评估流程和交易的内部控制

1.简介

审计师有责任了解和评估实体的内部控制流程，以设计测试以识别控制，风险并测试公司建立的流程。

2.目的

根据ISA 330：“审核员的目标是通过计划和实施对那些重大错报风险的评估来获得足够的适当审核证据。”

3.定义

ISA 330定义以下术语：

a）实质性程序：旨在在断言级别检测相对重要性的错误表示的审核程序。

实质程序包括：

详细证据（交易类别，账户余额，披露信息）；和实质性分析程序

b）控件的测试：一种旨在评估控件的操作有效性的审核程序，以防止或检测和更正断言级别上相对重要的错误表示。

在对财务报表进行审计的过程中，审计师应评估和设计程序，以应对已发现的重大审计错误风险，这些风险可能影响整个经审计的财务报表，或对财务报表产生重大影响。具体。

重大风险是很可能发生已识别和评估的重大错误，如果发生，将严重影响财务报表或声明。因此，审计师认为，通过采用特定的程序，审计人员需要做出适当的回应。

在完成审核计划的工作中，审核员确定：

重大交易以及启动，处理和记录交易的流程在财务报表中具有重大影响的业务风险欺诈风险

4.评估实体的内部控制

必须首先在内部进行内部控制评价的理解，即指导和决策的人。

内部控制的五个组成部分如下：

控制环境是组织定下基调的基础，是影响其人员控制意识的基础，它是内部控制其他组件的基础，并提供纪律和结构。

风险评估是对公司为实现其目标而运行的相关风险的识别和分析，从而构成确定如何管理风险的基础。

信息和通信系统以允许员工履行职责的方式和时间，为识别，捕获和交换信息提供了基础。

控制活动是必须遵循的政策和程序，以确保执行管理层的指示。

监控是一个随着时间的推移验证内部控制性能质量的过程。

控制环境

高级管理层制定的准则（即财务报告在其中运行的公司环境或文化）是影响财务报告流程完整性的最重要的单个因素。换句话说，如果管理层设定的准则宽松或宽松，那么一套令人印象深刻的书面规则和程序将无济于事。

控制环境反映了董事会，管理层，所有者及其他人员对控制的重要性以及对政策，程序，方法和组织结构的控制的重视的总体态度，认识程度和行动。该公司的。控制环境包括管理层对制定会计估计的态度以及报告财务信息的理念；这是会计系统和内部控制运作的环境。

COSO在其报告《内部控制集成框架》中指出：“控制环境对业务活动的组织方式，目标的建立方式和风险评估具有主要影响。它还会影响控制活动，信息和通信系统以及监视活动。这不仅在其设计方面如此，而且在日常工作中也是如此。”..

控制环境是公司进行会计控制并准备财务报表的氛围。因此，对于控制环境的理解是必不可少的，以便确定对交易处理和管理层在准备财务报表时作出的判断的错误风险具有主要影响的因素。令人满意的控制环境不能保证任何特定控制的有效性，但是在评估错误风险时可能是一个积极因素。有效的控制环境还为期望会计系统在一年中某个时候运行良好提供了基础，并在今年剩余时间内继续保持良好运行。以这样的方式，控制环境是有效内部控制的基本要素。

在审查控制环境时，项目团队应考虑以下因素：

诚信，道德价值观和主要管理人员的行为

管理控制意识和操作风格

承诺胜任

董事会和审计委员会参与公司的治理和监督

适当的组织结构以及权限和责任的分配人力资源政策和实践

诚信，道德价值观和关键管理人员的行为

诚信和道德价值观是控制环境的基本要素，影响关键流程的设计，管理和监控。诚信和道德行为是公司关于道德和行为的标准以及它们进行沟通，监督和实践的方式的产物。其中包括管理层为减少或消除员工进行非法，不诚实或不道德行为的机会而采取的行动。它们还包括通过政策声明和行为准则向公司员工传达公司的价值观和行为标准，以及公司高管的例子。

控制意识和管理操作风格

管理层有责任指导和控制运营以及建立，沟通和监控策略和程序。控制环境的每个方面都受到管理的行动和决策（或在某些情况下为无所作为和犹豫不决）的深刻影响。在有效的控制环境中，管理层对控制的意识及其操作和协调方式可促进流程和控制的有效运行，并在错误发生的可能性最小化的环境中进行。

控制意识是指管理对于内部控制及其运行环境的重视。这在很大程度上是一个无形的概念。这是一种管理态度，一旦进行沟通，将有助于确保适当的控制保留在适当的位置，并减少了忽略特定控制的可能性。

承诺胜任

对胜任力的承诺包括管理层考虑特定职位的技能水平以及这些水平如何转化为技能和知识要求。管理层应考虑的其他因素包括在特定工作中使用的判断的性质和程度以及所需的监督程度。项目团队必须考虑员工是否似乎有能力履行职责（例如，员工在公司将报告的普遍接受的会计原则方面是否具有足够的知识和经验）。

董事会和审计委员会参与公司治理和业务监督

董事会通过自身的活动并在审计委员会的支持下，负责监督会计和财务报告程序和政策。

尽管审计委员会的具体活动和职责有所不同，并需要根据具体情况进行修改或改编，但董事会对股东和第三方承担信托责任，以提供可靠的财务报告。

因此，董事会和审计委员会应关注向股东和投资公众报告财务信息，并应监控公司的会计政策以及内部审计和独立审计流程。

在确定董事会和/或审核委员会对控制环境的影响时，项目团队应考虑董事会和/或审核委员会与管理层，成员的经验和知识，对公司运营的参与和审查的程度，出现棘手问题的程度以及管理层的跟进以及与内部审计师和独立审计师的互动。

组织结构与权限分配

公司的组织结构表示计划，指导和控制运营的总体框架。一个有效的结构决定了责任的分配，因此所有员工对谁应向谁报告以及他们的责任有一个清晰的概念。

在审查组织结构时，项目团队应考虑以下方法：（1）分配权限，（2）监视分散的操作，（3）分配和监视信息系统的职责（包括使用信息组织）。服务或“服务组织”），（4）在整个组织内建立和监控政策和程序（例如，利益冲突，公司安全和行为准则）。

项目团队应专注于组织结构的实质和分配权限和责任所遵循的方法，而不是其形式。因此，一般的知识水平以及对政策和程序的遵守程度与管理层对其进行监控一样重要。对组织结构的审查对于项目团队确定职责分工的程度以及评估这方面严重不足的影响也很有用。

人力资源政策与程序

这些政策和程序涉及员工的雇用，入职，培训，评估，咨询，晋升和薪酬。政策和程序（包括控制）的有效性取决于执行它们的人员。因此，公司人员的能力和诚信度是其控制环境的重要组成部分。公司能否招募和聘用足够的合格和负责任的人员，取决于人力资源政策和实践。此外，专用于特定过程的人员的能力和完整性水平是评估过程控制有效性的因素之一。

风险评估

所有公司，无论其规模，结构，性质或行业类型如何，都在其组织的各个级别发现风险。风险影响着公司在行业中生存和成功竞争的能力；维持其财务实力，正面的公众形象以及产品或服务以及人员的总体素质。没有实际的方法可以将您的风险降低到“零”。实际上，建立企业的决定会带来风险。管理层必须确定可以谨慎接受的风险级别，并尝试将其保持在该级别内。

风险识别，分析和管理过程是任何有效的内部控制系统的关键组成部分。还必须认识到，变化始终存在，对于有效的风险评估流程，采取必要的措施应对此类变化至关重要。

为了了解公司一级的风险评估流程，项目团队应考虑以下因素：

是否已建立和传达公司级目标，包括如何由战略计划支持并在流程或应用程序级进行补充。是否已建立风险评估流程，包括对风险评估的重要性的评估风险，风险发生可能性的评估以及必要措施的确定；如果已经建立了机制来预测，识别和应对可能对公司产生巨大影响的情况，则应采取相应措施。（例如，一个金融机构的资产/负债管理管理委员会，或制造公司的一组商品营销风险）。如果有预期的机制，识别影响实体目标或过程/应用水平实现的例行事件或活动并对其做出反应，如果会计部门已建立过程以识别相关主管部门颁布的公认会计原则的重大变化。是否授权沟通渠道将可能影响记录交易的方法或过程的公司业务惯例变化通知会计部门如果会计部门具有识别运营环境中重大变化的过程，包括监管变化。会计部门是否已建立流程，以识别相关部门颁布的公认会计原则的重大变化；是否有权将沟通渠道通知会计部门公司业务惯例的变化，可能会影响记录交易的方法或过程如果会计部门具有识别运营环境中重大变化（包括法规变化）的过程。会计部门是否已建立流程，以识别相关部门颁布的公认会计原则的重大变化；是否有权将沟通渠道通知会计部门公司业务惯例的变化，可能会影响记录交易的方法或过程如果会计部门具有识别运营环境中重大变化（包括法规变化）的过程。是否授权沟通渠道将可能影响记录交易的方法或过程的公司业务惯例变化通知会计部门如果会计部门具有识别运营环境中重大变化的过程，包括监管变化。是否授权沟通渠道将可能影响记录交易的方法或过程的公司业务惯例变化通知会计部门如果会计部门具有识别运营环境中重大变化的过程，包括监管变化。

信息和通信

信息和通信是捕获和交换执行，管理和控制公司运营所需的信息的过程。

公司通信和信息系统的质量会影响管理层做出合理决定以控制公司活动并准备可靠财务报告的能力。

信息和交流包括捕获和发布信息给适当的人员，以便他们可以履行职责，包括了解有关财务报告内部控制的个人角色和职责。

为了了解公司级别的信息和沟通，项目团队考虑了以下因素：

信息

信息系统是否向管理层提供了与既定目标相关的公司绩效的必要报告，包括内部和外部相关信息；是否已足够详细且事先将信息提供给适当的人员，以便他们能够有效和有效地履行其职责在与公司的通用信息系统相关的战略计划的基础上，信息系统的开发或修改的程度如何，如果公司的管理层分配了足够的人力和财力来开发必要的信息系统，则可以在公司和流程/应用程序级别实现目标。管理层如何确保和监控用户对开发的参与（（包括修改）和程序测试（如果已为所有主要数据中心制定了灾难恢复计划）

通讯

管理层是否有效地传达了人员控制的职能和职责如果已经为必须举报可疑事件的人员建立了沟通渠道是否适合通过公司进行沟通以促进人员履行职责管理层针对来自客户，供应商，调解人和其他外部方的通信采取及时和适当的后续措施如果公司受到监管机构的监控和合规性要求通知公司外部第三方（例如客户）的范围和供应商）上的公司政策和道德标准。

控制活动

控制活动是有助于确保遵循管理层指示的政策和程序。它们有助于确保采取必要的措施来解决实现公司目标的风险。控制活动（自动或手动）具有多个目标，并适用于各种组织和功能级别。

为了了解公司级别的控制活动，项目团队考虑了以下因素：

公司的各项活动是否有相关的政策和程序？如果控制措施的适用范围达到每种政策的要求？如果管理层在预算，利润，其他财务和经营目标方面有明确的目标这些目标应清楚地表达并传达给整个组织，并受到持续监视。如果建立了信息和计划系统以识别计划绩效的变化并在适当的管理级别上传达这种变化。它们被隔离在不同的人之间，从而降低了欺诈或其他不当行为的风险通过信息技术（IT）应用程序对功能进行逻辑划分的程度。如果与实物资产定期比较会计系统中记录的金额；是否有足够的保护措施防止未经授权的访问或销毁文件，记录和资产；是否制定了控制访问以下文件的政策：数据和程序。如果使用任何访问安全性，操作系统和/或应用程序软件来控制对数据和程序的访问，则已建立的信息和计划系统可以识别计划的性能变化并进行通信在适当的管理级别上进行此类变更；功能在不同人员之间的隔离程度，可以降低欺诈或其他不当行为的风险。信息技术应用程序在逻辑上划分功能的范围；是否与实物资产定期比较会计系统中记录的金额；是否有足够的保护措施防止未经授权的访问或文件，记录和资产的破坏；是否已建立控制数据文件和程序访问的策略；是否使用访问安全性，操作系统和/或应用程序软件来控制对数据和文件的访问是否已建立信息安全职能部门，负责监督对信息安全政策和程序的遵守情况。如果与实物资产定期比较会计系统中记录的金额；是否有足够的保护措施防止未经授权的访问或销毁文件，记录和资产；是否制定了控制访问以下文件的政策：数据和程序。是否使用任何访问安全软件，操作系统和/或应用程序来控制对数据和程序的访问。是否具有已建立的信息安全功能，负责监视对数据和程序的遵守情况信息安全政策和程序。如果与实物资产定期比较会计系统中记录的金额；是否有足够的保护措施防止未经授权的访问或销毁文件，记录和资产；是否制定了控制访问以下文件的政策：数据和程序。是否使用任何访问安全软件，操作系统和/或应用程序来控制对数据和程序的访问。是否具有已建立的信息安全功能，负责监视对数据和程序的遵守情况信息安全政策和程序。如果已建立策略来控制对数据文件和程序的访问；如果使用了某些访问安全性，操作系统和/或应用程序软件来控制对数据和程序的访问。信息安全，负责监视对信息安全策略和程序的遵守情况。如果已建立策略来控制对数据文件和程序的访问；如果使用了某些访问安全性，操作系统和/或应用程序软件来控制对数据和程序的访问。信息安全，负责监视对信息安全策略和程序的遵守情况。

Monitoreo

Una importante responsabilidad de la gerencia es el establecimiento y mantenimiento del control interno. La gerencia monitorea los controles para cerciorarse de que funcionen conforme a lo diseñado, y si se han modificado para adaptarlos a condiciones cambiantes. Monitoreo es un proceso de evaluación para determinar la calidad del control interno a través del tiempo, considerando si los controles están operando para lo que fueron diseñados y asegurando que son modificados apropiadamente por condiciones cambiantes. Esto implica evaluar el diseño y la operación de los controles con regularidad, tomando las acciones correctivas necesarias. Este proceso se logra mediante actividades sobre la marcha y evaluaciones separadas, o combinaciones de ambas.

Para comprender el proceso de monitoreo a nivel de empresa, el equipo a cargo del proyecto debe tener presente factores tales como:

Si se llevan a cabo evaluaciones periódicas del control InternoGrado en que el personal, en el desarrollo de sus funciones regulares, obtiene evidencia de que el sistema de control interno continúa funcionandoGrado en que las comunicaciones de partes externas corroboran la información generada internamente o indican problemasSi la gerencia sigue las recomendaciones que le hacen los auditores internos y los auditores independientesEnfoque de la gerencia para corregir oportunamente las condiciones informales conocidasEnfoque de la gerencia para manejar los reportes y recomendaciones provenientes de autoridades reguladorasExistencia de una función de la auditoría interna que la gerencia usa para ayudarse en el monitoreo, la cual incluye factores tales como:

Independencia (autoridad y relaciones de reporte)Líneas de reporte (se reporta directamente a la junta directiva y/o al comité de auditoría, o se tiene acceso ilimitado a la junta directiva y/o al comité de auditoría)Idoneidad en la asignación de personal, entrenamiento y existencia de destrezas especializadas de acuerdo con el entorno (e.g., uso de auditores de sistemas de información experimentados, adiestrados en entornos complejos y altamente automatizados)Cumplimiento con las normas profesionales aplicablesAlcance de actividades (un balance entre auditorias financieras y operacionales, cobertura y rotación de operaciones descentralizadas)Idoneidad de la planeación, evaluación de riesgos y documentación del trabajo ejecutado y las conclusiones alcanzadasInexistencia de responsabilidades operativas

El equipo a cargo del proyecto debe evaluar si el sistema de control interno está sujeto a auto-monitoreo y si incluye mecanismos apropiados para asegurar que cualesquier deficiencias observadas son corregidas. En el caso de que los métodos de auto-monitoreo y corrección de deficiencias sean evaluados como inadecuados, el equipo debe proponer recomendaciones específicas para mejorar el sistema.

5. Entender y Evaluar el Control Interno en Procesos y Transacciones

Identificar y Evaluar las Clases Mayores de TransaccionesOtras Consideraciones de ControlEfectos de la Tecnología de Información

Después de terminar una evaluación de control interno a nivel de empresa, el sistema de contabilidad de una organización se convierte en el foco primario para la evaluación del control interno sobre la información financiera. Para este propósito, el sistema de contabilidad está representado por los procesos que son básicos para la información financiera de la Compañía (i.e., los procesos de negocios y/o actividades contables).

Determinar las Cuentas Significativas

El punto de partida para identificar cuales son los procesos importantes, que empieza con la identificación de las cuentas o grupos de cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros.

Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que pueden tener un efecto material sobre los estados financieros u otros asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa con sus clientes, accionistas o el público si estos asuntos quedaran sin ser detectados.

La importancia de una cuenta son su tamaño y composición, y su susceptibilidad a manipulación o pérdida; su naturaleza; el volumen de la actividad, tamaño, complejidad y homogeneidad de las transacciones individuales procesadas a través de la cuenta y la subjetividad en la determinación del saldo de la cuenta (i.e., el alcance en que la cuenta es afectada por juicios).

Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o grupo de cuentas también es algo que se debe tener presente. Generalmente, una empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnología) tendrá más situaciones de incertidumbre y de riesgo que compañías con estabilidad.

1. Identificar y Evaluar las Clases Mayores de Transacciones

Identificar las cuentas significativas

El punto de partida para identificar cuáles son los procesos importantes, que empieza con la identificación de las cuentas o grupos de cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros.

Identificar y evaluar transacciones importantes

Esta identificación representa el enlace entre la identificación de cuentas o grupo de cuentas significativas y la comprensión y evaluación de los procesos y controles relacionados.

Las transacciones mayores incluyen todas las clases de transacciones que afectan en forma material las cuentas o grupos de cuentas significativas, sea directamente a través de asientos en el mayor general, o indirectamente mediante la creación de derechos u obligaciones que no pueden ser registrados en el libro mayor.

Los procesos comprenden clases de transacciones que pueden calificarse como:

rutinarias,no rutinarias ode estimación

Es importante distinguir entre estas clases mayores de transacciones porque los componentes y riesgos en cada clase son diferentes y, como resultado, la probabilidad de errores de importancia que surgen de los procesos correspondientes también difiere.

Transacciones Rutinarias

Son los datos financieros registrados en los libros y los registros o datos no financieros usados para administrar el negocio.

Por ejemplo, una empresa podría tener las siguientes transacciones rutinarias: Ventas y cuentas por cobrar

Ingresos en efectivoCompras y cuentas por pagarEgresos en efectivoNóminaInventarios y costo de ventas

Algunas empresas tendrán más de un solo proceso para transacciones similares. Por ejemplo, puede haber procesos separados para ventas domésticas y de exportación; la nómina puede ser diferente para aquellos con salario fijo y los que ganan en base a horas trabajadas.

Transacciones No Rutinarias

Estas son transacciones que se llevan en forma periódica, generalmente en conjunto con los estados financieros. Cualquier clase mayor de transacciones que no cumpla fácilmente con la definición de transacción rutinaria o transacción de estimación se puede ver como transacción no rutinaria. Transacciones típicas no rutinarias incluyen:

Cálculo del gasto por impuesto sobre la rentaConteo y valuación de inventariosDeterminación de gastos pagados por adelantado

Transacciones de Estimación

Estas son transacciones que reflejan los numerosos juicios, decisiones y alternativas en la preparación de estados financieros (Ej: Estimación para cuentas por cobrar).

Es importante tener presente que las transacciones rutinarias generalmente están sujetas a un sistema de control más formal, debido a que hay mayor objetividad en los datos y en el volumen de información procesada.

Por el contrario, debido a que las transacciones no rutinarias y las de estimación frecuentemente son más subjetivas o menos frecuentes, sus controles son menos formales. En consecuencia, el riesgo de errores potenciales puede ser mayor.

Entender el Flujo de Transacciones

Una vez identificado las principales clases de transacciones, es necesario obtener detalle de los procesos para comprender el flujo de cada clase mayor de transacciones.

El objetivo de este paso es la identificación de los registros, documentos y procedimientos básicos en uso para identificar en dónde pueden ocurrir errores.

La mayoría de los procesos involucran una serie de actividades tales como la validación y edición de entrada de datos, cálculos, actualización de archivos maestros y de transacciones y resumen e información de datos.

Los procedimientos de proceso más importantes y que son necesarios para efectos de identificar dónde pueden ocurrir errores son las actividades que se requieren para iniciar; registrar; procesar o reportar las clases mayores de transacciones. Estos incluyen procedimientos para corregir y reprocesar transacciones previamente rechazadas y procedimientos para corregir transacciones erróneas mediante asientos de ajuste.

Debemos comprender el flujo y la naturaleza de la información; analizar los tipos de errores que pueden ocurrir en la iniciación, registro, proceso y reporte de las transacciones y considerar las políticas y procedimientos de control interno relevantes.

Si bien la documentación de la comprensión y evaluación variará según la categoría de la transacción, Ej: usar papeles de trabajo para documentar procesos para transacciones rutinarias y memorandos para documentar procesos para transacciones no rutinarias y de estimación, los objetivos de registrar información contable son consistentes.

Proceso de Reporte de Información Financiera

Se debe incluir en su comprensión y evaluación del control interno el proceso para producir reportes financieros. La comprensión de los procesos significativos de la empresa y su interrelación con el proceso específico de producir información financiera proporcionará una base para conocer la información requerida para el proceso de información financiera. Típicamente éste incluirá:

Los procedimientos para registrar los totales de las transacciones en el mayor general.Los procedimientos para iniciar, registrar y procesar asientos de diario en el mayor general.Otros procedimientos usados para registrar ajustes recurrentes y no- recurrentes en los estados financieros y reclasificaciones.Procedimientos para preparar proyectos de estados financieros y notas a los estados financieros.Preparación del análisis de la gerencia en cuanto a logros financieros y operativos del negocio.

Evaluar los Controles Diseñados

Pruebas de controles

El auditor deberá diseñar y desempeñar pruebas de controles para obtener suficiente evidencia apropiada de auditoría en cuanto a la efectividad operativa de los controles relevantes si:

La evaluación del auditor de los riesgos de representación errónea de importancia relativa a nivel aseveración incluye una expectativa de que los controles están operando de manera efectiva (es decir, el auditor piensa apoyarse en la efectividad operativa de los controles para determinar la naturaleza, oportunidad y extensión de los procedimientos sustantivos);Los procedimientos sustantivos solos no pueden proporcionar suficiente evidencia apropiada de auditoría a nivel aseveración.

Al diseñar y desempeñar las pruebas de controles, el auditor deberá obtener evidencia de auditoría más persuasiva, mientras mayor sea el grado de dependencia del auditor de la efectividad de un control.

Naturaleza y extensión de las pruebas de controles

Al diseñar y desempeñar las pruebas de controles, el auditor deberá:

a) Desempeñar otros procedimientos de auditoría en combinación con la investigación, para obtener evidencia de auditoría sobre la efectividad operativa de los controles, incluyendo:

i) Cómo se aplicaron los controles en momentos relevantes durante el periodo bajo auditoría;

ii) La consistencia con que se aplicaron; y iii) Por quién y por qué medios se aplicaron.

b) Determinar si los controles por probar dependen de otros controles (controles indirectos) y, de ser así, si es necesario obtener evidencia de auditoría que soporte la operación efectiva de dichos controles indirectos.

Oportunidad de las pruebas de controles

El auditor deberá poner a prueba los controles por el tiempo particular, o durante el período, por el cual piensa el auditor apoyarse en dichos controles, para dar una base apropiada para el soporte pensado por el auditor.

Si el auditor obtiene evidencia de auditoría sobre la efectividad operativa de los controles durante un periodo provisional, el auditor deberá:

Obtener evidencia de auditoría sobre cambios importantes a dichos controles posteriores al periodo provisional; yDeterminar la evidencia adicional de auditoría que se debe obtener por el período restante

Uso de evidencia de auditoría obtenida en auditorías previas

Al determinar si es apropiado usar evidencia de auditoría sobre la efectividad operativa de los controles obtenida en auditorías previas, y, si es así, la duración del periodo que puede pasar antes de volver a someter a prueba un control, el auditor deberá considerar lo siguiente:

La efectividad de otros elementos de control interno, incluyendo el entorno del control, el monitoreo de controles por la entidad, y el proceso de evaluación del riesgo de la entidad;Los riesgos que se originen de las características del control, incluyendo si es manual o automatizado;La efectividad de los controles generales de TI;La efectividad del control y su aplicación por la entidad, incluyendo la naturaleza y extensión de las desviaciones en la aplicación del control que se observaron en auditorías previas, y si ha habido cambios de personal que afecten de manera importante la aplicación del control;Si la falta de un cambio de un control particular plantea un riesgo debido a las circunstancias cambiantes; y Los riesgos de representación errónea de importancia relativa y el grado de dependencia del controlLos riesgos de representación errónea de importancia relativa y el grado de dependencia del control

Si el auditor planea usar evidencia de auditoría de una auditoría previa sobre la efectividad operativa de controles específicos, el auditor deberá establecer la relevancia continua de dicha evidencia, obteniendo evidencia de auditoría sobre si han ocurrido cambios importantes en dichos controles posteriores a la auditoría previa.

La efectividad de otros elementos de control interno, incluyendo el entorno del control, el monitoreo de controles por la entidad, y el proceso de evaluación del riesgo de la entidad; Los riesgos que se originen de las características del control, incluyendo si es manual o automatizado; La efectividad de los controles generales de TI; La efectividad del control y su aplicación por la entidad, incluyendo la naturaleza y extensión de las desviaciones en la aplicación del control que se observaron en auditorías previas, y si ha habido cambios de personal que afecten de manera importante la aplicación del control; Si la falta de un cambio de un control particular plantea un riesgo debido a las circunstancias cambiantes; y Los riesgos de representación errónea de importancia relativa y el grado de dependencia del control.

Si ha habido cambios que afecten la relevancia continua de la evidencia de auditoría de la auditoría previa, el auditor deberá someter a prueba los controles en la auditoría.Si no ha habido esos cambios, el auditor deberá poner a prueba los controles cuando menos una vez cada tercer auditoría, y deberá poner a prueba algunos controles cada auditoría, para evitar la posibilidad de poner a prueba todos los controles sobre los que piensa apoyarse el auditor en un solo periodo de auditoría, sin poner a prueba controles en los dos periodos de auditoría posteriores.

Controles sobre riesgos importantes

Si el auditor planea apoyarse en los controles sobre un riesgo que el auditor ha determinado que es un riesgo importante, el auditor deberá poner a prueba esos controles en el periodo actual.

Evaluación de la efectividad operativa de los controles

Cuando evalúa la efectividad operativa de los controles relevantes, el auditor deberá evaluar si las representaciones erróneas que se han detectado con procedimientos sustantivos indican que los controles no están operando de manera efectiva. Sin embargo, la ausencia de representaciones erróneas detectadas con procedimientos sustantivos, no da evidencia de auditoría de que son efectivos los controles relacionados con la aseveración que se pone a prueba.

Si se detectan desviaciones de los controles en los que el auditor piensa apoyarse, el auditor deberá hacer investigaciones específicas para entender estos asuntos y sus consecuencias potenciales, y deberá determinar si:

Las pruebas de controles que se han desempeñado proporcionan una base apropiada para confiar en los controles;Son necesarias pruebas adicionales de controles; oNecesitan tratarse los riesgos potenciales de representación errónea usando procedimientos sustantivos.

La determinación si los controles tal como fueron diseñados, son eficaces, deben probarse mediante las pruebas de auditoría. Al hacer esta evaluación, el auditor debe considerar:

Características de las cuentas relacionadas (tamaño, susceptibilidad a errores o manipulación).Eficacia del control interno a nivel de empresa.Conclusiones relacionadas con los procesos de tecnología de información (IT).El diseño de control implementado por la empresa.Riesgos del control.Políticas y procedimientos en relación con autorización, custodia de activos, control confiable de los activos y segregación de funciones.

Determinar si los controles logran un objetivo específico (e.g., con respecto a los objetivos de reporte de información financiera o cuáles errores de importancia no ocurren) requiere con frecuencia de juicio considerable.

La pregunta clave es si los controles esenciales podrían prevenir y/o detectar un error material relacionado con cada una de las aseveraciones pertinentes en los estados financieros.

Si los controles existentes no son eficaces para ese propósito (o no hay controles), podría ser necesario establecer controles adicionales ya sean programados o manuales. Sin embargo, antes de instalar procedimientos nuevos, la empresa debería llevar a cabo un estudio de costo-beneficio.

Determinar Si los Controles Funcionan Tal Como se Diseñaron

La gerencia debe tener una seguridad razonable que los controles funcionan tal como se diseñaron.

Un paso inicial en ese proceso es que el auditor ejecute el recorrido de una transacción para verificar que lo que él entiende sobre el funcionamiento deseado del proceso y de sus controles es correcto.

Después que este recorrido ha sido ejecutado, puede comenzar la prueba de la eficacia de los controles.

Las pruebas para verificar si los controles funcionan tal como se diseñaron, pueden hacerse mediante:

Indagación a las personas responsables del control yExamen de la evidencia (e.g. revisión de las conciliaciones bancarias) de que el control fue ejecutado y fue eficaz.Analizar una transacción y repite la operación (por ejemplo los cálculos en una factura usada como muestra).

d. En otros casos se puede obtener una seguridad del buen funcionamiento de un control, observando a los empleados mientras llevan a cabo sus funciones, y mediante entrevistas con el personal para determinar si entienden lo que deben hacer si se identifica un error durante la ejecución de sus funciones.

En los casos de transacciones procesadas por el sistema IT, además de seguir el flujo físico de documentos y formas, el auditor también sigue el flujo de datos y de información de archivos a través de procesos automatizados en la aplicación (a nivel de sistema y no a nivel de lógica detallada).

Esto puede involucrar procedimientos tales como preguntas a personal independiente pero con conocimiento de la materia, revisión de manuales de usuario, observación de un usuario cuando procesa transacciones en una terminal, en el caso de una aplicación “on line”, y revisión de documentación tal como reportes de salida (output).

Al concluir esta tarea, el auditor debe documentar si los controles manuales y programados funcionan conforme a lo diseñado e incluir cualesquier otros comentarios pertinentes que puedan ayudar al auditor para evaluar procesos claves.

En un ambiente de negocio dinámico, los controles requieren una modificación cada cierto tiempo. Ciertos sistemas pueden requerir mejoras en sus controles para responder a nuevos productos en el mercado o debido a riesgos emergentes. La automatización de algunos controles manuales puede mejorar la eficiencia y el cumplimiento con las políticas de la gerencia. En otras áreas la evaluación puede indicar controles redundantes u otros procedimientos que ya no son necesarios. En tales casos la compañía puede mantener un nivel aceptable de controles y mejorar sus resultados mediante los cambios apropiados.

En el caso de que se identifiquen áreas en donde los controles son insuficientes para producir una seguridad razonable de que el riesgo de errores disminuye a un nivel aceptable, el equipo a cargo del proyecto debe recomendar mejoras. En todas las recomendaciones hay que tener presente el concepto de seguridad razonable.

Tanto los textos de auditoría como el informe COSO enfatizan en que el control interno no tiene que estar completamente libre de riesgos si la eliminación total de éstos tuviese un costo superior al beneficio esperado. Por lo tanto, cuando el revisor o el equipo a cargo del proyecto identifican un riesgo, es necesario tomar una “decisión de costo-beneficio” respecto a si los costos de instalación y mantenimiento de un control que reduzca o elimine el riesgo exceden los beneficios esperados. Generalmente, los controles solamente pueden reducir, no eliminar por completo, un riesgo. Además, se pueden usar los análisis de costo-beneficio para determinar si los controles existentes deben conservarse.

Todos los aspectos de control interno están sujetos al juicio procedimientos rutinarios (e.g., comparando facturas con reportes de recibo) Monitoreo periódico (e.g., pruebas de controles, verificación de porciones del sistema, actualización de estudios anteriores sobre costo-beneficio). Esto incluye decisiones sobre el tipo de monitoreo (e.g., por auditores internos) y la frecuencia del monitoreo (e.g., trimestral, anual, etc.)

Documentación relacionada con:

TransaccionesSistema de controlActividades de monitoreoDecisiones costo-beneficio

Políticas y prácticas para reportar:

Funcionamiento inadecuado de controles o controles circunvenidosCambios en las circunstancias que originan riesgos adicionales o nuevos, o reducen o eliminan riesgos existentesPolíticas y prácticas para tomar oportunamente acciones correctivas

En muchos casos, o posiblemente en la mayoría de ellos, un análisis formal de costo- beneficio sería difícil o costoso e innecesario. Por ejemplo, las personas que efectúan el análisis, después del segundo paso pueden reconocer que el costo excederá los beneficios. Por otra parte, quienes llevan a cabo el análisis pueden llegar a la conclusión de que el costo de reducir el riesgo será mínimo y que puede ser práctico instalar el control.

Sin embargo, en aquellos casos donde tiene sentido un análisis formal de costo- beneficio, puede ser útil tomar en consideración lo siguiente:

Listar todas las alternativas razonables (incluyendo controles) que puedan adoptarse para reducir o eliminar los riesgos –y si éstas no han sido identificadas– listar todos los riesgos que podrían ser reducidos o eliminados con cada alternativa.Listar o identificar las partidas relevantes de costo a incurrir en cada alternativa.Determinar los costos y riesgos que son cuantificables.Cuantificar esos costos y riesgos.Estimar la probabilidad de que una pérdida ocurrirá por falta de corregir la debilidad, y con qué frecuencia puede ocurrir ese evento.Para estimar en cada alternativa la probabilidad (si existe) de que pueda ocurrir una pérdida si el control es instalado, y con cuanta frecuencia podría ocurrir (si es el caso).Desarrollar la “mejor estimación” de los beneficios que podría haber al eliminar o reducir el riesgo (e.g.,, multiplicando en cada alternativa el riesgo cuantificado por la reducción en la probabilidad de que una pérdida pudiera ocurrir y luego por la reducción en la frecuencia de ocurrencias).Decidir si los costos por corregir la debilidad podrían exceder los beneficios, o viceversa, con base en una comparación de costos (cuantificables y no cuantificables) con los beneficios (cuantificables y no cuantificables).

Monitoreo

Finalmente, como se mencionó anteriormente, el control interno debería ser auto– monitoreable y auto–corregible. Quiere decir que una empresa debe establecer mecanismos para monitorear continuamente y mantener el sistema de control interno y tomar la acción correctiva oportunamente, cuando sea necesario.

Generalmente, La responsabilidad para convertir el sistema de control interno en “auto-monitoreable” y “autocorregible” no debe ser asignada exclusivamente a un solo grupo. En un sentido amplio, el sistema de control interno es integral y completo. Involucra a personal de toda la organización, incluyendo a muchas personas que no se consideran con responsabilidades contables o de control.

Fuentes para documentar procesos

Las siguientes son las fuentes en donde el Auditor puede encontrar información para documentar los procesos:

Organigramas que identifiquen los puestos y responsabilidadesEntrevistas con los dueños de los procesosManuales de procedimientosPolíticas relacionadas con el procesoObservación de las actividades del procesoInspección de información producida por el procesoInformes de auditorías internas y/o externas (ayuda a que el Auditor identifique debilidades y riesgos del proceso)Revisión de las cartas de recomendaciones del Auditor del año anterior

Evaluar el proceso y transacción

Para el logro de nuestro análisis de los procesos, consideraremos el desarrollo de las siguientes actividades, así:

Entendimiento del procesoIdentificación de los riesgos y controles del procesoSelección de los controles relevantes a los que se les realizarán las pruebasEvaluación de los controlesDiseño de las pruebas de auditoría relativas a la eficacia operativa de controles.

a. Entendimiento del proceso

Es indispensable que el Auditor entienda y documente las actividades que inician, procesan y registran las transacciones significativas. Ejemplo:

b. Identificación de los riesgos y controles del proceso

Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que los mitigan. En la identificación de riesgos es importante que considere los factores que pueden incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la obtención de objetivos, complejidad de una actividad, distribución geográfica de las actividades, entre otras.

Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de los procesos:

La vinculación de personal, no competitivo frente a los retos de la organización, así como la falta de efectividad de métodos de entrenamiento y motivación que puedan influir en el nivel de conciencia del auto-control en la entidad operaciones de la entidad.

Fallas en el procesamiento de los sistemas de información, que afectan las operaciones de identidad.

Cambios en las responsabilidades asignadas de la administración, que afecten la ejecución de algunos controles.

Identificación de Controles

Los controles se clasifican en tres tipos:

Automático: lo realiza de principio a fin un sistema de información.Semiautomático: es ejecutado de manera parcial por una persona, pero con la colaboración de un sistema de información.Manual: lo ejerce en su totalidad una persona, sin la colaboración de un sistema de información.

Los controles pueden ser preventivos, detectivos o correctivos:

Control Preventivo: Su objetivo es anticiparse a los eventos no deseados, actuando sobre las causas del riesgo, así como evitando la generación de errores o eventos fraudulentos.

Control Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, así como advierte sobre la presencia de riesgos.

Control Correctivo: Se orienta a la implementación de las acciones correctivas una vez se ha identificado un evento no deseado. Su implementación se realiza cuando los controles preventivos y detectivos no han funcionado, lo cual representa que su implementación sea más costosa, pues actúan cuando ya se han materializado eventos de pérdida para la organización.

2. Otras Consideraciones de Control

Las políticas y procedimientos en relación con autorización, salvaguardia de activos, responsabilidad sobre activos y segregación de funciones son establecidos por la gerencia para poder proveer una seguridad razonable de que:

Los activos son adquiridos, custodiados y usados, y los pasivos son incurridos y liberados conforme a las decisiones de la gerencia.La información financiera es mantenida correctamente en los libros y registros con respecto a activos y pasivos resultantes de dichas decisiones.

Estas políticas y procedimientos son parte integral de un sistema de control interno y se relacionan básicamente con el control de la gerencia sobre la disposición de los activos y pasivos de la empresa y, únicamente de manera indirecta, con los controles sobre el procesamiento de datos, los cuales se ocupan con la contabilización correcta, puntual y completa de las transacciones. Sin embargo, la ausencia de dichos controles podría incrementar el riesgo de errores de importancia en la información financiera incluida en los libros y registros de la empresa.

En vista de que las políticas y procedimientos frecuentemente toman la forma de controles, la ausencia de políticas y procedimientos adecuados sobre cualquiera de estas áreas puede afectar la forma en que el equipo a cargo del proyecto juzgue la eficacia de controles específicos sobre los procesos.

Autorización: Los niveles general y específico de autorización y aprobación y los procedimientos diseñados para asegurar que las transacciones y actividades se ejecutan de conformidad con las intenciones de la gerencia.

Salvaguardia de los activos: Restricciones, diseñadas para evitar la pérdida de activos, al acceso y uso de activos y registros, incluyendo el acceso físico y acceso indirecto mediante la preparación y procesamiento de datos que autoricen o faciliten el uso o disposición de activos

Responsabilidad sobre activos:

Procedimientos para comparar los activos registrados con los activos en existencia física y para tomar las acciones apropiadas cuando se identifican diferencias. Tales procedimientos ayudan a establecer una seguridad razonable de que se siguen los procedimientos relativos a autorización de uso y acceso a los activos.

Segregación de funciones: La prevención que una sola persona lleve a cabo funciones que no son compatibles o que una aplicación de Tecnología de Información permita acceso inapropiado o excesivo de los usuarios a las funciones. Por ejemplo, si una persona está en posición de cometer errores y a la vez esconderlos dentro del curso normal de sus propias funciones.

3. Efectos de la Tecnología de Información

En más aplicaciones complejas automatizadas, los controles identificados por la gerencia muchas veces pueden involucrar tecnología de información (IT). Los controles de IT incluyen controles de aplicación y controles generales de IT. Estos controles ayudan a proveer una seguridad razonable de que las transacciones son válidas y están debidamente autorizadas y procesadas de manera completa y precisa para dar confiabilidad.

Controles de Aplicación

Los controles de aplicación corresponden al procesamiento de transacciones individuales y pueden consistir en procedimientos programados (e.g., programas específicos para procesar o editar una transacción) o controles no programados (e.g., balanceo manual de información producida por IT). Existen frecuentemente controles programados, que pueden ser procedimientos de control programados (e.g., editar, comparar o conciliar) o procesos de IT (e.g., cálculos, asientos “on line” o interfaces automáticas entre sistemas) en los cuales la gerencia confía para asegurar la exactitud e integridad de la información generada por las aplicaciones automatizadas. Por ejemplo, para asegurar que los precios en todas las facturas a los clientes son correctos, la gerencia puede confiar en una información automatizada para identificar transacciones de fijación de precios que no cumplen con los criterios establecidos en combinación con un software de control de acceso para restringir el acceso al archivo maestro de precios. En forma similar, la gerencia puede otorgar confianza a un proceso de IT como la extensión automatizada de las facturas de venta para asegurarse de que todas las ventas han sido valuadas apropiadamente.

Se pueden encontrar controles programados a diferentes niveles de procesamiento de datos. Los siguientes son algunos ejemplos:

Entradas (input): Existen controles para asegurar la validez e integridad de los datos de entrada (input) (e.g., resumen de las transacciones generadas en las sucursales). Puede haber varias validaciones para evitar la entrada (input) de datos erróneos.

Procesamiento: También existen controles para proporcionar valuación y contabilización correctas. Los procesos pueden ejecutar cálculos sencillos o complejos (e.g., de precios de productos, de valuación de opciones). La administración del procesamiento de instrucciones y parámetros también constituye un asunto clave de control.

Salidas (output): Controles especiales pueden estar en funcionamiento cuando las salidas de datos generan pagos (e.g., la validación de la identificación de proveedores antes de procesar el pago).

Un control programado por si mismo no puede ser suficiente para asegurar que la aplicación previene la ocurrencia de errores o para detectar y corregir errores que hayan ocurrido durante el procesamiento. Sin embargo, un control programado, en combinación con controles generales eficaces de IT puede proporcionar el nivel de control deseado.

Controles Generales de IT

Se refieren a controles fundamentales sobre la adquisición y mantenimiento de software de aplicaciones y sistemas, seguridad de accesos y segregación de funciones que operan para asegurar la eficacia de los controles programados. Típicamente los controles generales de IT están diseñados para asegurar que:

Todos los cambios en las aplicaciones han sido autorizados, sujetos a prueba y aprobados antes de su implantación.

Únicamente personas y aplicaciones autorizadas tienen acceso a los datos y solamente para ejecutar funciones definidas específicamente (e.g., indagar, ejecutar o actualizar).

Si, tomando en consideración las preguntas sobre “lo que pudo fallar”, el equipo a cargo del proyecto determina que la gerencia está otorgando confianza a controles programados o que el control identificado depende de datos generados por IT, entonces debe hacerse una segunda pregunta: “Cómo sabe la gerencia si los controles programados operan eficazmente?” La respuesta puede ser que: (1) los procedimientos del usuario verifican la exactitud del procesamiento (e.g., recalculando manualmente los cálculos complejos, o conciliando los reportes de IT con los totales de partidas manuales) y/o (2) la gerencia depende de los sistemas de IT para ejecutar eficazmente el control o producir los datos. En el caso de la respuesta (2), el efecto de los controles generales de IT (i.e., modificaciones a programas y/o acceso a archivos de datos, incluyendo los controles generales dentro de entornos integrados de aplicaciones tales como arreglos clave y segregación de funciones entre los usuarios que afectan la aplicación completa) debe tomarse en cuenta al hacer la evaluación preliminar de la eficacia de todos los controles que dependen del sistema de IT o de datos generados por IT.

Muchas empresas usan organizaciones de servicio externas para procesar transacciones. En ese caso, además de evaluar los controles dentro de la empresa, la gerencia tiene que desarrollar un conocimiento de la importancia que el procesamiento en la organización de servicio tiene para el sistema contable y los controles de la empresa. Con base en el grado de importancia, la gerencia puede necesitar hacer una evaluación de los controles establecidos en la organización de servicio. Con frecuencia el auditor de la organización de servicio prepara un reporte sobre estos controles, el cual será útil para la evaluación de los mismos por parte de la gerencia.