El auditor se debe informar sobre el riesgo de manipulación por parte de la

Administración.

10.7.2 Objetivos y categorías de los controles relevantes

Objetivo: prevenir aseveraciones equívocas o detectar y corregir oportunamente

aseveraciones equívocas en los estados presupuestaros y financieros, o soportar
el funcionamiento continuo de los aspectos automatizados de tales controles.

10.7.2.1 Tipos de controles

a) Controles preventivos

Los controles preventivos generalmente son aplicados a cada

transacción dentro de una TS y/o proceso de revelación significativa
para prevenir que ocurran aseveraciones equívocas. Prevenir
aseveraciones equívocas durante el procesamiento es un objetivo
esencial de cada sistema contable. Se tiene presente que, para ser
eficaces, los controles sobre TS y procesos de revelación significativa
con frecuencia incluyen controles para prevenir aseveraciones
equívocas y controles para detectar y corregir, porque estos últimos
sin los controles subyacentes de prevención pueden no ser
suficientemente sensibles o pueden operar demasiado tarde para
prevenir una pérdida para la entidad.

La ausencia de controles de prevención eficaces aumenta el riesgo

de que ocurran aseveraciones equívocas materiales en la
información, aumentando así la necesidad de controles
particularmente sensibles para detectar y corregir oportunamente
tales aseveraciones equívocas.

Los beneficios y desventajas de los controles preventivos, son como

siguen:

Beneficios de los controles Desventajas de los controles

de prevención preventivos
Evitan aseveraciones
Evidencia directa puede no
equívocas que son difíciles
estar disponible puesto que
de definir, anticipar o
los controles preventivos
predecir de que ocurran al
operan sobre una base de
procesar una transacción.
p. ej., puede
Impiden que ocurran
no haber evidencia directa
aseveraciones equívocas en
de que un pago no
la etapa de procesamiento.
autorizado fue prevenido
Cuando son operados por por el control relevante).
sistemas de TI (es decir,
Puede ser menos eficiente
controles de aplicación), los
probar si el control es
controles de prevención
ejecutado manualmente
pueden ser más eficientes
porque el auditor prueba un
para probar puesto que la
gran número de ocurrencias
en transacciones de alto
suficiente para cada tipo de
volumen y/o recurrentes
transacción y alternativa de
para obtener más evidencia
procesamiento aplicables
persuasiva de auditoría de
cuando se tienen controles
que el control manual está
generales de tecnología de
operando eficaz y
la información (CGTI)
consistentemente.
eficaces.

106
b) Controles de detección y corrección

El propósito de los controles de detección y corrección es detectar

aseveraciones equívocas que puedan haber ocurrido durante el
procesamiento (es decir, las aseveraciones equívocas que ocurren a
pesar de los controles preventivos de la entidad) y el de rectificar
esas aseveraciones equívocas. Desde una perspectiva de auditoría,
el aspecto del control, que es importante entender, es cómo la
entidad rectifica las aseveraciones equívocas encontradas. La
entidad frecuentemente implementa controles detectivos y correctivos
para monitorear el funcionamiento confiable de sus procesos y la
operación de los controles preventivos relevantes para corregir las
aseveraciones equívocas oportunamente.

Los controles detectivos y correctivos son aplicados generalmente

fuera de la TS a grupos de transacciones que han sido procesadas o
parcialmente procesadas.

Los controles de detección y corrección generalmente varían más de

una entidad a otra que los controles preventivos. Muchos controles de
detección y corrección dependen de la naturaleza de la entidad y su
entorno, así como de la competencia, preferencias e imaginación de
las personas que los ejecutan.

Los controles detectivos y correctivos pueden ser procedimientos

establecidos formalmente, tales como la elaboración de conciliación y
el seguimiento posterior de los rubros en conciliación e inusuales. O
puede haber otros procedimientos que los empleados ejecutan
regularmente y generalmente documentan aunque no estén
prescritos formalmente.

En muchos casos, si bien no están formalmente prescritos, estos

tipos de controles son una parte integral del control interno de una
entidad. Lo que es importante es que los controles:

Capturen completa y correctamente toda la información relevante.

Identifiquen las aseveraciones equívocas potencialmente
significativas.
Sean ejecutados consistente y regularmente.
Incluyan procedimientos de seguimiento y corrección, ejecutados
oportunamente, de aseveraciones equívocas u otros problemas
que son detectados.

Los controles detectivos y correctivos puede incluir:

Revisiones de alto nivel. Revisiones del desempeño real contra

presupuestos, pronósticos, periodos anteriores y competidores.
Las acciones de la Administración para analizar y dar seguimiento
a las variaciones inesperadas representan actividades de control.
Indicadores de desempeño. Relacionar grupos diferentes de
información, operativa o financiera, entre sí, junto con un análisis
de las relaciones y acciones de investigación y correctivas, puede
servir como actividades de control. Si los gerentes usan esta
información solamente para tomar decisiones operativas o
también para dar seguimiento a resultados inesperados
reportados por sistemas de información financiera, determina si el

107
 análisis de los indicadores de desempeño solo sirve para
propósitos operativos o también para propósitos de reporte de
información financiera.
Conciliaciones. Las conciliaciones son preparadas y las partidas
en conciliación o las partidas inusuales son posteriormente
investigadas y resueltas, y se realizan correcciones donde sea
necesario. La sola ejecución de una conciliación sin dar
seguimiento a las partidas en conciliación o a las partidas
inusuales no es un control.
Revisión de reportes de excepción. Los reportes son generados
automáticamente mostrando las transacciones/grupos de
transacciones que están fuera de los parámetros establecidos por
la entidad. Tales excepciones son revisadas y se les da
seguimiento según se requiera. Los parámetros también son
revisados periódicamente para confirmar que tan apropiados son.

Un control de detección y corrección puede ser una fuente principal

de evidencia de auditoría de que no es probable que se presenten
riesgos de aseveración equívoca material con respecto a una
aseveración relevante de estados presupuestarios y financieros
cuando se cree que:

La información sujeta al control es completa y confiable.

El control es suficientemente sensible para identificar
aseveraciones equívocas materiales.
Personal de la entidad corrige oportunamente las aseveraciones
equívocas detectadas.
Hay controles de prevención eficaces durante el procesamiento de
las transacciones.

Es importante que se obtenga una comprensión de cómo resuelve la

entidad el procesamiento incorrecto de transacciones. Esto incluye
los procedimientos para corregir y reprocesar las transacciones
anteriormente rechazadas y para corregir las transacciones erróneas
mediante asientos de diario de ajuste. Sin esta comprensión, un
control detectivo no puede proporcionar una seguridad de que las
aseveraciones equívocas son corregidas.

Los beneficios y desventajas de los controles de detección y

corrección para la auditoría, son como sigue:

Beneficios de los controles de Desventajas de los controles

detección y corrección de detección y corrección
Detectar aseveraciones Pueden no ser
equívocas que ocurren suficientemente oportunos
durante el procesamiento (es para impedir aseveraciones
decir, las aseveraciones equívocas.
equívocas que ocurren aún La evidencia directa del
con la presencia de controles seguimiento puede no estar
de prevención de la entidad) y disponible.
corregir posteriormente las Puede ser necesario probar
aseveraciones equívocas. controles sobre la
Pueden ser suficientemente información subyacente.
sensibles para tratar
aseveraciones y los riesgos
identificados múltiples.
Frecuentemente hay
evidencia directa disponible
de que el control fue

108
 ejecutado (p. ej., una
conciliación revisada
apropiadamente).
Pueden ser más eficaces para
probar que los controles
preventivos porque los
controles de detección y
corrección son ejecutados con
menor frecuencia y son
aplicados a grupos de
transacciones en lugar de
transacción por transacción.

10.7.2.2 Categorías de controles

Los controles preventivos, de detección y de corrección pueden ser:

a) Controles de aplicación

Los controles de aplicación son controles automatizados procesados

por las aplicaciones de TI de la entidad sin la intervención de una
persona y se relacionan con procedimientos usados en el flujo crítico
de las transacciones u otra información financiera. Los controles de
aplicación ayudan a asegurar que las transacciones ocurrieron, están
autorizadas y son registradas y procesadas completa y
correctamente.

Los controles de aplicación pueden incluir los siguientes:

Revisiones de edición. Controles para limitar el riesgo de entrada,
procesamiento o resultado inapropiado de información debido al formato de
campo (p. ej., los importes en dólares son en formato numérico).
Validaciones. Controles para limitar el riesgo de entrada, procesamiento o
resultado inapropiado de información debido a la confirmación de una condición.
Los ejemplos incluyen tolerancia, verificaciones de duplicación, y cotejo (p. ej.,
cotejo triple automatizado, cuando un cheque a un proveedor no será generado
sin que la orden de compra, el recibo de mercancías y la factura sean cotejados).
Cálculos. Controles para asegurar que un cálculo está hecho correctamente (p.
ej., el sistema calcula automáticamente los totales de la factura).
Interfaces. Controles para limitar el riesgo de entradas, procesamientos o salidas
inapropiados de información que son intercambiadas de una aplicación a otra. Los
controles determinan la integridad de las transacciones y el procesamiento
oportuno (p. ej., el sistema confirma mediante un conteo de registros que todos
los registros fueron cargados del auxiliar de ventas al mayor general, o
confirmando que los totales de un registro concilien con el detalle que fue
registrado).
Autorizaciones. Controles para limitar el riesgo de entradas, procesamientos o
salidas inapropiados de información financiera clave debido a acceso no
autorizado a funciones o información financieras clave, e incluyen segregación de
funciones incompatibles, chequeos de autorización, límites y jerarquías (p. ej., las
funciones se definen dentro del sistema, de manera que solo el jefe de compras
tiene capacidad para adicionar proveedores al archivo maestro de proveedores).

Para poder confiar en los controles de aplicación, se deberá:

Confirmar que el control ha sido diseñado apropiadamente para lograr el objetivo

de control.
Determinar que la aplicación de TI procesa el control de una manera consistente y
es aplicada a todo el universo de transacciones.

109
 Los beneficios y desventajas de los controles de aplicación para la
auditoría, son como sigue:

Beneficios de los controles de Desventajas de los controles

aplicación de aplicación
Un control eficiente y eficaz Las aseveraciones equívocas
puesto que opera pueden no ser detectadas
consistentemente sobre cada cuando se otorga confianza a
transacción y puede ejecutar aplicaciones de TI que están
cálculos complejos sobre procesando información
grandes volúmenes de incorrecta.
transacciones o información. Mediante intervención
Aumenta la oportunidad, manual inapropiada se puede
disponibilidad y exactitud de la manipular la configuración o
información puesto que el programas del sistema para
control es operado por la permitir que una transacción
aplicación de TI sin sea procesada en forma
intervención manual diferente de como el sistema
Menos propenso a errores hubiera procesado
humanos o equivocaciones. normalmente una transacción
Pueden ser controles eficaces específica.
sobre riesgos de aseveración Las excepciones de control
equívoca material proveniente son probablemente más
de fraude. sistemáticas.
Proporcionan seguridad
razonable de que las
transacciones son válidas,
autorizadas apropiadamente,
completas, registradas y
procesadas adecuada y
oportunamente, si los CGTI
son eficaces.
El recorrido puede ser

transacción y alternativa de
procesamiento con CGTI
eficaces. Aún si los CGTI son
evaluados como ineficaces,
todavía se puede concluir que
un control de aplicación está
operando eficazmente
siempre y cuando se haya
ampliado los procedimientos
de auditoría.
Proporcionan una oportunidad
para aplicar una estrategia de
puntos de referencia debido a
la naturaleza del control.

b) Controles manuales dependientes de TI

En muchas situaciones, se identifica un control para prevenir

aseveraciones equívocas o un control para detectar y corregir
aseveraciones equívocas que tiene aspectos tanto manual como
automatizado (p. ej., una revisión un reporte de pedidos pendientes
generado por la computadora para determinar que todos los ingresos
son facturados). Hace referencia a estos como controles manuales
dependientes de TI.

110
Para tales controles, se considera los aspectos tanto manual como
automatizado de los controles (es decir, no solamente la sensibilidad
del control, sino también si existen controles sobre la integridad y
exactitud de la información producida por el computador).

Cuando se evalúa la integridad y exactitud de la información

generada por la computadora:

Se identifica la fuente de la información. En caso de consultas, se

valida que el informe produce la misma información cada vez que
se corre una consulta.
Se identifica el proceso y los controles de la Administración para
asegurar que la información es completa y exacta.

Con frecuencia, la Administración confía en los controles de

aplicación e CGTI para determinar la integridad y exactitud de la
información generada por la computadora. Por lo tanto, el auditor
ejecutará procedimientos sobre los controles de aplicación y los
CGTI para obtener una seguridad sobre la exactitud continua de la
información generada por la computadora o se prueba
directamente la información generada por la computadora.

Los beneficios y desventajas de los controles manuales

dependientes de TI para la auditoría, son como sigue:

Beneficios de los controles Desventajas de los controles

manuales dependientes de TI manuales dependientes de TI
para la auditoría para la auditoría
Facilitan el análisis adicional Son ejecutados por personas
de la información (p. ej., y, por lo tanto, pueden dar
analizando tendencias, lugar a incertidumbre sobre si
índices clave, excepciones, el control es aplicado
etc.). consistentemente en un
Proporcionan evidencia momento específico o
directa en relación con la durante todo el periodo de
eficacia de un control (p. ej., auditoría.
revisión, seguimientos y Mediante intervención
corrección oportuna de las manual inapropiada se puede
aseveraciones equívocas). manipular la configuración o
Proporciona una programas del sistema para
oportunidad para aplicar una permitir que una transacción
estrategia de puntos de sea procesada en forma
referencia sobre la diferente de como el sistema
información generada por TI. hubiera procesado
normalmente una transacción
específica.
Con frecuencia proporcionan
menos evidencia persuasiva
de auditoría porque tales
controles pueden ser
omitidos, ignorados,
manipulados o son
propensos a errores
humanos o equivocaciones.
Dependen de aspectos
automatizados de otros
controles para determinar la
integridad y precisión de la
información generada por TI

111