9/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

Problemas en la definición de alcance y oportunidad de un procedimiento de auditoría.

De todo lo antes dicho se desprende que: R.I. x R.C. x R.D. = Riesgo de Auditoría (la posibilidad de emitir
un informe con consecuencias distintas a las que debería tener)

Diferencia error y fraude:

El término error denota una equivocación no intencional que puede referirse por ejemplo a: la
incorrecta aplicación de un determinado criterio contable, estimaciones inadecuadas por la
incorrecta interpretación de ciertos hechos económicos, incorrecto procesamiento de datos
con los que se elabora la información contable.

El fraude, por el contrario, implica intención de engaño, conlleva acciones deshonestas que
realizan personas vinculadas con el ente con el fin de obtener un beneficio indebido.

El fraude, por lo tanto, es un acto doloso (hay intención de daño), mientras que el error es un acto culposo (no
hay intención de dolo).

Es importante que el profesional no considere a sus clientes capaces de cometer un fraude, pero
tampoco debe optar por la premisa opuesta.

En éste punto cabe destacar, que, al momento de evaluar los riesgos de posibles fraudes o errores, el auditor no
empleará sus conocimientos técnicos, sino también su experiencia, ética y su escepticismo respecto de la
evidencia de auditoría obtenida. Debe entenderse escepticismo por la capacidad de mantener una visión crítica e
inquisitiva de la información a evaluar.

Controles y fraude

Corresponde hacer un análisis general en función de la responsabilidad que le cabe al

profesional relacionado con el ente y con los estados contables sobre los que informa.

En este sentido es importante que, detectado algún tipo de procedimiento que implique fraude, malversación o
manejos no correctos en las operaciones, o a su vez, procedimientos que lleven a manejos incorrectos o a
problemas de salvaguarda de los activos deban necesariamente ser incluidos en las recomendaciones sobre los
sistemas de información, contabilidad y control. Por supuesto, dependerá de la magnitud de estos problemas y
la naturaleza y oportunidad de su ocurrencia, que sean informados en un informe individual, en conjunto o
mantener conversaciones especiales con miembros claves de la organización.

El mensaje es el siguiente: no es labor del auditor detectar fraudes o errores. Sí pueden llegar a detectarse

| Auditoría

10/11
 Universidad Nacional de Tres de Febrero UNTREF VIRTUAL

como parte de la labor de auditoría. Una vez detectados lo primero y fundamental es informarlos al nivel
gerencial adecuado, luego, dejar constancia escrita de esa cuestión para salvar la responsabilidad profesional y
por último, evaluar las implicancias que estos fraudes o errores pudieron haber tenido o tienen en los estados
contables y a su vez, efectuar las recomendaciones o sugerencias necesarias para su solución.

La determinación del nivel gerencial adecuado para comunicar la existencia de un presunto (o, a veces,
concreto) fraude es una cuestión de juicio profesional; no obstante debe ser por lo menos el nivel inmediato
superior a las personas que aparecen implicadas en el presunto ilícito.

Es posible que como consecuencia de la existencia de un fraude (concreto o presunto), el auditor deba
considerar la posibilidad de retirarse del trabajo; ello luego de un cuidadoso análisis de las responsabilidades
legales y profesionales que le competen, definiendo la forma adecuada de hacerlo (para que no implique un
"abandono" del trabajo, penado por el Código de Ética).

Los factores de riesgo de fraude son indicadores de los cuales el auditor debería prestar
atención al momento de evaluar cuáles son los riesgos que afectan al ente auditado.

Se pueden dividir en cuatro categorías:

1. Riesgos de Personal:
Estilo administrativo autocrático
Directivos de poca calidad
Alta rotación de la gerencia
2. Riegos culturales:
Ausencia de códigos de ética y valores institucionales
Obediencia incuestionable del personal
Bajo compromiso con el control
3. Riesgos estructurales:
Estructuras complejas
Sitios remotos no supervisados
Varias firmas de auditores
4. Riesgos comerciales:
Problemas de liquidez
Utilidades muy por encima de lo normal en la industria
Desajuste entre el crecimiento y el desarrollo de los sistemas

| Auditoría

11/11