ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Generalidades

El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la norma de ejecución del trabajo que requiere que: "El auditor debe efectuar un estudio y evaluación adecuado del con­trol interno existente, que te sirva de base para determinar el grado de confianza que va a depositar en él y le permita determinar la na­turaleza, extensión y oportunidad que va a dar a los procedimientos de auditoria ".

El conocimiento y evaluación del control interno deben permitir al auditor establecer una relación específica entre la calidad del control interno de la entidad y el alcance, oportunidad y naturaleza de las pruebas de auditoria. Por otra parte, el auditor deberá comunicar las debilidades o desviaciones al control interno del cliente que son defi­nidas en este boletín como "situaciones a informar".

Alcance

Este boletín trata sobre el estudio y evaluación del control interno que el auditor efectúa en una revisión de estados financieros, practi­cada conforme a las normas de auditoria generalmente aceptadas.

Objetivo

El objetivo de este boletín es definir los elementos de la estructura del control interno y establecer los pronunciamientos normativos aplicables a su estudio y evaluación, como un aspecto fundamental al establecer la estrategia de auditoria, así como señalar los lineamien­tos que deben seguirse al informar sobre debilidades o desviaciones al control interno.

Definición y elementos de la estructura del control Interno

La estructura de control interno de una entidad consiste en las políti­cas y procedimientos establecidos para proporcionar una seguridad razonable de poder lograr los objetivos específicos de la entidad. Di­cha estructura consiste de los siguientes elementos:

a) El ambiente de control

b) El sistema contable

c) Los procedimientos de control

A) Ambiente de control

El ambiente de control representa la combinación de factores que afectan las políticas y procedimientos de una entidad, fortaleciendo o debilitando sus controles. Estos factores son los siguientes:

Actitud de la administración hacia los controles internos estable­cidos

- Estructura de organización de la entidad

- Funcionamiento del Consejo de administración y sus Comités

- Métodos para asignar autoridad y responsabilidad.

Métodos de control administrativo para supervisar dar seguimiento al cumplimiento de las políticas y procedimientos, incluyendo la función de auditoria interna

Políticas y prácticas de personal

- Influencias externas que afecten las operaciones y prácticas de la entidad

La calidad del ambiente de control es una clara indicación de la im­portancia que la administración de la entidad le da a los controles es­tablecidos.

B) Sistema Contable

El sistema contable consiste en los métodos y registros establecidos para identificar, reunir, analizar, clasificar, registrar y producir información cuantitativa de las operaciones que realiza una entidad eco­nómica.

Para que su sistema contable sea útil y contable, debe contar con métodos y registros que:

a) Identifiquen y registren únicamente las transacciones reales que reúnan los criterios establecidos por la administración.

b) Describan oportunamente todas las transacciones en el deta­lle necesario que permita su adecuada clasificación.

e) Cuantifiquen el valor de las operaciones en unidades mone­tarias.

d) Registren las transacciones en el periodo correspondiente.

e) Presenten y revelen adecuadamente dichas transacciones en los estados financieros.

C) Procedimientos de control

Los procedimientos y políticas adicionales al ambiente de control y al sistema contable, que establece la administración para proporción a una seguridad razonable de lograr los objetivos específicos de la entidad, constituyen los procedimientos de control. El hecho de que existan formalmente políticas o procedimientos de control, no nece­sariamente significa que éstos estén operando efectivamente. El au­ditor debe determinar la manera en que la entidad ha aplicado las políticas y procedimientos, su uniformidad de aplicación y qué per­sona las ha llevado a cabo, para concluir que efectivamente está ope­rando.

Los procedimientos de control persiguen diferentes objetivos y se aplican en distintos niveles de organización y del procesamiento de las transacciones. También pueden estar integrados por componentes específicos del ambiente de control y del sistema contable

Los procedimientos de carácter preventivo son establecidos para' evi­tar errores durante el desarrollo de las transacciones.

Los procedimientos de control de carácter detectivo tienen como fi­nalidad detectar los errores o las desviaciones que durante el desarro­llo de las transacciones, no hubieran sido identificados por los procedimientos de control preventivos.

Los procedimientos de control están dirigidos a cumplir con los si­guientes objetivos:

a) Debida autorización de transacciones y actividades.

b) Adecuada segregación de funciones y responsabilidades.

c) Diseño y uso de documentos y registros apropiados que ase­guren el correcto registro de las operaciones.

d) Establecimiento de dispositivos de seguridad que protejan los activos.

e) Verificaciones independientes de la actuación de otros y adecuada evaluación de las operaciones registradas.

Consideraciones generales

Los factores específicos del ambiente de control, el sistema contable y los procedimientos de control de una entidad, deben considerar los siguientes aspectos:

- Tamaño de la entidad

- Características de la industria en la que opera

- Organización de la entidad

- Naturaleza del sistema de contabilidad y de las técnicas de control establecidos

- Problemas específicos del negocio

- Requisitos legales aplicables

Por ejemplo, una estructura de organización con una delegación for­mal de autoridad, podrá incidir favorablemente de modo importante en el ambiente de control de una entidad grande, Sin embargo, una empresa pequeña, con participación efectiva del dueño o gerente, nor­malmente no requiere de procedimientos contables extensos ni de re­gistros contables sofisticados o procedimientos de control formales, tales como políticas escritas, seguridad de la información o procedi­mientos para obtener cotizaciones competitivas.

El establecimiento y mantenimiento de una estructura de control in­terno, representa una importante responsabilidad de la administra­ción, para proporcionar una seguridad razonable de que se logran los objetivos de una entidad. La gerencia deberá vigilar de modo cons­tante, la estructura de control interno, para determinar si ésta opera debidamente y si se modifica oportunamente, de acuerdo con los cambios en las condiciones existentes.

El concepto de seguridad razonable reconoce que el costo de la es­tructura de control interno de una entidad, no deberá exceder los be­neficios esperados al establecerla.

La efectividad de la estructura de control interno, está sujeta a limita­ciones inherentes, tales como malos entendidos de instrucciones, errores de juicio, descuido, distracción o fatiga personales, colusión entre personas dentro y fuera de la entidad y si la gerencia hace caso de ciertas políticas y procedimientos.

Para tener una mejor comprensión de las políticas y procedimientos, el auditor deberá obtener conocimiento suficiente sobre cada uno de los elementos de la estructura de control interno, a través de expe­riencias anteriores con la entidad y de averiguaciones con el personal apropiado, inspección de documentos y registros y observación de las actividades y operaciones. La naturaleza y alcance de los procedimientos, suele variar de una entidad a otra y se ven afectados por el tamaño y complejidad de la misma, experiencia anteriores, naturale­za de la política o procedimiento en particular y la documentación existente.

El auditor deberá documentar su conocimiento y comprensión de la estructura de control interno, como parte del proceso de planeación de la auditoria. La forma y alcance de esta documentación se verán distribuidos por el tamaño y complejidad de la entidad y la naturaleza de la estructura de control interno de la industria. Por ejemplo, la docu­mentación de una empresa grande y compleja, podrá incluir diagra­mas de flujo, cuestionarlos o árboles de decisiones. En cambio en una entidad pequeña, la documentación en forma de memorando, podrá ser suficiente.

Evaluación preliminar

En esta etapa, el auditor efectúa un análisis general del riesgo implí­cito en el trabajo que va a realizar, con objeto de considerarlo en el diseño de sus programas de trabajo de auditoria y para identificar gradualmente las actividades y características específicas de la enti­dad. El boletín 3030, "importancia relativa y riesgo de auditoría" de esta comisión, define los tipos de riesgo y el efecto que tienen éstos en la planeación y desarrollo de una auditoría de estados financieros.

Aún cuando en esta etapa no se han probado los controles internos y por lo tanto, aunque cualquier decisión es preliminar, el auditor de­berá primeramente:

a) Comprender el ambiente de control establecido por la administración para detectar errores potenciales.

b) Describir y verificar su comprensión de los procedimientos de control de la administración.

e) Evaluar el diseño de los sistemas de control, para determinar sí es probable que sean eficaces para prevenir o detectar y corregir los errores potenciales identificados.

d) Formarse un juicio sobre la confianza que podrá depositarse en el control que será probado.

Una vez que el auditor ha adquirido un conocimiento general de la estructura de control interno, estará capacitado para decidir el grado de confianza que depositará en los controles existentes, para la pre­vención y detección de errores potenciales importantes o bien si di­rectamente los objetivos de auditoria se pueden alcanzar de manera más eficiente y efectiva a través de la aplicación de pruebas sustanti­vas.

La evaluación final de los procedimientos de control seleccionados, se hará después de llevar a cabo las pruebas de cumplimiento de di­chos controles.

El procesamiento electrónico de datos al evaluar la estructura del control interno

Por la importancia que han adquirido los sistemas de PED en la in­formación contable, así como el volumen de operaciones procesadas en ellos, la pérdida de huellas visibles y concentración de funciones contables que frecuentemente se dan en un ambiente de este tipo, el auditor debe conocer, evaluar y en su caso, probar el sistema de PED, como parte fundamental del estudio y evaluación del control interno y documentar adecuadamente sus conclusiones sobre su efec­to en la información financiera y el grado de confianza que deposita­rá en los controles.

Pruebas de cumplimiento y evaluación final

La finalidad de las pruebas de cumplimiento es reunir evidencia sufi­ciente para concluir si los sistemas de control establecidos por la administración, prevendrán o detectarán y corregirán errores potenciales que pudieran tener un efecto importante en los estados fi­nancieros. Esta conclusión permite confiar en el control como fuente de seguridad general de auditoria y disminuir el alcance de las prue­bas sustantivas.

Las pruebas de cumplimiento están diseñadas para respaldar la eva­luación de la aparente contabilidad de procedimientos específicos de control. La evaluación se hará determinando si los procedimientos de control están funcionando de manera efectiva, según se diseñaron, durante todo el periodo. Estas pruebas pueden implicar el examen de documentación de transacciones para buscar la presencia o ausencia de atributos específicos (controles detectivos).

Al efectuar una prueba de cumplimiento en una muestra de transac­ciones seleccionadas, se puede determinar una tasa máxima estimada de desviaciones y así llegar a una conclusión sobre la eficacia de los procedimientos de control durante el periodo examinado.

Además de las pruebas que se describen, es necesario establecer, por indagación y observación e inspección de documentación, la forma en que la administración se ha asegurado de que el sistema de control continúa operando efectivamente, a pesar de posibles cambios en el medio ambiente.

Los procedimientos de auditoria podrían variar si corno resultado de las pruebas de cumplimiento, se detectan debilidades o desviaciones a los procedimientos de control.

Comunicación de situaciones a informar

En virtud de que las expectativas de los usuarios con respecto a la responsabilidad del auditor para informar por escrito sobre debilida­des o desviaciones relacionadas con la estructura del control interno se han incrementado, ha sido necesario definir las situaciones a informar, así como la forma y contenido de dicho informe.

Durante el curso de su trabajo, el auditor debe estar al tanto de los asuntos relacionados con el control interno, que puedan ser de interés para el cliente, los cuales se identifican como "Situaciones a Infor­mar". Estas situaciones son asuntos que llaman la atención del audi­tor y que en su opinión deben comunicarse al cliente, ya que representan deficiencias importantes en el diseño u operación de la estructura de control interno, que podrían afectar negativamente la capacidad de la organización para registrar, procesar, resumir y re­portar información financiera uniforme con las afinaciones de la administración en los estados financieros. Tales deficiencias pueden incluir diferentes aspectos del control interno.

El objetivo del auditor en una auditoria, es formarse una opinión so­bre los estados financieros de la entidad, por lo que no tiene la obligación de investigar y encontrar situaciones a informar. Sin embar­go, debe estar al tanto de ellas, a través de la evaluación de los ele­mentos de la estructura del control interno, de la aplicación de procedimientos de auditoria sobre saldos o transacciones o de alguna otra manera dentro del curso de la revisión.

El juicio del auditor con respecto a las situaciones a informar, varía en cada trabajo y está influenciado por la naturaleza y extensión de los procedimientos de auditoria y otros factores, tales como el tamaño de la entidad, su complejidad y la naturaleza y diversificación de sus actividades.

Esta comunicación se debe hacer con personas de alto nivel de auto­ridad y responsabilidad, tales como el Consejo de Administración, el dueño de la empresa o con quienes hayan contratado al auditor.

Como parte de su trabajo, el auditor debe además, proporcionar su­gerencias que permitan mejorar la estructura de control interno exis­tente.

El auditor también podrá identificar asuntos que a su juicio no sean estrictamente situaciones a informar o bien sean poco importantes y tendrá que decidir si comunica o no estos asuntos en beneficio de la administración.

FORMA Y CONTENIDO DEL INFORME

El informe debe contener:

La indicación de que el propósito de la auditoria es el de emitir una opinión sobre los estados financieros y no el de proporcionar una se­guridad del funcionamiento de la estructura del control interno.

Los aspectos considerados como "Situaciones a informar".

Las restricciones establecidas para la distribución de tal comunica­ción.

Dado el riesgo de interpretaciones erróneas con respecto al grado li­mitado de seguridad, al afirmar que no se identificaron "Situaciones a Informar" durante la auditoria, el auditor deberá evaluar cuidadosa­mente esta situación antes de incluir tal aseveración en su informe.

El auditor deberá considerar si debe comunicar los asuntos importan­tes durante el curso de la auditoria o al concluirla, en función de la urgencia de una acción correctivo inmediata.

El contenido de este boletín no limita al auditor de la posibilidad de comunicar a su cliente situaciones y sugerencias con respecto a acti­vidades que van más allá de los asuntos relacionados con la estructu­ra del control interno.