Evaluación de controles del proceso

de nómina
MATERIAL DE APOYO
GLOSARIO Y CONCEPTOS FUNDAMENTALES

A continuación, se presenta el glosario de algunos conceptos utilizados en este curso:

Siglas y términos:

MIAIFA: Modelo Integrado de Auditoría de Información Financiera AUDITOOL

NIA: Normas Internacionales de Auditoría
TI: Tecnología de información

Definiciones:

• Alcance de los procedimientos de auditoría: Se refiere al tamaño de la muestra que

quedará cubierta con el procedimiento. El alcance de los procedimientos de auditoría, que
responda al riesgo evaluado, debe ser proporcional al nivel de riesgo, es decir, si aumenta el
riesgo de errores de importancia relativa, el alcance (cantidad de muestras o controles sujetos
a los procedimientos diseñados) debe aumentar.

• Control: Medida utilizada para mitigar el riesgo.

• Deficiencia de control: Se presenta cuando el diseño o implementación del control relevante

no es efectivo.

• Deficiencia significativa: En control interno es una deficiencia o una combinación de

deficiencias en el control interno que, a nuestro juicio profesional, tiene suficiente importancia
para requerir la atención de los encargados del gobierno corporativo de la entidad.

• Enfoque de auditoría: La evaluación del auditor a los riesgos identificados al nivel de

aseveración proporciona una base para considerar el enfoque de auditoría eficaz para diseñar
y llevar a cabo procedimientos que respondan a los riesgos identificados. Por ejemplo, el
auditor puede determinar que los procedimientos sólo estarán basados en la aplicación de
pruebas de la efectividad de los controles o que sólo es adecuado llevar a cabo procedimientos
sustantivos o un enfoque combinado que usa pruebas de la eficacia de los controles y
procedimientos sustantivos.

www.auditool.org 2
• Enfoque de pruebas de controles: Cuando el auditor tenga la expectativa de que los
controles operan eficazmente y los procedimientos sustantivos por sí solos no ofrecen
evidencia de auditoría completa, el auditor deberá diseñar y realizar pruebas de controles.

• Evento: Hecho generado en el interior de la entidad o fuera de ella, que afecta el logro de sus
objetivos y cuyo impacto puede ser positivo o negativo, siendo el primero una oportunidad y
el segundo un riesgo.

• Evidencia: Información obtenida por el auditor para sustentar las conclusiones de su revisión.

• Impacto: Efecto o magnitud que tiene la ocurrencia de un evento. Término también conocido
como consecuencia o severidad.

• Matriz de riesgos y controles: Herramienta que permite evaluar el riesgo inherente y

residual de los procesos de una entidad. La función de la matriz es servir de elemento de
monitoreo para una adecuada administración de los riesgos que impactan los objetivos
organizacionales.

• Oportunidad: Evento que puede coadyuvar en el logro de los objetivos de la entidad.

• Naturaleza de un procedimiento de auditoría: Este aspecto tiene que ver con su propósito
(es decir, la prueba de controles) y con su tipo. La naturaleza de los procedimientos de
auditoría es de suma importancia para responder a los riesgos evaluados.

• Objetivo del auditor: De conformidad con la NIA 330, el objetivo del auditor es obtener
suficiente evidencia apropiada de auditoría en relación con los riesgos evaluados de
representación errónea de importancia relativa, mediante la planeación e implementación de
respuestas apropiadas a dichos riesgos.

• Probabilidad de ocurrencia: Término que mide la posibilidad de que un evento se presente

en mayor o menor grado.

• Oportunidad de los procedimientos de auditoría: Se refiere al momento en el cual se llevan

a cabo los procedimientos de auditoría.

www.auditool.org 3
 El auditor puede realizar pruebas de control o procedimientos sustantivos en una fecha
intermedia o al final del ejercicio. Mientras más alto es el riesgo de errores de importancia
relativa, más probable es que el auditor pueda decidir qué es más eficaz, si realizar
procedimientos sustantivos más cerca de, o al final del ejercicio, en lugar de una fecha
anticipada, o llevar a cabo procedimientos de auditoría sin anunciar o en momentos no
esperados. Por ejemplo: Llevar a cabo procedimientos de auditoría en localidades
seleccionadas sin previo aviso. Esto es de especial relevancia al considerar la respuesta a los
riesgos de fraude.

Por otra parte, llevar a cabo procedimientos de auditoría antes del final del ejercicio puede
ayudar al auditor a identificar asuntos importantes en una etapa inicial de la auditoría y,
consecuentemente, resolverlos con ayuda de la administración o desarrollar un enfoque eficaz
de auditoría para atender a tales asuntos.

• Procedimiento sustantivo: Se refiere al procedimiento de auditoría diseñado para detectar

representaciones erróneas de importancia relativa a nivel de aseveración. Los procedimientos
sustantivos comprenden:

o Pruebas de detalles (de clases de transacciones, saldos de cuentas, y revelaciones),

y

o Procedimientos analíticos sustantivos.

• Prueba: Procedimiento que ejecuta el auditor para obtener la evidencia que fundamenta su(s)
conclusión(es).

• Pruebas a controles automatizados. En ciertos casos, podría resultar imposible para el

auditor diseñar procedimientos sustantivos eficaces que por sí mismos proporcionen suficiente
evidencia de auditoría adecuada al nivel de aseveración. Esto puede ocurrir cuando una
entidad procesa su información, usando Tecnologías de Información y mantiene
documentación solamente en ese medio. En este caso, es imprescindible que el auditor
efectúe pruebas al ambiente tecnológico, incluyendo pruebas de cambios a programas y
pruebas de acceso.

• Pruebas de controles: Son los procedimientos de auditoría diseñados para evaluar la

efectividad operativa de los controles para prevenir o detectar y corregir, representaciones
erróneas de importancia relativa a nivel de aseveración.

www.auditool.org 4
• Respuestas a riesgos identificados: El auditor puede identificar riesgos ya sea a niveles
globales o de aseveración. Los primeros están relacionados con los estados financieros y los
segundos, a errores de aseveración o a una cuenta en específico.

• Respuestas a riesgos identificados a nivel global: Cuando se identifica y determina la

existencia de riesgos a nivel global, el auditor debe diseñar procedimientos de auditoría que
respondan a estos. Asimismo, debe documentar el resultado del diseño y las conclusiones de
los procedimientos ejecutados. Algunos ejemplos de respuestas a los riesgos globales son los
siguientes:

o Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo profesional,

así como el hecho de incorporar elementos de impredecibilidad en la selección de los
procedimientos de auditoría que se vayan a realizar.
o Asignar personal con más experiencia o con habilidades especiales en la industria,
usar expertos, dar mayor supervisión, etcétera.
o Si se determinan debilidades en el entorno de control, el auditor puede responder de
la siguiente manera: Realizar cambios generales en la naturaleza, oportunidad y
alcance de los procedimientos de auditoría; por ejemplo, se pueden efectuar
procedimientos al final del ejercicio y no en una fecha intermedia, buscando evidencia
de auditoría más amplia mediante procedimientos sustantivos, incrementando el
número de localidades que se han de incluir en el alcance de la auditoría, etcétera.

Un entorno de control efectivo permite al auditor tener más confianza en el control

interno y en la confiabilidad de la evidencia de auditoría generada dentro de la entidad
y, con ello, realizar algunos procedimientos de auditoría en una fecha intermedia más
que al final del ejercicio.

• Respuestas a riesgos identificados a nivel de aseveración: A nivel de aseveración, para

cada clase de transacción, saldo de la cuenta y revelación, en el que se haya determinado un
riesgo significativo, el auditor debe diseñar y realizar procedimientos de auditoría que
respondan a los riesgos, considerando lo siguiente:

o El riesgo inherente

o El riesgo de control

o Que a mayor riesgo de error se debe obtener evidencia de auditoría más persuasiva

www.auditool.org 5
 o Diseñar y llevar a cabo procedimientos que respondan a los riesgos de auditoría
identificados y proporcionen un vínculo claro entre los procedimientos adicionales de
auditoría del auditor y la evaluación del riesgo.

• Riesgo inherente: Es la posibilidad de que ocurra un error por las características particulares
de la cuenta - clase y volumen de transacciones, complejidad y/o grado de subjetividad para
la determinación del saldo o revelación, etcétera -. Es definido como el nivel de riesgo propio
de la actividad, sin considerar mecanismos de mitigación y control de la entidad. También se
conoce como Riesgo Absoluto, Bruto o Puro.

• Riesgo de control: Es la posibilidad de que un control no funcione o no responda al riesgo

identificado. La evaluación del riesgo considera que el auditor confiará y obtendrá evidencia
de auditoría para determinar si los controles establecidos para las transacciones operan
eficazmente.

• Riesgo residual: Corresponde al riesgo remanente después de haber aplicado

actividades de control o mitigación a los riesgos inherentes. También se conoce como Riesgo
Neto.

• Riesgo significativo: Es la alta posibilidad de que ocurra un error de importancia identificado

y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración,
de manera significativa. Por tanto, en opinión del auditor, se requiere de una respuesta
adecuada en su auditoría, mediante la aplicación de procedimientos específicos.

www.auditool.org 6