seccion 314 entendimiento de la entidad y su entorno
TRANSCRIPT
61
SECCIÓN AU 314
ENTENDIMIENTO DE LA ENTIDAD Y DE SU ENTORNO Y
EVALUACIÓN DE LOS RIESGOS DE REPRESENTACIONES
INCORRECTAS SIGNIFICATIVAS
Introducción
1. Esta Sección establece normas y proporciona guías acerca de la implemen-
tación de la segunda norma del trabajo en terreno, según lo siguiente:
“El auditor debe obtener un suficiente entendimiento de la entidad y de su entorno, in-
cluyendo su control interno, para evaluar el riesgo de representaciones incorrectas sig-
nificativas en los estados financieros debido ya sea a error o a fraude y para diseñar la
naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales.”
La importancia de la evaluación de riesgo por parte del auditor como base
para procedimientos de auditoría adicionales se analiza en el riesgo de audi-
toría en la Sección AU 312, Riesgo e Importancia Relativa Inherentes a una
Auditoría. Ver la Sección AU 326 Evidencia de Auditoría como guía acerca
de cómo el auditor utiliza las afirmaciones pertinentes(1)
, en suficiente deta-
lle para formarse una base para la evaluación del riesgo de representaciones
incorrectas significativas y para diseñar y efectuar procedimientos de audi-
toría adicionales. El auditor debiera realizar una evaluación de riesgo a nivel
de los estados financieros y a nivel de las afirmaciones pertinentes basado
en un entendimiento adecuado de la entidad y de su entorno, incluyendo su
control interno. La Sección AU 318 Realización de Procedimientos de Audi-
toría en Respuesta a los Riesgos Evaluados y a la Evidencia de Auditoría
Obtenida, analiza la responsabilidad del auditor para determinar las respues-
tas generales y diseñar y efectuar procedimientos de auditoría adicionales
cuya naturaleza, oportunidad y alcance responden a las evaluaciones de
riesgo. Esta norma debiera ser aplicada en conjunto con las normas y guías
proporcionadas en otras secciones. En particular, la responsabilidad del au-
ditor para considerar fraude en una auditoría de los estados financieros se
analiza en la Sección AU 316, Consideración de Fraude en una Auditoría
de Estados Financieros.
(1)
Las afirmaciones pertinentes son afirmaciones que tienen un efecto significativo respecto a si la
cuenta está presentada razonablemente. Por ejemplo, la valorización podría no ser pertinente para la
cuenta de efectivo en caja, a menos que involucre una traducción de monedas. Sin embargo, la exis-
tencia y la integridad siempre son pertinentes. Similarmente, la valorización podría no ser pertinente
para el monto bruto del saldo de cuentas por cobrar, pero es pertinente para las cuentas de provisio-
nes relacionadas. Adicionalmente, el auditor podría, en ciertas circunstancias, enfocarse en las afir-
maciones de presentación y revelación separadamente del proceso de preparación y entrega de la
información financiera al cierre del período contable.
62
2. Lo siguiente es una visión general de esta norma:
Procedimientos de evaluación de riesgo y fuentes de información
acerca de la entidad y de su entorno, incluyendo su control interno.
Esta Sección explica los procedimientos de auditoría que el auditor
debiera efectuar para obtener un entendimiento de la entidad y de su
entorno, incluyendo su control interno (procedimientos de evalua-
ción de riesgo). El equipo de auditoría debiera analizar la susceptibi-
lidad de los estados financieros de la entidad a una representación
incorrecta significativa.
Entendendimiento de la entidad y de su entorno, incluyendo su con-
trol interno. Esta Sección proporciona guías al auditor para entender
aspectos específicos de la entidad y de su entorno y los componentes
de su control interno, con el fin de identificar y evaluar los riesgos de
representaciones incorrectas significativas y para diseñar y efectuar
procedimientos de auditoría adicionales.
Evaluar los riesgos de representaciones incorrectas significativas.
Esta Sección proporciona guías para el auditor al evaluar los riesgos
de representaciones incorrectas significativas a nivel de los estados
financieros y a nivel de las afirmaciones pertinentes. El auditor debi-
era:
- Identificar riesgos considerando la entidad y su entorno, in-
cluyendo los controles pertinentes y considerando las clases
de transacciones, saldos de cuentas y revelaciones en los es-
tados financieros.
- Relacionar los riesgos identificados con lo que puede fallar a
nivel de la afirmación pertinente.
- Considerar la importancia y la probabilidad de representacio-
nes incorrectas significativas para cada riesgo identificado.
Esta Sección también proporciona guías para el auditor al determinar
si cualquiera de los riesgos evaluados son riesgos significativos que
requieren de una consideración especial de auditoría o riesgos para
los cuales los procedimientos sustantivos por sí solos no proporcio-
nan suficiente y apropiada evidencia de auditoría. El auditor debiera
evaluar el diseño de los controles de la entidad, incluyendo las acti-
vidades de control pertinentes sobre tales riesgos y determinar si son
adecuados y si han sido implementados.
Documentación. Esta Sección proporciona guías de documentación
relacionada.
63
3. Obtener un entendimiento de la entidad y de su entorno es un aspecto esen-
cial al efectuar una auditoría según normas de auditoría generalmente acep-
tadas. En particular, ese entendimiento establece un marco de referencia de-
ntro del cual el auditor planifica la auditoría y ejerce juicios profesionales
acerca de la evaluación de riesgos de representaciones incorrectas significa-
tivas de los estados financieros y responder a esos riesgos durante la auditor-
ía, por ejemplo cuando:
Establece una importancia relativa para efectos de planificación y
evalúa si tal juicio se mantiene apropiadamente mientras progresa la
auditoría.
Considera lo apropiado de la selección y aplicación de las políticas
contables y lo adecuado de las revelaciones en los estados financie-
ros.
Identifica áreas donde puede ser necesario una consideración espe-
cial de auditoría, por ejemplo, transacciones con partes relacionadas,
lo apropiado del uso por parte de la Administración del concepto de
empresa en marcha, transacciones complejas o inusuales o al consi-
derar el propósito comercial de las transacciones.
Desarrolla expectativas a utilizar cuando efectúa procedimientos
analíticos.
Diseña y efectúa procedimientos de auditoría adicionales para redu-
cir el riesgo a un nivel apropiadamente bajo.
Evalúa la suficiencia y lo apropiado de la evidencia de auditoría ob-
tenida, tal como la evidencia, relacionada con la razonabilidad de los
supuestos de la Administración y de las representaciones verbales y
escritas de la Administración.
4. El auditor debiera utilizar su juicio profesional para determinar el alcance
del entendimiento requerido de la entidad y de su entorno, incluyendo su
control interno. La principal consideración del auditor es si el entendimiento
que se ha adquirido es suficiente para evaluar los riesgos de representacio-
nes incorrectas significativas en los estados financieros y diseñar y efectuar
procedimientos de auditoría adicionales. La profundidad del entendimiento
general que el auditor obtiene al efectuar la auditoría es menor que el que
posee la Administración por administrar la entidad.
Procedimientos de evaluación de riesgos y fuentes de información acerca de la
entidad y de su entorno, incluyendo su control interno
64
5. Obtener un entendimiento de la entidad y de su entorno, incluyendo su con-
trol interno, es un proceso dinámico y continuo de obtener, actualizar y ana-
lizar información durante la auditoría. Durante este proceso, el auditor tam-
bién debiera seguir las guías en la Sección AU 316. Tal como se describe en
Sección AU 326, los procedimientos de auditoría para obtener el entendi-
miento son conocidos como procedimientos de evaluación de riesgo por que
alguna de la información obtenida al realizar tales procedimientos puede ser
utilizada por el auditor como evidencia de auditoría para respaldar las eva-
luaciones de riesgo de representaciones incorrectas significativas. Además,
al efectuar procedimientos de evaluación de riesgo, el auditor puede obtener
evidencia de auditoría acerca de las afirmaciones pertinentes relacionadas
con clases de transacciones, saldos de cuentas o revelaciones y acerca de la
efectividad de la operación de los controles, aunque tales procedimientos de
auditoría no fueron específicamente planificados como procedimientos sus-
tantivos o como pruebas de controles. El auditor también puede elegir efec-
tuar procedimientos sustantivos o pruebas de controles al mismo tiempo que
los procedimientos de evaluación de riesgo debido a que es eficiente hacer-
lo.
Procedimientos de evaluación de riesgo
6. El auditor debiera realizar los siguientes procedimientos de evaluación de
riesgo para obtener un entendimiento de la entidad y de su entorno, inclu-
yendo su control interno:
a. Indagaciones a la Administración y otros dentro de la entidad
b. Procedimientos analíticos
c. Observación e inspección
No se requiere que el auditor efectúe todos los procedimientos de evaluación
de riesgo descritos anteriormente para cada aspecto del entendimiento des-
crito en el párrafo 21. Sin embargo, todos los procedimientos de evaluación
de riesgo debieran ser efectuados por el auditor durante la obtención del en-
tendimiento requerido.
7. Además, el auditor puede realizar otros procedimientos donde la informa-
ción obtenida puede ser útil en la identificación de riesgos de representacio-
nes incorrectas significativas. Por ejemplo, en cooperación con la entidad, el
auditor puede considerar hacer indagaciones a otros fuera de la entidad tales
como los asesores legales externos de la entidad o de expertos en valoriza-
ciones que la entidad haya utilizado. La revisión de información obtenida de
fuentes externas tales como informes de analistas, bancos o agencias clasifi-
cadoras de riesgo, diarios comerciales o económicos o publicaciones de re-
65
guladores o financieras también puede ser útil en la obtención de informa-
ción acerca de la entidad.
8. Aunque mucha de la información que el auditor obtiene mediante indaga-
ciones puede ser obtenida de la Administración y de los responsables por el
proceso de preparación y entrega de información financiera, las indagacio-
nes a otros dentro de la entidad, tales como personal de producción, de audi-
toría interna y otros empleados con diferentes niveles de autoridad, puede
ser útil para proporcionar al auditor una perspectiva diferente en la identifi-
cación de riesgos de representaciones incorrectas significativas. Al determi-
nar a otros dentro de la entidad a quienes indagar o el alcance de esas inda-
gaciones, el auditor debiera considerar qué información puede ser obtenida
que podría ayudar a éste en la identificación de riesgos de representaciones
incorrectas significativas. Por ejemplo:
Indagaciones dirigidas hacia los encargados del Gobierno Corporati-
vo(2)
pueden ayudar al auditor entender el entorno en el cual se pre-
paran los estados financieros.
Indagaciones dirigidas hacia personal de auditoría interna puede re-
lacionarse a sus actividades con respecto al diseño y efectividad del
control interno de la entidad y si la Administración ha respondido sa-
tisfactoriamente a cualquier hallazgo proveniente de estas activida-
des.
Indagaciones al personal involucrado en la generación, autorización,
procesamiento y registro de transacciones complejas o inusuales
pueden ayudar al auditor en la evaluación de lo apropiado de la se-
lección y aplicación de ciertas políticas contables.
Indagaciones dirigidas hacia los asesores legales internos pueden re-
lacionarse con asuntos tales como litigios, cumplimiento con las le-
yes y regulaciones, conocimiento de fraude o de sospecha de fraude
que afecten a la entidad, garantías, obligaciones post-venta, acuerdos
(tales como entidades de administración y control conjunto) con so-
cios de la entidad y el significado de términos contractuales.
Indagaciones dirigidas hacia personal de marketing, ventas, o pro-
ducción pueden relacionarse con cambios en las estrategias de mar-
keting de la entidad, tendencias de ventas, estrategias de producción,
o acuerdos contractuales con sus clientes.
(2)
Ver pié de página 4 de la Sección AU 311, Planificación y Supervisión, para la definición y el
análisis acerca de los encargados del Gobierno Corporativo.
66
9. Los párrafos 4 y 6 de la Sección AU 329, Procedimientos Analíticos, especi-
fican que el auditor debiera aplicar procedimientos analíticos en la planifi-
cación de la auditoría para ayudar al entendimiento de la entidad y su entor-
no y en la identificación de áreas que podrían representar riesgos específicos
pertinentes para la auditoría. Por ejemplo, los procedimientos analíticos
pueden ser útiles en la identificación de la existencia de transacciones o
hechos inusuales, montos, ratios y tendencias que podrían indicar asuntos
que tienen implicancias en los estados financieros y en la auditoría. Al efec-
tuar procedimientos analíticos como procedimientos de evaluación de ries-
go, el auditor debiera desarrollar expectativas acerca de relaciones plausi-
bles cuya existencia es razonablemente esperada. Cuando la comparación de
tales expectativas con los montos registrados o con los ratios desarrollados
de montos registrados resulta en relaciones inusuales o inesperadas, el audi-
tor debiera considerar esos resultados en la identificación de riesgos de re-
presentaciones incorrectas significativas. Sin embargo, cuando tales proce-
dimientos analíticos utilizan información muy resumida (lo que sucede a
menudo), los resultados de tales procedimientos analíticos proporcionan so-
lamente una indicación inicial amplia respecto a que puede existir una re-
presentación incorrecta significativa. Por lo tanto, el auditor debiera consi-
derar los resultados de tales procedimientos analíticos junto con otra infor-
mación obtenida en la identificación de riesgos de representaciones inco-
rrectas significativas.
10. La observación y la inspección pueden apoyar a las indagaciones a la Admi-
nistración y a otros y también proporcionar información acerca de la entidad
y de su entorno. Tales procedimientos de auditoría por lo general incluyen:
Observación de las actividades y operaciones de la entidad.
Inspección de documentos (tales como los planes y estrategias de
negocio), registros y manuales de control interno.
Lectura de informes preparados por la Administración (tales como
informes trimestrales y estados financieros intermedios), por los en-
cargados del Gobierno Corporativo (tales como las actas de las reu-
niones del Directorio) y auditoría interna.
Visita a las instalaciones y plantas de la entidad.
Rastrear las transacciones a través del sistema de información perti-
nente al proceso de preparación y entrega de información financiera,
lo cual puede ser realizado como parte de la comprobación del fun-
cionamiento de los procesos de la entidad (“walk-through”).
11. Cuando el auditor pretende utilizar información acerca de la entidad y de su
entorno obtenida en períodos anteriores, el auditor debiera determinar si han
67
ocurrido cambios que puedan afectar la pertinencia de tal información en la
auditoría actual. En el caso de trabajos recurrentes, la experiencia previa del
auditor con la entidad contribuye al entendimiento de la entidad. Por ejem-
plo, los procedimientos de auditoría efectuados en auditorías anteriores por
lo general proporcionan evidencia de auditoría acerca de la estructura orga-
nizacional, negocios y controles de la entidad, como también la información
acerca de representaciones incorrectas anteriores y si éstas han sido corregi-
dos oportunamente, lo cual ayuda al auditor al evaluar los riesgos de repre-
sentaciones incorrectas significativas en la auditoría actual. Sin embargo tal
información puede haberse tornado irrelevante por cambios en la entidad o
de su entorno. El auditor debiera hacer indagaciones y efectuar otros proce-
dimientos de auditoría adecuados, tales como la comprobación del funcio-
namiento de los sistemas de la entidad (“walk-throughs”), para determinar si
han ocurrido cambios que puedan afectar lo pertinente que sea tal informa-
ción.
12. La Sección AU 316 establece que el auditor debiera evaluar específicamente
el riesgo de representaciones incorrectas significativas(3)
de los estados fi-
nancieros debido a fraude e indica que el auditor debiera considerar esa eva-
luación al diseñar los procedimientos de auditoría a ser efectuados. Al hacer
esta evaluación, el auditor debiera también considerar los factores de riesgos
de fraude que se relacionan tanto con representaciones incorrectas significa-
tivas que surgen del proceso de preparación y entrega de información finan-
ciera fraudulenta como con representaciones incorrectas que surgen de la
apropiación indebida de activos. Los factores de riesgo de fraude que se re-
lacionan con el proceso de preparación y entrega de información financiera
fraudulenta son (a) características e influencia de la Administración sobre el
ambiente de control, (b) condiciones de la industria y (c) características de la
operación y estabilidad financiera. Los factores de riesgo de fraude que se
relacionan con la apropiación indebida de activos son (a) susceptibilidad de
activos a la apropiación indebida y (b) ausencia de controles. La respuesta
del auditor a la evaluación del riesgo de representaciones incorrectas signifi-
cativas debido a fraude es influenciada por la naturaleza e importancia de
los factores de riesgo identificados que estén presentes. En ciertas circuns-
tancias, el auditor puede concluir que las condiciones indican una necesidad
de modificar los procedimientos de auditoría. En estas circunstancias, el au-
ditor debiera considerar si la evaluación de riesgo de representaciones inco-
rrectas significativas debido a un fraude, requiere de una respuesta general,
o una específica para un particular saldo de cuenta, clase de transacción o
revelaciones a nivel de la afirmación pertinente o ambos. Sin embargo, de-
(3)
El riesgo de representaciones incorrectas significativas se describe como la evaluación combinada
del auditor acerca del riesgo inherente y el riesgo de control. Ver Sección AU 312, párrafo 22, Ries-
go e Importancia Relativa Inherentes a una Auditoría, para una definición y un mayor análisis res-
pecto al riesgo de representaciones incorrectas significativas.
68
bido a que tales factores de riesgo no necesariamente indican la existencia
de fraude, los resultados de la evaluación del riesgo de representaciones in-
correctas significativas debido a fraude proporcionan solamente una indica-
ción inicial amplia acerca de si puede existir una representación incorrecta
significativa debido a fraude. Por lo tanto, el auditor debiera considerar los
resultados de la evaluación de riesgo de representaciones incorrectas signifi-
cativas debido a fraude efectuada durante la planificación junto con otra in-
formación obtenida en la identificación de riesgos de representaciones inco-
rrectas significativas.
13. En caso que sea pertinente para la auditoría, el auditor también debiera con-
siderar otra información tal como la obtenida del proceso de aceptación o
continuación del cliente o, cuando fuere practicable, de la experiencia adqui-
rida en otros trabajos efectuados para la entidad, por ejemplo, trabajos de
revisión de la información financiera intermedia.
Análisis entre los miembros del equipo de auditoría
14. Los miembros del equipo de auditoría, incluyendo el auditor con la respon-
sabilidad final de la auditoría, debieran reunirse para analizar la susceptibili-
dad de los estados financieros de la entidad a representaciones incorrectas
significativas. Este análisis puede ser realizado en conjunto con el análisis
entre el equipo de auditoría que se especifica en la Sección AU 316 para
analizar la susceptibilidad de los estados financieros de la entidad a fraude.
Cuando el trabajo completo es realizado por un único auditor, éste debiera
considerar y documentar la susceptibilidad de los estados financieros de la
entidad a representaciones incorrectas significativas. En estas circunstancias,
el auditor debiera considerar otros factores que pueden ser necesarios en el
trabajo, tales como el de personal con habilidades especializadas.
15. Se debiera utilizar criterio profesional para determinar cuáles miembros del
equipo de auditoría debieran ser incluidos en el análisis, cómo y cuándo de-
biera realizarse la reunión y el alcance del análisis. Los miembros claves del
equipo de auditoría, incluyendo el auditor con la responsabilidad final, debi-
eran estar involucrados en el análisis. Sin embargo, no es necesario que to-
dos los miembros del equipo tengan un conocimiento acabado de todos los
aspectos de la auditoría. El alcance del análisis es influenciado por los roles,
la experiencia y las necesidades de información de los miembros del equipo
de auditoría. Una consideración adicional es si se asignan especialistas al
equipo de auditoría. Por ejemplo, el auditor puede determinar que un profe-
sional que posee experiencia en tecnología de la información (TI)(4)
u otras
(4)
La tecnología de la información (TI) reúne a todos los medios automatizados para iniciar, proce-
sar, almacenar y comunicar información e incluye aparatos de grabación, sistemas de comunicación,
sistemas de computación (incluyendo componentes de hardware, software y datos) y otros aparatos
electrónicos. El uso de una entidad de TI puede ser amplio, sin embargo, el auditor está principal-
69
habilidades especializadas es necesario en el equipo de auditoría y por lo
tanto incluir a esa persona en la reunión de análisis.
16. El auditor con la responsabilidad final debiera considerar cuáles asuntos
serán comunicados a los otros miembros del equipo del trabajo que no están
presentes en la reunión de análisis. Por ejemplo, en una auditoría con múlti-
ples localidades, pueden tener lugar varias reuniones de análisis que involu-
cren a los miembros claves del equipo de auditoría en cada localidad impor-
tante.
17. El objetivo de esta reunión de análisis(5)
es que los miembros del equipo de
auditoría obtengan un mejor entendimiento del potencial para representacio-
nes incorrectas significativas en los estados financieros debido a fraude o
error en las áreas específicas asignadas a ellos y entender cómo los resulta-
dos de los procedimientos de auditoría que ellos efectuan pueden afectar a
otros aspectos de la auditoría, incluyendo las decisiones acerca de la natura-
leza, oportunidad y alcance de procedimientos de auditoría adicionales.
18. El análisis proporciona una oportunidad para que los miembros del equipo
de auditoría con mayor experiencia, incluyendo al auditor con la responsabi-
lidad final por la auditoría, compartan sus percepciones sobre la base de su
conocimiento de la entidad y para que los miembros del equipo, intercam-
bien información acerca de los riesgos de negocios(6)
a los cuales la entidad
está expuesta y acerca de cómo y donde los estados financieros podrían ser
susceptibles a tener representaciones incorrectas significativas. Tal como lo
indica Sección AU 316, se le debiera otorgar un énfasis particular a la sus-
ceptibilidad de los estados financieros de la entidad a tener representaciones
incorrectas significativas debido a un fraude. Además, el equipo de auditoría
debiera analizar los asuntos críticos, tales como las áreas de riesgo de audi-
toría significativas, áreas susceptibles donde la Administración puede hacer
caso omiso de los controles, procedimientos contables inusuales utilizados
por el cliente, sistemas de control importantes, importancia relativa a nivel
de los estados financieros y a nivel de cuenta y cómo se utilizará la impor-
tancia relativa para determinar el alcance de las pruebas. El análisis también
debiera abordar la aplicación de principios de contabilidad generalmente
aceptados a los hechos y circunstancias de la entidad y a la luz de las políti-
cas contables de la entidad.
mente interesado en el uso de TI por la entidad para iniciar, autorizar, registrar, procesar e informar
transacciones u otra información financiera.
(5)
Pueden haber una o más reuniones de análisis dependiendo de las circunstancias del trabajo.
(6)
Ver párrafos 29 hasta el 33 inclusive.
70
19. El auditor debiera planificar y efectuar la auditoría con una actitud de escep-
ticismo profesional. El análisis entre los miembros del equipo de auditoría
debiera enfatizar la necesidad de ejercer un escepticismo profesional durante
el trabajo, estar alerta a información u otras condiciones que indiquen que
una representación incorrecta significativa debido a un fraude o error puede
haber ocurrido y ser riguroso en hacer un seguimiento de tales indicios.
20. Dependiendo de las circunstancias de la auditoría, pueden haber varias reu-
niones de análisis con el fin de facilitar el intercambio continuo de informa-
ción entre miembros del equipo de auditoría con respecto a la susceptibili-
dad de los estados financieros de la entidad a representaciones incorrectas
significativas. El propósito es que los miembros del equipo de auditoría co-
muniquen y compartan la información obtenida durante la auditoría que
pueda afectar las evaluaciones de riesgos de representaciones incorrectas
significativas debido a fraudes o errores o en los procedimientos de auditoría
efectuados para abordar los riesgos.
Entendimiento de la entidad y de su entorno, incluyendo su control interno
21. El entendimiento del auditor de la entidad y de su entorno consiste de un
entendimiento de los siguientes aspectos:
a. Factores de la industria, de regulación y de otros factores externos
b. Naturaleza de la entidad
c. Objetivos y estrategias y los riesgos del negocio relacionados que
pueden resultar en representaciones incorrectas significativas de los
estados financieros
d. Medición y revisión del desempeño financiero de la entidad
e. Control interno, que incluye la selección y aplicación de políticas
contables
22. El Anexo A contiene ejemplos de asuntos que el auditor puede considerar
para obtener un entendimiento de la entidad y de su entorno relacionado con
las letras (a) a (d) indicadas en el párrafo anterior. El Anexo B contiene una
explicación detallada de los componentes de control interno.
23. La naturaleza, oportunidad y alcance de los procedimientos de evaluación de
riesgo efectuados dependen de las circunstancias del trabajo, tales como el
tamaño y complejidad de la entidad y la experiencia del auditor en ésta.
Además, identificar los cambios significativos en cualquiera de los aspectos
anteriores de la entidad en comparación con períodos anteriores es particu-
larmente importante para obtener un entendimiento suficiente de la entidad
71
con el fin de identificar y evaluar los riesgos de representaciones incorrectas
significativas.
Factores de la industria, de regulación y otros factores externos
24. El auditor debiera obtener un entendimiento de los factores pertinentes de la
industria, de la regulación y de otros factores externos. Estos factores inclu-
yen las condiciones de la industria, tales como el entorno competitivo, las
relaciones con los proveedores y los clientes y los desarrollos tecnológicos y
el entorno regulatorio el cual incluye, entre otros asuntos, pronunciamientos
contables pertinentes, el entorno legal y político y requerimientos ambienta-
les que afectan a la industria y a la entidad y otros factores externos, tales
como las condiciones económicas generales.(7)
25. La industria en la cual opera la entidad puede estar sujeta a riesgos específi-
cos de representaciones incorrectas significativas que surgen de la naturale-
za del negocio, del grado de regulación u otras influencias externas (tales
como factores políticos, económicos, técnicos y competitivos). Por ejemplo,
los contratos a largo plazo pueden involucrar estimaciones significativas de
ingresos y gastos que generan riesgos de representaciones incorrectas signi-
ficativas en los estados financieros. De la misma forma, las regulaciones
pueden especificar ciertos requerimientos del proceso de preparación y en-
trega de información financiera para la industria en la cual opera la entidad.
En tales casos, el auditor debiera considerar si el equipo de auditoría incluye
a miembros con suficiente y pertinente conocimiento y experiencia. En caso
que la Administración incumpla con tales regulaciones, sus estados financie-
ros pueden estar representados incorrectamente en forma significativa.
Naturaleza de la entidad
26. El auditor debiera obtener un entendimiento de la naturaleza de la entidad.
La naturaleza de la entidad se refiere a las operaciones de la entidad, su pro-
piedad, Gobierno Corporativo, los tipos de inversiones que está efectuando
y los que planifica efectuar, la forma en la cual la entidad está estructurada y
cómo se financia. Un entendimiento de la naturaleza de una entidad le per-
mite al auditor entender las clases de transacciones, los saldos de las cuen-
tas y las revelaciones que se esperaría tener en los estados financieros.
27. La entidad puede tener una estructura compleja con afiliadas u otros compo-
nentes en varias localidades. Adicionalmente, a las dificultades de consoli-
dación, en tales casos pueden surgir otros asuntos con estructuras complejas
que generan riesgos de representaciones incorrectas significativas incluyen-
do la asignación del “goodwill” a las afiliadas y su deterioro, si las inversio-
nes son negocios de administración y control conjunto (“joint-ventures”),
(7)
Ver Sección AU 317, Actos Ilegales de Clientes, para mayores requerimientos relacionados con el
marco legal y regulatorio aplicable a la entidad y a la industria.
72
afiliadas o inversiones contabilizadas bajo el método del valor patrimonial y
si se contabilizan adecuadamente las entidades de cometido especial.
28. El conocimiento de la estructura de propiedad, de la Administración y de
otro personal clave y sus relaciones entre propietarios y otras personas o en-
tidades, también es importante para determinar si se han identificado y con-
tabilizado apropiadamente las transacciones con partes relacionadas. La
Sección AU 334, Partes Relacionadas, proporciona guías adicionales para
las consideraciones del auditor, pertinentes para partes relacionadas.
Objetivos, estrategias y riesgos del negocio relacionados
29. El auditor debiera obtener un entendimiento de los objetivos y estrategias de
la entidad y de los riesgos del negocio relacionados que pueden resultar en
representaciones incorrectas significativas en los estados financieros. La en-
tidad conduce su negocio en el contexto de factores de la industria, de regu-
lación y otros factores internos y externos. Para responder a estos factores,
la Administración de la entidad o los encargados del Gobierno Corporativo
definen los objetivos, que son los planes generales para la entidad. Las estra-
tegias son los enfoques de las operaciones mediante los cuales la Adminis-
tración pretende lograr sus objetivos. Los riesgos del negocio resultan de
condiciones, hechos, circunstancias, acciones o inacciones significativas que
podrían afectar adversamente la capacidad de la entidad para lograr sus ob-
jetivos y llevar a cabo sus estrategias o mediante la fijación de objetivos y
estrategias inapropiados. De la misma forma como cambia el entorno exter-
no, la conducción de los negocios de la entidad también es dinámica y las
estrategias y objetivos de la entidad cambian en el tiempo.
30. El riesgo del negocio es más amplio que el riesgo de representaciones inco-
rrectas significativas de los estados financieros, el cual incluye a este último.
Por ejemplo, la entrada de un nuevo competidor al mercado con las ventajas
competitivas de reconocimiento de marca y de economía de escala, puede
representar un riesgo del negocio para la capacidad de un productor para ob-
tener la misma cantidad de espacio en los estantes de los vendedores a mino-
ristas y competir en precios. El riesgo potencial de representaciones inco-
rrectas significativas de los estados financieros relacionados con este riesgo
del negocio podría ser de obsolescencia o de sobre-producción de existen-
cias, las que solamente podrían ser vendidas a precios de descuento. Particu-
larmente, el riesgo del negocio puede surgir por un cambio o complejidad,
aunque el no reconocer la necesidad del cambio, también puede generar un
riesgo. El cambio puede surgir, por ejemplo, debido al desarrollo de nuevos
productos que pueden fracasar debido a un mercado que no responde al pro-
ducto de la entidad, aún cuando haya sido desarrollado correctamente o de-
bido a deficiencias que podrían resultar en pasivos y en un riesgo que afecta
la reputación de la entidad. Como un ejemplo de complejidad, la conducción
y la administración de proyectos de ingeniería a largo plazo (tales como la
73
construcción de un navío o la construcción de un puente de suspensión)
pueden generar riesgos en las áreas de porcentaje de cumplimiento, precios,
costos, diseño y control de rendimientos. Un entendimiento de los riesgos de
negocio aumenta la probabilidad de identificar riesgos de representaciones
incorrectas significativas. Sin embargo, el auditor no tiene la responsabili-
dad de identificar o evaluar todos los riesgos del negocio.
31. La mayoría de los riesgos del negocio tendrán eventualmente consecuencias
financieras y, por lo tanto, un efecto en los estados financieros. Sin embar-
go, no todos los riesgos del negocio generan riesgos de representaciones in-
correctas significativas. Un riesgo del negocio podría tener una consecuen-
cia inmediata para el riesgo de representaciones incorrectas para clases de
transacciones, saldos de cuentas o revelaciones a nivel de las afirmaciones
pertinentes o para los estados financieros tomados en su conjunto. Por ejem-
plo, el riesgo del negocio que surge de una contracción de clientes debido a
la consolidación de la industria podría aumentar el riesgo de representacio-
nes incorrectas asociadas con la valorización de las cuentas por cobrar. De
forma similar, un riesgo del negocio puede tener una consecuencia inmedia-
ta por el riesgo de representaciones incorrectas de los estados financieros
tomados en su conjunto. Por ejemplo, el riesgo del negocio de transacciones
significativas con partes relacionadas puede aumentar el riesgo de represen-
taciones incorrectas de un rango de saldos de cuentas significativas y de las
afirmaciones pertinentes. Además, un objetivo de negocio y los riesgos rela-
cionados pueden también tener una consecuencia a más largo plazo que el
auditor puede tener que considerar al evaluar lo apropiado del concepto de
empresa en marcha. Por ejemplo, el riesgo del negocio de una declinación
en la industria en la cual opera la entidad puede afectar la capacidad de la
entidad de continuar como empresa en marcha. La consideración del audi-
tor respecto a si un riesgo del negocio puede resultar en representaciones in-
correctas significativas es, por lo tanto, realizado teniendo presente las cir-
cunstancias de la entidad. Ejemplos de condiciones y hechos que pueden in-
dicar riesgos de representaciones incorrectas significativas se proporcionan
en el Anexo C.
32. Por lo general, la Administración identifica los riesgos del negocio y desa-
rrolla enfoques para abordarlos. Tal proceso de evaluación de riesgo es parte
del control interno y se analiza en los párrafos 76 al 80.
33. Las entidades más pequeñas por lo general no fijan sus objetivos y estrate-
gias, y no administran sus riesgos del negocio relacionados, mediante planes
o procesos formales. En muchos casos puede no haber documentación algu-
na de tales asuntos. En tales entidades, el entendimiento del auditor puede
ser obtenido mediante indagaciones a la Administración y la observación de
cómo la entidad responde a tales asuntos.
Medición y revisión del desempeño financiero de la entidad
74
34. El auditor debiera obtener un entendimiento de la medición y revisión del
desempeño financiero de la entidad. Las mediciones de desempeño y su re-
visión le indican al auditor aspectos del desempeño de la entidad que la
Administración y otros consideran importantes. Las mediciones de desem-
peño, externas o internas, crean presiones sobre la entidad las cuales, a su
vez, pueden motivar a la Administración a tomar acciones para mejorar el
desempeño del negocio o a representar incorrectamente los estados financie-
ros. Obtener un entendimiento de las mediciones de desempeño de la enti-
dad ayuda al auditor a considerar si tales presiones resultan en acciones por
parte de la Administración que pueden haber aumentado los riesgos de re-
presentaciones incorrectas significativas.
35. La medición y revisión por parte de la Administración del desempeño finan-
ciero de la entidad es diferente del monitoreo de los controles (analizados
como un componente del control interno en los párrafos 97 al 101), aunque
sus propósitos podrían traslaparse. El monitoreo de los controles, sin embar-
go, se preocupa específicamente de la efectiva operación del control interno
mediante la consideración de información acerca de los controles. La medi-
ción y la revisión del desempeño está enfocada en si el desempeño del nego-
cio está cumpliendo con los objetivos establecidos por la Administración (o
terceros), pero puede ser que los indicadores de desempeño también propor-
cionen información que le permita a la Administración identificar deficien-
cias en el control interno.
36. La información generada internamente utilizada por la Administración para
este propósito puede incluir indicadores claves de desempeño (financieros y
no financieros), presupuestos, análisis de variaciones, información de divi-
siones, departamentales o de otro nivel, de informes de desempeño y compa-
raciones y del desempeño de la entidad con la de los competidores. Las par-
tes externas también pueden medir y revisar el desempeño financiero de la
entidad. Por ejemplo, la información externa, tales como los informes de los
analistas y los informes de agencias clasificadoras de riesgo, pueden propor-
cionar información útil para el entendimiento de la entidad y de su entorno
por parte del auditor. Tales informes pueden ser obtenidos de la entidad que
está siendo auditada o de sitios Web.
37. Las mediciones internas pueden revelar resultados o tendencias inesperadas
que requieren que la Administración efectúe indagaciones a otros, con el ob-
jeto de determinar su causa y tomar acciones correctivas (incluyendo en al-
gunos casos, la detección y corrección oportuna de representaciones inco-
rrectas). Las mediciones de desempeño también pueden indicar al auditor
riesgos de representaciones incorrectas de información en los estados finan-
cieros. Por ejemplo, las mediciones de desempeño pueden indicar que la en-
tidad tiene un crecimiento o rentabilidad inusual al compararla con otras en-
tidades de la misma industria. Tal información, especialmente si se combina
75
con otros factores tales como bonos o incentivos de remuneraciones basados
en el desempeño, pueden indicar un riesgo potencial de sesgo por parte de la
Administración en la preparación de los estados financieros.
38. Mucha de la información utilizada en las mediciones de desempeño puede
ser generada por el sistema de información de la entidad. Si la Administra-
ción asume que la información utilizada para revisar el desempeño de la en-
tidad es exacta, sin tener base alguna para tal suposición, pueden existir
errores en la información, que podrían potencialmente causar que la Admi-
nistración llegue a conclusiones erróneas acerca del desempeño. Cuando el
auditor pretende utilizar las mediciones de desempeño para el propósito de
la auditoría (por ejemplo, para procedimientos analíticos), el auditor debiera
considerar si la información relacionada con la revisión de la Administra-
ción del desempeño de la entidad proporciona una base confiable y si es lo
suficientemente precisa para tal propósito. En el caso de utilizar mediciones
de desempeño, el auditor debiera considerar si son lo suficientemente exac-
tas para detectar representaciones incorrectas significativas.
39. Por lo general, las entidades más pequeñas no tienen procesos formales para
medir y revisar el desempeño financiero de la entidad. Sin embargo, la Ad-
ministración a menudo confía en ciertos indicadores claves que el conoci-
miento y la experiencia del negocio sugieren son bases fiables para la eva-
luación del rendimiento financiero y tomar las acciones apropiadas.
Control interno(8)
40. El auditor debiera obtener un entendimiento suficiente de los cinco compo-
nentes del control interno para evaluar el riesgo de representaciones inco-
rrectas significativas en los estados financieros debido a error o fraude y pa-
ra determinar la naturaleza, oportunidad y alcance de procedimientos de au-
ditoría adicionales. El auditor debiera obtener un entendimiento suficiente
realizando procedimientos de evaluación de riesgo para evaluar el diseño de
los controles pertinentes para una auditoría de estados financieros y para de-
terminar si han sido implementados. El auditor debiera utilizar tal conoci-
miento para.
Identificar potenciales tipos de representaciones incorrectas.
Considerar factores que afectan los riesgos de representaciones inco-
rrectas significativas.
Diseñar pruebas de los controles (cuando sea aplicable) y de proce-
dimientos sustantivos.
(8)
Esta Sección reconoce la definición y descripción del control interno incluido en Internal Con-
trol—Integrated Framework [Control Interno – Marco Integrado], publicado por el Committee of
Sponsoring Organizations of the Treadway Commission (Informe COSO).
76
41. El control interno(9)
es un proceso efectuado por los encargados del Gobier-
no Corporativo, Administración y otros miembros del personal, diseñado pa-
ra proporcionar una seguridad razonable respecto al logro de los objetivos
de la entidad con respecto a la fiabilidad del proceso de preparación y entre-
ga de información financiera, efectividad y eficiencia de las operaciones y
cumplimiento de leyes y regulaciones.(10) El control interno relativo a la pro-
tección de activos frente a una adquisición, utilización o venta no autoriza-
da, puede incluir controles relacionados con los objetivos del proceso de
preparación y entrega de información financiera y de operaciones. El control
interno comprende cinco componentes interrelacionados:
a. El ambiente de control refleja el estilo de una organización que in-
fluye en la conciencia de control de los miembros de la organización.
Es la base de todos los otros componentes del control interno, apor-
tando disciplina y estructura.
b. La evaluación de riesgo de la entidad es el proceso de identificación
y análisis que hace ésta de los riesgos pertinentes para lograr sus ob-
jetivos, estableciendo una base para determinar cómo se debieran
administrar los riesgos.
c. Los sistemas de información y comunicaciones sustentan la identifi-
cación, captura e intercambio de información de una forma y en un
plazo determinado que permiten a las personas cumplir con sus res-
ponsabilidades.
d. Las actividades de control son las políticas y procedimientos que
ayudan a asegurar que se estén aplicando las directrices de la Admi-
nistración.
e. El monitoreo es un proceso que evalúa la calidad de la gestión del
control interno a lo largo del tiempo.
El Anexo B contiene un análisis detallado acerca de los componentes del
control interno.
42. La división de control interno en los cinco componentes proporciona un
marco de referencia útil a los auditores para considerar cómo los diferentes
aspectos de control interno de una entidad pueden afectar la auditoría. La
división no refleja necesariamente cómo una entidad considera e implemen-
ta el control interno. También, la consideración primaria del auditor es sí y
(9)
El control interno también puede estar referido como la estructura de control interno.
(10)
Dependiendo de ésto es que el control interno es diseñado y efectuado para abordar los riesgos de
negocio que amenazan el cumplimiento de cualquiera de estos objetivos.
77
cómo, un control específico previene o detecta y corrige representaciones
incorrectas significativas en las afirmaciones pertinentes a las clases de tran-
sacciones, saldos de cuentas, o revelaciones, más que su clasificación dentro
de un componente dado. En consecuencia, los auditores pueden utilizar ter-
minología o marcos de referencia distintos para describir los diversos aspec-
tos de control interno y su efecto sobre la auditoría, de los que se utilizan en
esta Sección, siempre y cuando se aborden todos los componentes descritos
en esta Sección.
43. La manera en la que el control interno se diseña e implementa varía de
acuerdo al tamaño y complejidad de la entidad. Específicamente, las entida-
des más pequeñas pueden utilizar medios menos formales y procesos y pro-
cedimientos más simples para alcanzar sus objetivos. Por ejemplo, las enti-
dades más pequeñas con una activa participación de la Administración en el
proceso de preparación y entrega de la información financiera, pueden no
tener descripciones de procedimientos de contabilidad o políticas escritas
detalladas. Para algunas entidades, especialmente aquellas muy pequeñas, el
dueño-administrador(11)
puede efectuar funciones que en una entidad más
grande se considerarían como pertenecientes a varios de los componentes de
control interno. Por lo tanto, los componentes de control interno pueden no
distinguirse claramente dentro de las entidades más pequeñas, pero sus
propósitos subyacentes son igualmente válidos.
44. El auditor debiera obtener un entendimiento de la selección y aplicación de
políticas de contabilidad de la entidad y debiera considerar si son apropiados
para su negocio y consecuentes con principios de contabilidad generalmente
aceptados y las políticas de contabilidad utilizadas en la industria pertinen-
te,(12)
o con una base integral de contabilidad distinta de los principios de
contabilidad generalmente aceptados(13)
. El entendimiento abarca los méto-
dos que la organización utiliza para registrar transacciones significativas e
inusuales, el efecto de políticas de contabilidad significativas en áreas con-
troversiales o emergentes para las cuales no existen guías autorizadas o con-
senso y los cambios en las políticas de contabilidad de la entidad. El auditor
también debiera identificar las normas del proceso de preparación y entrega
de información financiera y las regulaciones que son nuevas para la entidad
y considerar cuando y cómo la organización adoptará tales requerimientos.
(11)
Esta Sección utiliza el término dueño-administrador para indicar los propietarios de entidades que
están involucrados diariamente en la conducción de la entidad.
(12)
Ver Sección AU 411, El Significado de ―Presentan Razonablemente de Acuerdo a Principios de
Contabilidad Generalmente Aceptados‖.
(13)
El término base integral de contabilidad distinta a los principios de contabilidad generalmente
aceptados se encuentra definido en la Sección AU 623, Informes Especiales. De aquí en adelante, la
referencia a los principios de contabilidad generalmente aceptados en la presente Sección incluye,
cuando fuere aplicable, a otra base integral de contabilidad.
78
Cuando la entidad ha cambiado la selección o el método para aplicar una
política de contabilidad significativa, el auditor debiera considerar las razo-
nes para el cambio y si es apropiado y consecuente con principios de conta-
bilidad generalmente aceptados.
45. La presentación de estados financieros de acuerdo con principios de contabi-
lidad generalmente aceptados debiera incluir una adecuada revelación de
asuntos significativos. Estos asuntos se relacionan con la forma, ordena-
miento y contenido de los estados financieros y sus notas anexas, incluyen-
do por ejemplo, la terminología utilizada, la cantidad de detalles entregados,
la clasificación de partidas en los estados financieros y las bases para los
montos presentados. El auditor debiera considerar si la entidad ha revelado
apropiadamente un asunto en particular a la luz de las circunstancias y
hechos de los cuales el auditor tiene conocimiento en ese momento.
46. Para los propósitos de esta Sección, el término control interno abarca los
cinco componentes de control interno mencionados anteriormente. Además,
el término controles se refiere a uno o más de los componentes o cualquier
aspecto de éstos.
Controles pertinentes al proceso de preparación y entrega de información fi-
nanciera fiable y para la auditoría
47. Existe una relación directa entre los objetivos de una entidad y los compo-
nentes de control interno que implementa para proporcionar una seguridad
razonable sobre su logro. Además, el control interno es pertinente para toda
la entidad o para cualquiera de sus unidades operativas o funciones de nego-
cios. Esta relación se grafica de la siguiente manera:
79
Aunque los objetivos de la entidad y por lo tanto los controles, se relacionen
con el proceso de preparación y entrega de información financiera, opera-
ciones y cumplimiento, como se menciona en el párrafo 41, no todos estos
objetivos y controles son pertinentes para la auditoría. Además, aunque el
control interno es aplicable a toda la entidad o a cualquiera de sus unidades
operativas o líneas de negocios, puede que no sea necesario para efectuar la
auditoría, un entendimiento del control interno relacionado a una unidad
operativa o líneas de negocios de la entidad.
48. Generalmente, los controles que son pertinentes para una auditoría pertene-
cen al objetivo de una entidad de preparar estados financieros que sean pre-
sentados de acuerdo con principios de contabilidad generalmente aceptados,
incluyendo el manejo de riesgos que pueden dar origen a un riesgo de repre-
sentaciones incorrectas significativas en esos estados financieros. Sin em-
bargo, no es necesario evaluar todos los controles en relación con la evalua-
ción de los riesgos de representaciones incorrectas significativas y diseñar y
efectuar procedimientos de auditoría adicionales en respuesta a los riesgos
evaluados. Es un asunto de juicio profesional del auditor en cuanto a los
controles o la combinación de controles que debieran ser evaluados. Sin
embargo, según se señala en el párrafo 115, en el caso de riesgos significati-
vos si el auditor aún no lo hubiera efectuado, éste debiera evaluar el diseño
de los controles relacionados de la entidad, incluyendo las actividades de
control pertinentes y determinar si han sido implementados. Al aplicar su
juicio, el auditor debiera considerar las circunstancias, el componente apli-
cable y factores tales como los siguientes:
Importancia relativa.
Objetivos
Entidad
Co
mp
on
en
tes
Pre
par
ació
n y
entr
ega
de
in-
form
ació
n f
i-
nan
cier
a
Op
erac
iones
Cu
mp
lim
ien
to
Ambiente de control
Evaluación del riesgo de la entidad
Información y comunicaciones
Actividades de control
Monitoreo
Fu
ncio
nes
Un
idad
es
80
El tamaño de la entidad.
La naturaleza del negocio de la entidad, incluyendo su organización
y sus características de propiedad.
La diversidad y complejidad de las operaciones de la entidad.
Exigencias legales y regulatorias aplicables.
La naturaleza y complejidad de los sistemas que son parte del control
interno de la entidad, incluyendo el uso de organizaciones de servi-
cio.
49. Los controles sobre la integridad y precisión de la información producida
por la entidad también puede ser pertinente para la auditoría si el auditor
pretende hacer uso de la información al diseñar y efectuar procedimientos de
auditoría adicionales. La experiencia previa del auditor con la entidad y la
información obtenida en el entendimiento de la entidad y de su entorno y
durante la auditoría ayudan al auditor a identificar los controles pertinentes.
50. Los controles relacionados con los objetivos de operaciones y de cumpli-
miento(14)
pueden ser pertinentes para una auditoría si se relacionan con in-
formación o datos que el auditor puede evaluar o utilizar al aplicar proce-
dimientos de auditoría. Por ejemplo, los controles que corresponden a datos
no financieros que el auditor puede utilizar en procedimientos analíticos, ta-
les como estadísticas de producción o controles relacionados con la detec-
ción del incumplimiento de leyes y regulaciones que pueden tener un efecto
directo y significativo en los estados financieros, tales como los controles
sobre cumplimiento de leyes de impuesto a la renta y reglamentos utilizados
para determinar la provisión de impuesto a la renta, pueden ser pertinentes
para una auditoría.
51. Una entidad generalmente tiene controles relacionados a objetivos que no
son pertinentes para una auditoría y por lo tanto no necesitan ser considera-
dos. Por ejemplo, una entidad puede confiar en un sofisticado sistema de
controles automatizados para proporcionar operaciones eficientes y efectivas
(como el sistema computarizado de programación de producción de una
planta manufacturera), pero estos controles generalmente no serían pertinen-
tes para la auditoría.
(14)
Un auditor puede necesitar considerar los controles pertinentes para el cumplimiento a los objeti-
vos de cumplimiento, al realizar una auditoría a un organismo gubernamental de acuerdo a normas
específicas para éstas.
81
52. El control interno relacionado con la protección de activos frente a una ad-
quisición, utilización o venta no autorizada puede incluir controles relacio-
nados con el proceso de preparación y entrega de información financiera,
como asimismo con los objetivos de las operaciones. Al obtener un enten-
dimiento de cada uno de los componentes de control interno, la considera-
ción del auditor de controles de protección de activos está limitada general-
mente a aquellos pertinentes y a la fiabilidad del proceso de preparación y
entrega de información financiera. Por ejemplo, el uso de controles de acce-
so, tales como las contraseñas, que limitan el acceso a los datos y programas
que procesan los desembolsos de efectivo pueden ser pertinentes en la audi-
toría de estados financieros. A la inversa, los controles de protección de ac-
tivos relacionados con los objetivos de las operaciones, tales como los con-
troles para evitar el uso excesivo de materiales en la producción, general-
mente no son pertinentes a la auditoría de estados financieros.
53. Los controles pertinentes a la auditoría pueden existir en cualquiera de los
componentes de control interno y un análisis adicional de los controles per-
tinentes a una auditoría está comprendido bajo el título de cada componente
de control interno mencionado en párrafos posteriores (ver párrafos 67 al
101). Además, los párrafos 115 y 117 analizan ciertos riesgos para los cua-
les el auditor debiera evaluar el diseño de los controles de la entidad sobre
tales riesgos y determinar si han sido implementados.
Profundidad del entendimiento del control interno
54. Obtener un entendimiento del control interno implica evaluar el diseño de
un control y determinar si ha sido implementado. Evaluar el diseño de un
control implica considerar si el control, de manera individual o en combina-
ción con otros controles, es capaz de prevenir o detectar y corregir efectiva-
mente representaciones incorrectas significativas. Una explicación adicional
está incluida en el análisis de cada componente de control interno mostrado
en párrafos posteriores (ver párrafos 67 al 101). La implementación de un
control significa que éste existe y que la entidad lo está utilizando. El audi-
tor debiera considerar el diseño de un control al determinar si considera su
implementación. Un control mal diseñado puede representar una debilidad
importante(15)
en el control interno de la entidad y el auditor debiera consi-
derar si tiene que comunicar ésto a los encargados del Gobierno Corporativo
y a la Administración.
55. Según lo indicado en el párrafo 6, el auditor debiera efectuar procedimientos
de evaluación de riesgos para obtener un entendimiento del control interno.
(15)
Una debilidad importante es una deficiencia o una combinación de éstas en el control interno tal
que existe la razonable posibilidad que una representación incorrecta significativa en los estados
financieros de la entidad no será prevenida o no será detectada ni corregida oportunamente.
82
Los procedimientos para obtener evidencia de auditoría sobre el diseño y la
implementación de controles pertinentes puede incluir la indagación al per-
sonal de la entidad, la observación de la aplicación de controles específicos,
la inspección de documentos e informes y efectuando un seguimiento del
curso de las transacciones a través del sistema de información pertinente al
proceso de preparación y entrega de información financiera. La indagación
por sí sola no es suficiente para evaluar el diseño de un control pertinente a
una auditoría y para determinar si ha sido implementado.
56. Obtener un entendimiento de los controles de una entidad no es suficiente
como prueba de la efectividad de la operación de los controles, a menos que
exista algún tipo de automatización(16)
que proporcione una aplicación uni-
forme de la operación del control (los elementos manuales y automatizados
del control interno pertinentes a la auditoría son descritos más adelante). Por
ejemplo, obtener evidencia de auditoría sobre la implementación de un con-
trol que opera manualmente en un momento dado no proporciona evidencia
de auditoría acerca de la operación efectiva del control en otro momento
dentro del período bajo auditoría. Sin embargo, TI permite que una entidad
procese grandes volúmenes de información uniformemente y mejora la ca-
pacidad de la entidad para monitorear el desempeño de las actividades de
control y lograr una efectiva segregación de funciones implementando con-
troles de seguridad en aplicaciones, bases de datos y sistemas operativos.
Por lo tanto, ya que generalmente el procesamiento de TI es inherentemente
uniforme, al realizar procedimientos de auditoría para determinar si un con-
trol automatizado se ha implementado, puede servir como prueba de la ope-
ración efectiva de ese control, dependiendo de la evaluación y pruebas por
parte del auditor de los controles generales de TI, incluyendo la seguridad
sobre el computador y sobre el control de cambios de programas. Las prue-
bas de la operación efectiva de los controles son descritos en más detalle en
la Sección AU 318.
Características de los elementos manuales y automatizados del control interno
pertinentes a la evaluación de riesgos por el auditor
57. Efecto de la tecnología de información sobre el control interno. La utiliza-
ción de TI por parte de una entidad puede afectar a cualquiera de los cinco
componentes del control interno pertinentes al logro de los objetivos de la
entidad: (1) del proceso de preparación y entrega de información financiera,
(2) de sus operaciones y (3) del cumplimiento de sus unidades operacionales
o de sus líneas de negocio. Por ejemplo, una organización puede utilizar TI
como parte de los sistemas no integrados que sólo apoyan a unidades parti-
culares del negocio, funciones o actividades, tales como un sistema único de
cuentas por cobrar para una unidad de negocios en particular o un sistema
que controle la operación de los equipos de fábrica. De manera alternativa,
una entidad puede contar con sistemas complejos y altamente integrados que
(16)
Esto es suponiendo que existen los controles generales efectivos de TI.
83
comparten datos y que son utilizados para apoyar todos los aspectos de los
objetivos del proceso de preparación y entrega de información financiera, de
las operaciones y de cumplimiento de una entidad.
58. El uso de TI también afecta la manera fundamental en la cual las transaccio-
nes son iniciadas, autorizadas, registradas, procesadas e informadas.(17)
En
un sistema manual, la entidad utiliza procedimientos manuales y registra en
papel (por ejemplo, las personas pueden registrar manualmente las órdenes
de venta en formularios o libros diarios, autorizar créditos, preparar infor-
mes de despacho y facturas y mantener los registros de cuentas por cobrar).
Los controles en tal sistema también son manuales y pueden incluir proce-
dimientos tales como aprobaciones y revisiones de actividades y concilia-
ciones y seguimiento de las partidas en conciliación. Alternativamente, una
entidad puede tener sistemas de información que utilicen procedimientos au-
tomatizados para iniciar, autorizar, registrar, procesar e informar transaccio-
nes en cuyo caso los registros en formato electrónico reemplazan documen-
tos en papel como las órdenes de compra, facturas, documentos de despacho
y registros de contabilidad relacionados. Los controles en los sistemas que
utilizan TI consisten en una combinación de controles automatizados (por
ejemplo, controles insertos en programas computacionales) y controles ma-
nuales. Además, los controles manuales pueden ser independientes de TI,
pueden utilizar información producida por TI o pueden limitarse a monito-
rear el efectivo funcionamiento de TI y de los controles automatizados y pa-
ra manejar las excepciones. Cuando se usa TI para iniciar, autorizar, regis-
trar, procesar o informar transacciones u otra información financiera para su
inclusión en los estados financieros, los sistemas y programas pueden incluir
controles relacionados con las respectivas afirmaciones para las cuentas sig-
nificativas o puede ser crítica para el efectivo funcionamiento de los contro-
les manuales que dependen de TI. La combinación de los controles manua-
les y automatizados de una entidad varía con la naturaleza y complejidad del
uso de TI por parte de la entidad.
59. Generalmente, TI proporciona beneficios potenciales de efectividad y efi-
ciencia para el control interno de una entidad porque le permite:
Aplicar uniformemente normas de negocios predefinidas y efectuar
cálculos complejos al procesar grandes volúmenes de transacciones
o datos.
Mejorar la oportunidad, disponibilidad y precisión de la información.
Facilitar el análisis adicional de información.
(17)
El párrafo B9 del Anexo B define iniciación, autorización, registro, procesamiento de la informa-
ción financiera como se utiliza en toda esta Sección.
84
Mejorar la capacidad de monitorear el desempeño de las actividades
de la entidad y sus políticas y procedimientos.
Reducir el riesgo que se haga caso omiso de los controles.
Mejorar la capacidad de lograr una segregación efectiva de las fun-
ciones implementando controles de seguridad en aplicaciones, bases
de datos y sistemas de las operaciones.
60. TI también plantea riesgos específicos para el control interno de una enti-
dad, incluyendo:
Confianza en los sistemas o programas que están procesando datos
incorrectamente y/o procesando información incorrecta.
Acceso no autorizado a datos que puede resultar en la destrucción de
datos o cambios indebidos a éstos, incluyendo el registro de transac-
ciones no autorizadas o inexistentes o el registro incorrecto de tran-
sacciones.
Cambios no autorizados en los datos de los archivos maestros.
Cambios no autorizados en los sistemas o programas.
Falla en efectuar cambios necesarios a los sistemas o programas.
Intervención manual inapropiada.
Pérdida potencial de datos o incapacidad de acceder a la información
como se requiere.
61. El alcance y naturaleza de estos riesgos para el control interno varían de-
pendiendo de la naturaleza y las características del sistema de información
de la entidad. Por ejemplo, múltiples usuarios, sean externos o internos,
pueden acceder a una base de datos común de información que afecta al
proceso de preparación y entrega de información financiera. En tales cir-
cunstancias, la falta de control en un punto de entrada de un usuario indivi-
dual podría comprometer la seguridad de la base de datos completa, causan-
do potencialmente cambios indebidos o la destrucción de información.
Cuando el personal de TI o un usuario es autorizado o pueden obtener privi-
legios de acceso más allá de los que son necesarios para realizar sus funcio-
nes asignadas, puede fallar la segregación de funciones. Esto podría resultar
en transacciones no autorizadas o cambios a programas o datos que afecten
a los estados financieros. Por lo tanto, la naturaleza y las características del
uso de TI de una entidad en su sistema de información afectan el control in-
terno de la entidad.
85
62. Los controles manuales de los sistemas pueden ser más adecuados donde el
juicio y la discreción son requeridos, tal como en las siguientes circunstan-
cias:
Transacciones grandes, inusuales o no recurrentes.
Circunstancias donde las representaciones incorrectas son difíciles
de definir, anticipar o predecir.
En circunstancias cambiantes que requieren una respuesta de control
fuera del alcance de un control automatizado existente.
En monitorear la efectividad de los controles automatizados.
63. Los controles manuales son realizados por personas y, por lo tanto, presen-
tan riesgos específicos al control interno de la entidad. Los controles manua-
les pueden ser menos fiables que los automatizados porque pueden ser elu-
didos más fácilmente , ignorados o hacer caso omiso de ellos. También, son
más propensos a errores y equivocaciones. La uniformidad en la aplicación
de un elemento de control manual no puede ser asumida. Los sistemas ma-
nuales pueden ser menos apropiados para lo siguiente:
Altos volúmenes de transacciones o de transacciones recurrentes o
en situaciones donde los errores que pueden ser anticipados o prede-
cidos pueden ser prevenidos o detectados por parámetros de control
que son automatizados.
Actividades de control donde las formas específicas de efectuar el
control pueden ser diseñadas y automatizadas adecuadamente.
Limitaciones del control interno
64. El control interno, sin importar lo bien diseñado y operado que sea, sola-
mente puede proporcionar a una entidad una seguridad razonable, pero no
absoluta, respecto al logro de los objetivos de la entidad. La probabilidad de
logro se ve afectada por las limitaciones inherentes al control interno. Estas
incluyen la realidad que en la toma de decisiones el juicio puede ser imper-
fecto y que las fallas en el control interno pueden ocurrir debido a errores o
equivocaciones humanos. Por ejemplo, si el personal del sistema de infor-
mación de una entidad no entiende suficientemente cómo el sistema procesa
las transacciones de venta, pueden diseñar cambios al sistema que procesará
erróneamente las ventas de una nueva línea de productos. Por otra parte, ta-
les cambios pueden ser correctamente diseñados pero mal entendidos por las
personas que traducen el diseño a un programa de código. Los errores tam-
bién pueden ocurrir en el uso de la información generada por TI. Por ejem-
86
plo, los controles automatizados pueden ser diseñados para informar tran-
sacciones sobre un monto especificado para su revisión por la Administra-
ción, pero las personas responsables de la revisión pueden no entender el
propósito de tales informes y, en consecuencia, pueden no revisarlos o no
investigar las partidas inusuales.
65. Además, los controles, ya sean manuales o automatizados se pueden evadir
por la colusión de dos o más personas, o por hacer caso omiso del control
interno por parte de la Administración. Por ejemplo, la Administración pue-
de efectuar acuerdos con clientes que no son revelados los cuales alteran los
términos y condiciones de los contratos de ventas estándar de la entidad, lo
cual puede llevar a un reconocimiento inadecuado del ingreso. También las
pruebas de edición de un software que están diseñadas para identificar e in-
formar transacciones que excedan de los límites de crédito especificados,
pueden ser ignorados o inhabilitados.
66. Las entidades más pequeñas tienen menos empleados, lo cual puede limitar
el alcance al cual la segregación de funciones es practicable. Sin embargo,
para áreas clave, incluso en una entidad muy pequeña, puede ser practicable
implementar algún grado de segregación de funciones u otra forma de con-
troles no sofisticados, pero efectivos. El potencial para hacer caso omiso de
los controles por parte del dueño-administrador depende en gran medida del
ambiente de control y en particular de las actitudes del dueño-administrador
respecto a la importancia del control interno.
Componentes del control interno
67. Ambiente de control. El ambiente de control fija el tono de una organiza-
ción, influenciando la conciencia de control de su personal. Es la base de to-
dos los otros componentes de control interno, proporcionando disciplina y
estructura.
68. La principal responsabilidad para la prevención y detección de fraudes y
errores reside en los encargados del Gobierno Corporativo y en la Adminis-
tración de la entidad. Al obtener un entendimiento del ambiente de control,
el auditor debiera considerar el diseño y la implementación de los programas
y controles de la entidad para abordar el riesgo de fraude según lo analizado
en la Sección AU 316. La ausencia o inadecuacidad de tales programas y
controles pueden constituir una deficiencia significativa o una debilidad im-
portante. Un ejemplo de tales programas es el “proceso de delación” para
que los empleados informen de manera confidencial cualquier actividad
fraudulenta conocida o sospechada.
69. Al evaluar el diseño del ambiente de control de la entidad, el auditor debiera
considerar los siguientes elementos y cómo han sido incorporados éstos a
los procesos de la entidad:
87
a. Comunicar y hacer respetar la integridad y los valores éticos. Ele-
mentos esenciales que influencian la efectividad del diseño, la admi-
nistración y el monitoreo de los controles.
b. Compromiso con la competencia. La consideración de la Adminis-
tración de los niveles de competencia para trabajos particulares y
cómo aquellos niveles se traducen en requisitos de habilidades y co-
nocimiento.
c. Participación de los encargados del Gobierno Corporativo. Su inde-
pendencia, respecto a la Administración, la experiencia y la categoría
de sus integrantes, el alcance de su participación y el examen riguro-
so de las actividades de la entidad, la información que recibe, el tipo
de preguntas complejas que ellos plantean y por las cuales se exige
una respuesta por parte de la Administración, como asimismo su in-
teracción con los auditores internos y externos.
d. Filosofía de la Administración y estilo de operación. El enfoque de
la Administración para tomar y administrar riesgos del negocio y las
actitudes y acciones de la Administración en el proceso de prepara-
ción y entrega de información financiera, procesamiento de la infor-
mación y las funciones de contabilidad y del personal.
e. Estructura organizacional. El marco dentro del cual las actividades
de una entidad son planificadas, efectuadas, controladas y revisadas
para alcanzar sus objetivos.
f. Asignación de autoridad y responsabilidad. Cómo son asignadas la
autoridad y responsabilidad respecto a las operaciones y cómo se es-
tablecen las relaciones para comunicarse entre los distintos niveles y
las jerarquías de autorización respectivos.
g. Políticas y prácticas de recursos humanos. Actividades de contrata-
ción, orientación, capacitación, evaluación, consejería, promoción,
compensación y las relacionadas con medidas correctivas.
Por ejemplo, la respuesta de la Administración a las deficiencias de control
interno informadas en períodos anteriores se puede relacionar con uno o más
de los elementos antes mencionados, tales como el compromiso con la com-
petencia o con la filosofía de la Administración y su estilo de operación.
70. El auditor debiera obtener suficiente conocimiento del ambiente de control
para entender las actitudes, conciencia y actividades de quienes están encar-
gados del Gobierno Corporativo en relación con el control interno de la en-
tidad y de su importancia para lograr el proceso de preparación y entrega de
88
información financiera fiable. Al entender el ambiente de control, el auditor
debiera concentrarse en la implementación de controles ya que éstos pueden
estar establecidos pero no estar operando.
71. Las responsabilidades de los encargados del Gobierno Corporativo son de
gran importancia. Esto está reconocido en códigos de buenas prácticas y
otras regulaciones o guías preparadas para facilitar el trabajo de los integran-
tes del Gobierno Corporativo. La base de la remuneración de la Administra-
ción, especialmente la compensación relacionada con el desempeño ejecuti-
vo, explica la presión que existe sobre la Administración, proveniente de
demandas contrapuestas entre la preparación de información financiera ra-
zonable y los beneficios que representan para los accionistas un resultado
deliberamente mejorado. Este es uno, pero no el único rol de los integrantes
del Gobierno Corporativo de contrapesar tales presiones. Al entender el am-
biente de control, el auditor debiera considerar temas tales como la indepen-
dencia de los Directores y su capacidad para evaluar las actividades de la
Administración. El auditor también debiera considerar si existe un grupo
dentro del Gobierno Corporativo que entienda las transacciones de negocios
de la entidad y evalúe si los estados financieros están razonablemente pre-
sentados de acuerdo con principios de contabilidad generalmente aceptados.
72. Al entender los elementos del ambiente de control, el auditor debiera consi-
derar si éstos han sido implementados. El auditor debiera obtener suficiente
y apropiada evidencia de auditoría a través de una combinación de indaga-
ciones y otros procedimientos de evaluación de riesgos, por ejemplo, corro-
borando las indagaciones a través de la observación o inspección de docu-
mentos. A través de indagaciones a la Administración y empleados, el audi-
tor puede entender cómo la Administración les comunica a éstos su visión
respecto a las prácticas de negocios y comportamiento ético. El auditor de-
biera determinar si los controles han sido implementados considerando, por
ejemplo, si la Administración ha establecido un código de conducta formal y
si actúa en una manera que respalda o reprueba infracciones o autoriza ex-
cepciones al código de conducta.
73. La evidencia de auditoría para los elementos del ambiente de control puede
no estar disponible en la forma de documentos, particularmente para las en-
tidades más pequeñas donde la comunicación entre la Administración y el
personal puede ser informal, pero efectiva. Por ejemplo, el compromiso de
la Administración con los valores éticos y con la competencia son general-
mente implementados más bien a través del comportamiento y la actitud que
se demuestran al administrar los negocios de la entidad, en lugar de un
código de conducta escrito. En consecuencia, las actitudes, la conciencia y
las actitudes de la Administración son de particular importancia en el diseño
del ambiente de control de una entidad más pequeña. Además, el rol de los
encargados del Gobierno Corporativo, es realizado generalmente por el due-
ño-administrador cuando no existen otros dueños.
89
74. Al obtener el entendimiento del ambiente de control, el auditor también de-
biera considerar el efecto colectivo sobre el ambiente de control de las forta-
lezas y debilidades en varios elementos de éste. Las fortalezas y debilidades
de la Administración pueden tener un efecto significativo sobre el control
interno. Por ejemplo, los controles del dueño-administrador pueden mitigar
una falta de segregación de funciones en los negocios pequeños o un Direc-
torio activo e independiente puede influenciar la filosofía y el estilo de ope-
ración de la Administración Superior en las entidades más grandes. Alterna-
tivamente, el incumplimiento de la Administración de proporcionar los re-
cursos suficientes para abordar los riesgos de seguridad presentados por TI,
puede afectar de manera adversa al control interno al permitir cambios inde-
bidos en los programas computacionales o en los datos o al permitir el pro-
cesamiento de transacciones no autorizadas. De igual manera, las políticas
de recursos humanos y las prácticas dirigidas al contratar personal financie-
ro, de contabilidad y de TI competente puede no mitigar un fuerte sesgo de
la Administración Superior por “sobreestimar” los ingresos.
75. La existencia de un ambiente de control satisfactorio es un factor positivo
cuando el auditor evalúa los riesgos de representaciones incorrectas signifi-
cativas de los estados financieros. Aunque un ambiente de control efectivo
no es un impedimiento absoluto al fraude debido a las limitaciones del con-
trol interno, podría ayudar a reducir los riesgos de fraude. Debido al signifi-
cativo efecto del ambiente de control al evaluar los riesgos de representacio-
nes incorrectas significativas, el juicio preliminar del auditor sobre su efec-
tividad generalmente influye en la naturaleza, oportunidad y el alcance de
los procedimientos de auditoría adicionales a ser efectuados. Por ejemplo,
las debilidades en el ambiente de control pueden llevar al auditor a realizar
procedimientos más sustantivos a la fecha del balance general en lugar de a
una fecha intermedia, modificar la naturaleza de las pruebas de los controles
o procedimientos sustantivos para obtener evidencia más persuasiva o au-
mentar el número de localidades a incluir en el alcance de la auditoría. A la
inversa, un ambiente de control efectivo puede permitir al auditor tener
algún grado de confianza adicional en el control interno y de la fiabilidad de
evidencia generada internamente dentro de la entidad y así, por ejemplo,
permitirle realizar pruebas de los controles y procedimientos sustantivos en
una fecha intermedia en lugar que a la fecha del balance general. Sin embar-
go, el ambiente de control no es comúnmente lo suficientemente específico
para prevenir o detectar representaciones incorrectas significativas en los
saldos de cuentas, clases de transacciones, o revelaciones y sus respectivas
afirmaciones. Por lo tanto, el auditor debiera considerar el efecto de otros
componentes del control interno conjuntamente con el ambiente de control
cuando evalúe los riesgos de representaciones incorrectas significativas, por
ejemplo, el monitoreo de controles y la operación de actividades de control
específicas.
90
76. El proceso de evaluación de riesgos de la entidad. El proceso de evaluación
de riesgos de una entidad para propósitos del proceso de preparación y en-
trega de información financiera es su identificación, análisis y administra-
ción de los riesgos pertinentes a la preparación de estados financieros que
son presentados razonablemente de acuerdo con principios de contabilidad
generalmente aceptados. Por ejemplo, la evaluación de riesgos podría de-
terminar como la entidad considera la posibilidad de transacciones no regis-
tradas o identifica y analiza las estimaciones significativas registradas en los
estados financieros. Los riesgos pertinentes al proceso de preparación y en-
trega de información financiera fiable también se relacionan con hechos o
transacciones específicos.
77. Los riesgos pertinentes al proceso de preparación y entrega de información
financiera incluyen hechos y circunstancias externas e internas que pueden
ocurrir y afectar adversamente la capacidad de una entidad de iniciar, auto-
rizar, registrar, procesar y presentar información financiera consecuente con
las afirmaciones de la Administración en los estados financieros.(18)
Los
riesgos pueden surgir o cambiar debido a circunstancias como las que se in-
dican a continuación:
Cambios en el entorno de la operación
Personal nuevo
Sistemas de información nuevos o modernizados
Crecimiento rápido
Nueva tecnología
Nuevos modelos de negocios, productos o actividades
Reestructuraciones corporativas
Ampliación de operaciones en el extranjero
Nuevos pronunciamientos de contabilidad
78. El auditor debiera obtener un conocimiento suficiente del proceso de eva-
luación de riesgos de la entidad para entender cómo la Administración con-
sidera los riesgos pertinentes para los objetivos del proceso de preparación y
entrega de información financiera y decide las acciones para abordar esos
riesgos. Al evaluar el diseño y la implementación del proceso de evaluación
de riesgos de la entidad, el auditor debiera considerar cómo la Administra-
(18)
Estas afirmaciones son analizadas en la Sección AU 326 Evidencia de Auditoría.
91
ción identifica los riesgos de negocio pertinentes al proceso de preparación y
entrega de información financiera, estima la importancia de los riesgos,
evalúa la probabilidad que ocurran y decide las acciones para administrarlos.
El proceso de evaluación de riesgos de una entidad para el proceso de prepa-
ración y entrega de información financiera que abarca los elementos de con-
trol interno aquí incluidos pueden ser parte del marco de administración de
riesgos de una entidad. Como tales, los auditores debieran enfocarse en as-
pectos del marco que afecten los riesgos de representaciones incorrectas
significativas en el proceso de preparación y entrega de la información fi-
nanciera. Si el proceso de evaluación de riesgos de la entidad es apropiado a
las circunstancias, éste ayuda al auditor a identificar los riesgos de represen-
taciones incorrectas significativas.
79. El auditor debiera indagar sobre los riesgos del negocio que la Administra-
ción ha identificado y debiera considerar si pueden resultar en representa-
ciones incorrectas significativas de los estados financieros. El proceso de
evaluación de riesgos de una entidad difiere de la consideración del auditor
del riesgo de auditoría en una auditoría de estados financieros. El propósito
del proceso evaluación de riesgos de una entidad es identificar, analizar y
administrar los riesgos que afectan a los objetivos de la entidad. En una au-
ditoría de estados financieros, el auditor evalúa los riesgos para evaluar la
probabilidad que representaciones incorrectas significativas podrían ocurrir
en los estados financieros. No todos los riesgos de la entidad son necesaria-
mente riesgos de auditoría. Sin embargo, el proceso de evaluación de riesgos
de una entidad puede afectar la consideración del auditor del riesgo de audi-
toría. Durante la auditoría, el auditor puede identificar los riesgos del nego-
cio o los riesgos de representaciones incorrectas significativas en los estados
financieros que la Administración no identificó. En tales casos, el auditor
debiera considerar por qué el proceso de evaluación de riesgos de la entidad
no identificó los riesgos y si el proceso es apropiado a sus circunstancias.
80. En una entidad más pequeña, la Administración puede no tener un proceso
formal de evaluación de riesgos como se describió en el párrafo 76. Para ta-
les entidades el auditor debiera analizar con la Administración cómo los
riesgos del negocio son identificados por la Administración y cómo son
abordados.
81. El sistema de información, el cual incluye los procesos de negocios perti-
nentes relacionados con la preparación y entrega de información finan-
ciera, como asimismo de las comunicaciones. El sistema de información
pertinente a los objetivos del proceso de preparación y entrega de informa-
ción financiera, el cual incluye al sistema de contabilidad, consiste en los
procedimientos, sean estos automatizados o manuales y los registros esta-
blecidos para iniciar, autorizar, registrar, procesar e informar transacciones
de la entidad (como asimismo los hechos y condiciones) y para mantener la
responsabilidad por una debida rendición de cuentas respecto a los activos,
92
pasivos y patrimonio relacionados. La calidad de la información generada
por un sistema afecta la capacidad de la Administración para tomar las deci-
siones apropiadas para controlar las actividades de la entidad y para preparar
información financiera fiable.
82. La comunicación implica proporcionar un entendimiento de los roles indivi-
duales y las responsabilidades relacionadas con el control interno sobre el
proceso de preparación y entrega de información financiera.
83. El auditor debiera obtener el conocimiento suficiente de los procesos de ne-
gocios y del sistema de información relacionados con el proceso de prepara-
ción y entrega de información financiera, para poder entender:
Las clases de transacciones en las operaciones de la entidad que son
significativas para los estados financieros.
Los procedimientos, dentro de sistemas automatizados y manuales,
por los cuales esas transacciones son iniciadas, autorizadas, registra-
das, procesadas e informadas en los estados financieros.
Los registros contables relacionados, sean electrónicos o manuales,
información sustentatoria y cuentas específicas en los estados finan-
cieros involucrados en la iniciación, autorización, registro, procesa-
miento e información de las transacciones.
Cómo el sistema de información captura hechos y condiciones que
son significativos para los estados financieros, distintos a las clases
de transacciones.
El proceso de preparación y entrega de información financiera utili-
zado para preparar los estados financieros de la entidad, incluyendo
estimaciones contables y revelaciones significativas.
84. Cuando se utiliza TI para iniciar, autorizar, registrar, procesar o informar
transacciones u otros datos financieros para ser incluidos en los estados fi-
nancieros, los sistemas y programas pueden comprender controles relacio-
nados con las afirmaciones correspondientes a cuentas significativas o pue-
den ser críticos para el efectivo funcionamiento de controles manuales que
dependen de TI.
85. El auditor también debiera obtener un entendimiento de cómo se resuelve el
procesamiento incorrecto de transacciones. Por ejemplo, tal entendimiento
podría incluir si existe un archivo transitorio automatizado, cómo es utiliza-
do por la entidad para asegurar que partidas transitorias sean aclaradas opor-
tunamente y cómo se procesan y contabilizan cuando se ha hecho caso omi-
so de, o evitado de otra forma, los controles de los sistemas.
93
86. Al obtener un entendimiento del proceso de preparación y entrega de infor-
mación financiera (incluyendo el proceso de cierre), el auditor debiera obte-
ner un entendimiento de los procedimientos automatizados y manuales que
utiliza una entidad para preparar los estados financieros y las revelaciones
relacionadas y cómo pueden ocurrir representaciones incorrectas. Tales pro-
cedimientos incluyen aquellos utilizados para:
Ingresar totales de transacciones al libro mayor (o registro equiva-
lente). En algunos sistemas de información, se puede usar TI para
transferir tal información automáticamente desde los sistemas de
procesamiento de transacciones al libro mayor o a los sistemas del
proceso de preparación y entrega de información financiera. Los
procesos automatizados y los controles en tales sistemas pueden re-
ducir el riesgo de errores inadvertidos pero no eliminan el riesgo que
personas puedan inapropiadamente hacer caso omiso de tales proce-
sos automatizados, por ejemplo, modificando los montos que están
siendo traspasados automáticamente al libro mayor o al sistema del
proceso de preparación y entrega de información financiera.
Además, al planificar la auditoría, el auditor debiera estar conciente
que cuando se utiliza TI para transferir información de manera au-
tomática, puede existir poca o ninguna evidencia de tal intervención
en los sistemas de información.
Iniciar, autorizar, registrar y procesar asientos de diario en el libro
mayor. El proceso de preparación y entrega de información financie-
ra de una entidad utilizado para preparar los estados financieros, típi-
camente incluye el uso de asientos de diario estándar que son reque-
ridos recurrentemente para registrar transacciones tales como las
ventas, compras y desembolsos en efectivo, o para registrar estima-
ciones contables que son efectuadas periódicamente por la Adminis-
tración, como los cambios en la estimación de cuentas por cobrar in-
cobrables. El proceso de preparación y entrega de información fi-
nanciera de una entidad también incluye el uso de asientos de diario
no estándar para contabilizar transacciones o ajustes no recurrentes o
inusuales tales como la combinación o venta de negocios o una esti-
mación no recurrente, como un deterioro de un activo. En los siste-
mas manuales en los que los libros mayores están basados en papel,
tales asientos de diario, pueden ser identificados a través de la ins-
pección de libros mayores, diarios y documentación de respaldo. Sin
embargo, cuando se utiliza TI para mantener el libro mayor y prepa-
rar los estados financieros, tales asientos pueden existir sólo en for-
ma electrónica y se pueden identificar de manera más fácil a través
del uso de técnicas de auditoría asistidas por computador.
94
Iniciar y registrar ajustes recurrentes y no recurrentes a los estados
financieros. Estos son procedimientos relacionados con los ajustes y
reclasificaciones que no están reflejados en los asientos de diario
formales.
Combinar y consolidar la información del libro mayor. Esto incluye
los procedimientos para combinar las cuentas detalladas del libro
mayor, preparar el balance de comprobación y saldos y preparar la
información financiera consolidada (por ejemplo, transfiriendo in-
formación del libro mayor y efectuando ajustes de asientos de diario
en un sistema de consolidación o en una planilla de resumen; reali-
zando rutinas de consolidación y rutinas de conciliación y revisando
la información financiera consolidada, incluyendo la información en
las notas).
Preparar estados financieros y sus revelaciones. Estos son procedi-
mientos diseñados para asegurar que la información requerida para
ser presentada y revelada esté acumulada, contabilizada, procesada,
resumida y apropiadamente informada en los estados financieros.
87. El auditor debiera obtener un entendimiento del sistema de información de
la entidad pertinente al proceso de preparación y entrega de información fi-
nanciera de una manera que sea apropiada a las circunstancias de la entidad.
Esto incluye obtener un entendimiento de cómo se originan las transaccio-
nes dentro de los procesos de negocios de la entidad. Los procesos de nego-
cios de una entidad son las actividades diseñadas para desarrollar, comprar,
producir, vender y distribuir los productos y servicios de una entidad, asegu-
rar el cumplimiento de las leyes y regulaciones y registrar la información,
incluyendo la información de contabilidad y del proceso de preparación y
entrega de información financiera.
88. El auditor debiera obtener el suficiente conocimiento del componente de
comunicación para entender cómo la entidad comunica los roles y las res-
ponsabilidades en el proceso de preparación y entrega de información finan-
ciera y temas significativos relacionados con el proceso de preparación y en-
trega de información financiera. La comunicación implica proporcionar un
entendimiento de los roles individuales y de las responsabilidades relaciona-
das con el control interno sobre el proceso de preparación y entrega de in-
formación financiera y pueden tomar formas como manuales de políticas y
manuales para el proceso de preparación y entrega de información financie-
ra. Además, incluye el grado en que el personal entiende cómo sus activida-
des en el sistema de proceso de preparación y entrega de la información fi-
nanciera, se relacionan con el trabajo de otros y los medios para informar
excepciones a un apropiado nivel superior dentro de la entidad. Los canales
de comunicación abiertos ayudan a asegurar que las excepciones sean in-
formadas y se actúe de acuerdo a éstas. El entendimiento del auditor de la
95
comunicación relacionada con los temas del proceso de preparación y entre-
ga de información financiera también incluye las comunicaciones entre la
Administración y los encargados del Gobierno Corporativo, particularmente
el Comité de Auditoría, así como las comunicaciones externas, tales como
con organismos reguladores.
89. Actividades de control. El auditor debiera obtener un entendimiento de
aquellas actividades de control pertinentes a la auditoría. Las actividades de
control son las políticas y procedimientos que ayudan a asegurar que las di-
rectrices de la Administración se lleven a cabo. Por ejemplo, que las accio-
nes necesarias sean tomadas para administrar los riesgos que amenazan el
logro de los objetivos de la entidad. Las actividades de control, sean auto-
matizadas o manuales, tienen varios objetivos y son aplicadas en distintos
niveles organizacionales y funcionales. Ejemplos de actividades de control
específicas, incluyen los siguientes:
Autorización. Las actividades de control relacionadas con la inicia-
ción de derivados y otras transacciones no incluidas en el balance
general pueden ser pertinentes al diseño de procedimientos de audi-
toría a efectuar por el auditor relacionados con la afirmación de inte-
gridad.
Segregación de funciones. Si el personal responsable de registrar es-
timaciones de cuentas incobrables es independiente del personal que
autoriza las transacciones de venta puede ser pertinente al diseño de
procedimientos de auditoría relacionados con la afirmación de valo-
rización.
Protección. Las actividades de control relacionadas con que las exis-
tencias se encuentran almacenadas de forma segura y el movimiento
y acceso a éstas está limitado a personas autorizadas, puede ser per-
tinente al diseño de procedimientos de auditoría relacionados con la
afirmación de existencia, particularmente la consideración del audi-
tor respecto al número de localidades a visitar.
Responsabilidad de rendir cuenta por los activos. Las actividades de
control relacionadas con la conciliación de los registros detallados al
libro mayor son necesarios normalmente para diseñar y efectuar pro-
cedimientos de auditoría para clases de transacciones significativas y
saldos de cuentas.
90. El auditor debiera considerar el conocimiento sobre la presencia o ausencia
de actividades de control obtenido del entendimiento de los otros compo-
nentes de control interno en determinar si es necesario poner especial aten-
ción para obtener un entendimiento de las actividades de control. Una audi-
toría no requiere un entendimiento de todas las actividades de control rela-
96
cionadas a cada clase de transacciones, saldos de cuentas y revelaciones en
los estados financieros o a cada afirmación pertinente. Comúnmente, las ac-
tividades de control que pueden ser pertinentes para una auditoría incluyen a
aquellas relacionadas con autorización, segregación de funciones, protección
de activos y responsabilidad de rendir cuenta por los activos incluyendo por
ejemplo, conciliaciones del libro mayor a los registros de detalle. El auditor
debiera entender el proceso de conciliación de detalles al libro mayor para
las cuentas significativas. Además, las actividades de control también son
pertinentes para la auditoría si se solicita al auditor evaluarlas como se ana-
liza en los párrafos 115 al 117.
91. Al obtener un entendimiento de las actividades de control, la principal con-
sideración del auditor es si y cómo, una actividad de control específica, in-
dividualmente o en conjunto con otras, previene o detecta y corrige repre-
sentaciones incorrectas significativas en las clases de transacciones, saldos
de cuentas o revelaciones. Las actividades de control pertinentes para la au-
ditoría son aquellas por las cuales el auditor considera necesario entender
para evaluar los riesgos de representaciones incorrectas significativas a nivel
de afirmación y para diseñar y efectuar procedimientos de auditoría adicio-
nales en respuesta a los riesgos evaluados. El énfasis del auditor se encuen-
tra en identificar y entender las actividades de control que abordan las áreas
donde el auditor considera que las representaciones incorrectas significati-
vas son más probables que ocurran. Cuando las múltiples actividades de
control logran el mismo objetivo, no es necesario obtener un entendimiento
de cada una de las actividades de control relacionadas con tal objetivo.
92. El auditor debiera obtener un entendimiento de cómo TI afecta las activida-
des de control que son pertinentes para planificar la auditoría. Algunas enti-
dades y auditores pueden ver las actividades de control de TI en términos de
controles de aplicación y controles generales. Los controles de aplicación
son aplicables al procesamiento de aplicaciones individuales. En consecuen-
cia, los controles de aplicación se relacionan al uso de TI para iniciar, auto-
rizar, registrar, procesar e informar transacciones u otra información finan-
ciera. Estos controles ayudan a asegurar que las transacciones ocurrieron,
están autorizadas, están registradas y procesadas precisa y completamente.
Algunos ejemplos incluyen la prueba de verificación de la entrada de datos,
pruebas de secuencia numérica y seguimiento manual de informes de excep-
ción.
93. Los controles de aplicación pueden ser efectuados por TI (por ejemplo, con-
ciliaciones automatizadas de subsistemas) o por personas. Cuando los con-
troles de aplicación son efectuados por personas interactuando con TI, pue-
den ser referidos como controles del usuario. La efectividad de los controles
de los usuarios, tales como las revisiones de informes de excepción produci-
dos por computador u otra información producida por TI, puede depender de
la exactitud de la información producida. Por ejemplo, un usuario podría re-
97
visar un informe de excepción para identificar las ventas a crédito sobre el
límite de crédito autorizado de un cliente sin llevar a cabo procedimientos
para verificar su exactitud. En tales casos, la efectividad del control del
usuario (es decir, la revisión del informe de excepción) depende de la efecti-
vidad de la revisión del usuario y de la exactitud de la información en el in-
forme producido por TI.
94. Los controles generales son políticas y procedimientos que se relacionan a
muchas aplicaciones y respaldan el efectivo funcionamiento de los controles
de aplicación ayudando a asegurar la adecuada operación continua de los
sistemas de información. Los controles generales incluyen comúnmente
controles sobre centros de datos y operaciones de red, adquisición de siste-
mas de software, cambio y mantención, seguridad de acceso y adquisición
de sistema de aplicación, desarrollo y mantención. Mientras los controles
generales inefectivos no causan representaciones incorrectas por sí mismos,
pueden permitir a los controles de aplicación operar inadecuadamente y
permitir que ocurran representaciones incorrectas que no sean detectadas.
Por ejemplo, si existen debilidades en los controles generales sobre la segu-
ridad de acceso y las aplicaciones están dependiendo de estos controles ge-
nerales para prevenir que transacciones no autorizadas sean procesadas, tal
debilidad de control general puede tener un efecto más grave en el diseño
efectivo y la operación del control de aplicación. Los controles generales
debieran ser evaluados en relación a su efecto sobre las aplicaciones y los
datos que llegan a ser parte de los estados financieros. Por ejemplo, si no se
implementan nuevos sistemas durante el período de los estados financieros,
las debilidades en los controles generales sobre “desarrollo de sistemas”
pueden no ser pertinentes para los estados financieros que están siendo audi-
tados.
95. El uso de TI afecta la manera en la que se implementan las actividades de
control. Por ejemplo, cuando se utiliza TI en un sistema de información, la
segregación de funciones a menudo es lograda implementando controles de
seguridad.
96. El auditor debiera considerar si la entidad ha respondido adecuadamente a
los riesgos que han surgido de TI estableciendo controles efectivos, inclu-
yendo controles generales efectivos de los cuales dependen los controles de
aplicación. Desde la perspectiva del auditor, los controles sobre los sistemas
de TI son efectivos cuando mantienen la integridad de la información y la
seguridad de los datos que tales sistemas procesan.
97. Monitoreo de controles. El auditor debiera entender los principales tipos de
actividades que la entidad utiliza para monitorear el control interno sobre el
proceso de preparación y entrega de información financiera, incluyendo las
fuentes de la información relacionada con esas actividades y cómo esas acti-
vidades son utilizadas para iniciar acciones correctivas de sus controles.
98
98. Una importante responsabilidad de la Administración es establecer y mante-
ner el control interno sobre una base continua. El monitoreo de la Adminis-
tración de los controles incluye si están operando como se planificó y si son
modificados de manera apropiada por cambios en las condiciones. El moni-
toreo de los controles puede incluir actividades como la revisión por parte
de la Administración respecto a si las conciliaciones de los bancos están
siendo preparados de manera oportuna, la evaluación de los auditores inter-
nos sobre el cumplimiento del personal de ventas con las políticas de la en-
tidad en términos de contratos de venta y la supervisión del departamento
legal sobre el cumplimiento de las políticas éticas o de práctica de negocios
de la entidad.
99. El monitoreo de controles es un proceso para evaluar la calidad del desem-
peño del control interno en el tiempo. Implica evaluar el diseño y la opera-
ción de controles de manera oportuna y tomar las acciones correctivas nece-
sarias. El monitoreo es efectuado para asegurar que los controles continúan
operando de manera efectiva. Por ejemplo, si la oportunidad y la exactitud
de las conciliaciones bancarias no son monitoreadas, es probable que el per-
sonal deje de prepararlas. La Administración cumple con el monitoreo de
los controles a través de actividades continuas, evaluaciones separadas o una
combinación de ambas. En muchas entidades, los auditores internos o el
personal que desarrolla funciones similares contribuyen al monitoreo de las
actividades de una entidad. Cuando el auditor obtiene un entendimiento de
la función de auditoría interna, debiera seguir las guías de los párrafos 4 al 8
de la Sección AU 322 Consideración del Auditor Independiente de la Fun-
ción de Auditoría Interna en una Auditoría de Estados Financieros. Las ac-
tividades de monitoreo de la Administración pueden incluir el uso de infor-
mación de comunicaciones de partes externas tales como los reclamos de
clientes y comentarios de los organismos reguladores que pueden indicar
problemas o destacar las áreas que necesiten mejorar.
100. En muchas entidades, buena parte de la información utilizada en el monito-
reo puede ser producida por el sistema de información de la entidad. Si la
Administración presume que la información utilizada para el monitoreo es
exacta sin tener una base para esa suposición, pueden existir errores en la in-
formación y potencialmente llevar a la Administración a conclusiones inco-
rrectas de sus actividades de monitoreo. El auditor debiera obtener un en-
tendimiento de las fuentes de la información relacionadas con las activida-
des de monitoreo de la entidad y la base sobre la cual la Administración
considera la información como suficientemente fiable para este propósito.
101. El entendimiento del auditor sobre el monitoreo de controles por la Admi-
nistración puede ayudar al auditor a identificar la existencia de controles
más detallados u otras actividades que el auditor puede considerar al efec-
tuar evaluaciones de riesgo.
99
Evaluación de los riesgos de representaciones incorrectas significativas
102. El auditor debiera identificar y evaluar los riesgos de representaciones inco-
rrectas significativas, a nivel de los estados financieros y a nivel de la afir-
mación pertinente respecto de las clases de transacciones, saldos de cuentas
y revelaciones. Para este propósito el auditor debiera:
Identificar los riesgos a lo largo del proceso de obtención del enten-
dimiento de la entidad y de su entorno, incluyendo los controles per-
tinentes que se relacionan con los riesgos y considerando las clases
de transacciones, saldos de cuentas y revelaciones en los estados fi-
nancieros.
Relacionar los riesgos identificados con lo que puede fallar a nivel
de las afirmaciones pertinentes.
Considerar si los riesgos son de una magnitud tal que pudieran resul-
tar en representaciones incorrectas significativas en los estados fi-
nancieros.
Considerar la probabilidad que los riesgos pudieran resultar en repre-
sentaciones incorrectas significativas en los estados financieros.
103. El auditor debiera utilizar la información obtenida efectuando los procedi-
mientos de evaluación de riesgos, incluyendo la evidencia de auditoría obte-
nida al evaluar el diseño de los controles y determinar si éstos han sido im-
plementados como evidencia de auditoría para sustentar la evaluación de
riesgos. El auditor debiera utilizar la evaluación de riesgos para determinar,
la naturaleza, oportunidad y alcance de los procedimientos de auditoría adi-
cionales a ser efectuados. Cuando la evaluación de riesgos se basa en una
expectativa que los controles están operando de manera efectiva para preve-
nir o detectar una representación incorrecta significativa, de manera indivi-
dual o en forma conjunta, a nivel de la afirmación pertinente, el auditor de-
biera efectuar pruebas de los controles que el auditor haya determinado que
están diseñados apropiadamente para prevenir o detectar una representación
incorrecta significativa en la afirmación pertinente para obtener evidencia
que los controles están operando efectivamente, como se describe en la Sec-
ción AU 318.
104. El auditor debiera determinar si los riesgos identificados de representaciones
incorrectas significativas se relacionan con las afirmaciones específicas per-
tinentes relacionadas con las clases de transacciones, saldos de cuentas y re-
velaciones o si se relacionan de manera más significativa a los estados fi-
nancieros tomados como un todo y que afecten potencialmente a muchas
100
afirmaciones pertinentes. Estos últimos riesgos (riesgos a nivel de los esta-
dos financieros) pueden derivarse de un débil ambiente de control.
105. La naturaleza de los riesgos que surgen de un ambiente de control débil es
tal que no es probable que estén limitados a riesgos individuales específicos
de representaciones incorrectas significativas en clases de transacciones es-
pecíficas, saldos de cuentas y revelaciones. Más bien, las debilidades tales
como la falta de competencia de la Administración, pueden tener un efecto
más significativo en los estados financieros y pueden requerir una respuesta
general por parte del auditor.
106. Al realizar evaluaciones de riesgo, el auditor debiera identificar los controles
más probables para prevenir o detectar y corregir representaciones incorrec-
tas significativas en las afirmaciones pertinentes específicas. Generalmente,
el auditor obtiene un entendimiento de los controles y los relaciona con las
afirmaciones pertinentes en el contexto de procesos y sistemas en los cuales
existen. El hacerlo así es útil ya que las actividades de control individuales a
menudo por si mismas no abordan un riesgo. A menudo, solamente las
múltiples actividades de control, junto con otros elementos del control inter-
no, serán suficientes para abordar un riesgo.
107. A la inversa, algunas actividades de control pueden tener un efecto específi-
co sobre una afirmación individual pertinente incluida en una clase de tran-
sacción o saldo de cuenta en particular. Por ejemplo, las actividades de con-
trol que una entidad estableció para asegurar que su personal está contando
y registrando correctamente el inventario físico anual se relaciona directa-
mente con las afirmaciones de existencia y de integridad para el saldo con-
table de existencias.
108. Los controles se pueden relacionar directa o indirectamente con una afirma-
ción. Mientras más indirecta sea la relación, menos efectivo será el control
para prevenir o detectar y corregir representaciones incorrectas en esa afir-
mación. Por ejemplo, la revisión por parte de un Gerente de Ventas del re-
sumen de actividades de ventas a tiendas específicas por región, se relaciona
comúnmente de manera indirecta a la afirmación de integridad para ingresos
por ventas. En consecuencia, puede ser menos efectiva en reducir el riesgo
para esa afirmación que los controles que se relacionan directamente con esa
afirmación, tales como calzar documentos de despacho con documentos de
facturación.
109. Al evaluar los riesgos, deficiencias en el control interno de una entidad pue-
den llamar la atención del auditor que son suficientemente significativas pa-
ra que sean, a juicio del auditor, deficiencias significativas que debieran ser
comunicadas a los encargados del Gobierno Corporativo según lo exigido
por la Sección AU 325 Comunicación de Asuntos Relacionados con el Con-
trol Interno en una Auditoría de Estados Financieros. Además, el entendi-
101
miento del auditor del control interno puede generar dudas sobre la capaci-
dad de auditar los estados financieros de una entidad. Las preocupaciones
respecto de la integridad de la Administración de una entidad pueden ser tan
serias que pueden llevar al auditor a concluir que el riesgo de declaraciones
falsas por parte de la Administración en los estados financieros es tal, que
una auditoría no puede ser realizada. También las preocupaciones sobre la
condición y la fiabilidad de los registros de una entidad que pueden llevar al
auditor a concluir que es poco probable que suficiente y apropiada evidencia
de auditoría estará disponible para sustentar una opinión sin salvedades so-
bre los estados financieros. En tales circunstancias, el auditor debiera consi-
derar emitir una opinión con salvedades o una abstención de opinión, pero
en algunos casos el único recurso del auditor puede ser retirarse del trabajo.
Riesgos significativos que requieren una consideración especial de auditoría
110. Como parte de la evaluación de riesgos descrita en el párrafo 102, el auditor
debiera determinar cual de los riesgos identificados, son a juicio del auditor,
riesgos que requieren de una consideración especial de auditoría (tales ries-
gos se definen como “riesgos significativos”). Los párrafos 45 y 53 de la
Sección AU 318 describen las consecuencias de identificar un riesgo como
significativo para los procedimientos de auditoría adicionales.
111. La determinación de riesgos significativos, los cuales surgen en la mayoría
de las auditorías, es un tema de juicio profesional del auditor. Al ejercer este
juicio, el auditor debiera considerar el riesgo inherente(19)
para determinar si
la naturaleza del riesgo, la probable magnitud de la potencial representación
incorrecta incluyendo la posibilidad que el riesgo pueda originar múltiples
representaciones incorrectas y la probabilidad que el riesgo ocurra son tales,
que requieren de una consideración especial de auditoría. Las transacciones
de rutina, no complejas que están sujetas a un procesamiento sistemático
tienen menos probabilidad de originar riesgos significativos ya que tienen
riesgos inherentes más bajos. Por otra parte, los riesgos significativos se de-
rivan generalmente de riesgos del negocio que pueden resultar en una repre-
sentación incorrecta significativa. Al considerar la naturaleza de los riesgos,
el auditor debiera considerar varios temas, incluyendo los siguientes:
Si el riesgo es un riesgo de fraude
Si el riesgo se relaciona con recientes e importantes acontecimientos
económicos, de contabilidad u otros acontecimientos y por lo tanto,
requiere de atención específica
La complejidad de las transacciones
(19)
El auditor realiza esto antes de considerar el efecto de los controles identificados relacionados
con el riesgo.
102
Si el riesgo involucra transacciones significativas con partes relacio-
nadas
El grado de subjetividad en la valorización de información financiera
relacionada con los riesgos, especialmente aquellos que implican un
amplio rango de incertidumbre en su valorización
Si los riesgos implican transacciones no rutinarias significativas que
están fuera del curso normal de los negocios de la entidad, o que de
otro modo parecen inusuales.
112. Los riesgos significativos se relacionan a menudo con importantes transac-
ciones no rutinarias y asuntos de juicio. Las transacciones no rutinarias son
transacciones que son inusuales, sea debido a su tamaño o naturaleza y que
por lo tanto ocurren con poca frecuencia. Los asuntos de juicio pueden in-
cluir el desarrollo de estimaciones contables para los cuales exista una im-
portante incertidumbre en su medición.
113. Los riesgos de representaciones incorrectas significativas pueden ser mayo-
res para los riesgos relacionados con las transacciones no rutinarias que sur-
gen de asuntos como los siguientes:
Mayor intervención de la Administración para especificar el trata-
miento contable
Mayor intervención manual para la recopilación y procesamiento de
datos
Cálculos o principios de contabilidad complejos
La naturaleza de transacciones no rutinarias, la cual puede dificultar
la implementación de controles efectivos sobre los riesgos por parte
de la entidad
Transacciones significativas con partes relacionadas
114. Los riesgos de representaciones incorrectas significativas pueden ser mayo-
res para los riesgos relacionados con asuntos de juicio significativos que re-
quieran el desarrollo de estimaciones contables originadas de temas como
los siguientes:
Los principios de contabilidad para estimaciones contables o el reco-
nocimiento de ingresos pueden estar sujetos a interpretaciones dife-
rentes.
103
El juicio requerido puede ser subjetivo o complejo o puede requerir
de supuestos sobre los efectos de hechos futuros, por ejemplo, jui-
cios sobre valores justos.
115. Para los riesgos significativos, en la medida que el auditor aún no lo haya
efectuado, éste debiera evaluar el diseño de los controles relacionados de la
entidad, incluyendo las actividades de control pertinentes y determinar si
han sido implementados. Un entendimiento de los controles de la entidad re-
lacionados con los riesgos significativos debiera proporcionar al auditor con
información adecuada para desarrollar un enfoque de auditoría efectivo. La
Administración debiera estar conciente de los riesgos significativos. Sin
embargo, los riesgos relacionados con temas no rutinarios o de juicio signi-
ficativos, tienen menor probabilidad de estar sujetos a controles de rutina.
Por lo tanto, el entendimiento del auditor respecto a si la entidad ha diseña-
do e implementado controles para tales riesgos significativos incluye si y
cómo, la Administración responde a los riesgos y si las actividades de con-
trol tales como la revisión de supuestos por parte de la Administración Su-
perior o por expertos, procesos formales para estimaciones o aprobación por
los encargados del Gobierno Corporativo se han implementado para abordar
los riesgos. Por ejemplo, donde existen hechos no recurrentes, tales como la
recepción de un aviso de una demanda significativa, la consideración de la
respuesta de la entidad a tales temas incluirá si han sido referidos a los ex-
pertos apropiados (tales como un asesor legal interno o externo), y si se ha
hecho una evaluación del efecto potencial y cómo se propone que las cir-
cunstancias sean reveladas en los estados financieros.
116. Si la Administración no ha respondido apropiadamente implementando con-
troles sobre los riesgos significativos y si, como resultado de esto, a juicio
del auditor, existe una deficiencia significativa o debilidad importante en el
control interno de la entidad sobre el proceso de preparación y entrega de in-
formación financiera, él debiera comunicar este asunto a las personas encar-
gadas del Gobierno Corporativo. En estas circunstancias, el auditor también
debiera considerar las implicancias que ésto tiene para su evaluación de
riesgos.
Riesgos por los cuales los procedimientos sustantivos por sí sólos no propor-
cionan suficiente y apropiada evidencia de auditoría
117. Como parte de la evaluación de riesgos descrita en el párrafo 102, el auditor
debiera evaluar el diseño y determinar la implementación de los controles de
la entidad, incluyendo las actividades de control pertinentes sobre esos ries-
gos para los cuales, a juicio del auditor, a nivel de la afirmación pertinente,
no es posible o práctico reducir el riesgo de detección a un nivel aceptable-
mente bajo con la evidencia obtenida únicamente de los procedimientos sus-
tantivos. Las consecuencias de la identificación de dichos riesgos para los
104
procedimientos de auditoría adicionales son descritos en el párrafo 24 de la
Sección AU 318.
118. El entendimiento del sistema de información de la entidad pertinente al pro-
ceso de preparación y entrega de información financiera permite al auditor
identificar los riesgos de representaciones incorrectas significativas relacio-
nadas directamente con el registro de las clases de transacciones rutinarias o
saldos de cuentas y la preparación de estados financieros fiables. Éstos in-
cluyen los riesgos de procesamiento inexacto o incompleto. Generalmente,
tales riesgos se relacionan con las clases de transacciones significativas, ta-
les como ventas, adquisiciones e ingresos y egresos de caja.
119. Las características de transacciones de negocios de rutina diaria permiten a
menudo un procesamiento altamente automatizado con mínima o ninguna
intervención manual. En tales circunstancias, puede no ser posible efectuar
sólo procedimientos sustantivos en relación al riesgo. Por ejemplo, en cir-
cunstancias donde una cantidad significativa de la información de una enti-
dad se inicia, autoriza, registra, procesa o se informa electrónicamente, co-
mo en un sistema integrado, el auditor puede determinar que no es posible
diseñar procedimientos sustantivos efectivos que por sí mismos proporcio-
narían suficiente y apropiada evidencia de auditoría que las clases de tran-
sacciones pertinentes o saldos de cuentas no están representados incorrecta-
mente en forma significativa. En tales casos, la evidencia de auditoría puede
estar disponible solamente en forma electrónica y lo apropiado y su sufi-
ciencia dependen generalmente de la efectividad de los controles sobre su
exactitud e integridad. Además, el potencial para la iniciación o alteración
indebida de información que pueda ocurrir y no ser detectada puede ser ma-
yor si la información es iniciada, autorizada, registrada, procesada o infor-
mada solamente en forma electrónica y los controles apropiados no están
operando de manera efectiva.
120. Ejemplos de situaciones en las cuales el auditor puede encontrar imposible
diseñar procedimientos sustantivos efectivos que proporcionen por sí mis-
mos suficiente y apropiada evidencia de auditoría que ciertas afirmaciones
pertinentes no están representadas incorrectamente en forma significativa
incluyen los siguientes:
Una entidad que realiza sus negocios utilizando TI para iniciar órde-
nes para la compra y entrega de bienes basada en reglas predetermi-
nadas de qué ordenar y de qué cantidades y también para pagar las
cuentas por pagar relacionadas, a base de decisiones generadas por el
sistema, iniciadas en la recepción confirmada de bienes y las condi-
ciones de pago. Ningún otro tipo de documentación de órdenes colo-
cadas o de bienes recibidos es producido o mantenido a través de
otro sistema que no sea el de TI.
105
Una entidad que presta servicios a los clientes por medios electróni-
cos (por ejemplo, un proveedor de servicios de Internet o una com-
pañía de telecomunicaciones) y utiliza TI para crear un registro de
los servicios prestados a sus clientes, para iniciar y procesar sus fac-
turaciones y automáticamente registrar tales montos en registros con-
tables electrónicos que son parte del sistema utilizado para producir
los estados financieros de la entidad.
Revisión de la evaluación de riesgos
121. La evaluación del auditor de los riesgos de representaciones incorrectas sig-
nificativas a nivel de la afirmación pertinente se basa en la evidencia de au-
ditoría disponible y puede cambiar durante el transcurso de la auditoría al
obtener evidencia de auditoría adicional. Particularmente, la evaluación del
riesgo se puede basar en una expectativa que los controles están operando
efectivamente para prevenir o detectar y corregir representaciones incorrec-
tas significativas a nivel de la afirmación pertinente. Al efectuar pruebas de
los controles para obtener evidencia de auditoría sobre la efectividad de la
operación, el auditor puede obtener evidencia de auditoría que los controles
no están operando efectivamente en momentos pertinentes durante la audi-
toría. De igual manera, al efectuar procedimientos sustantivos, el auditor
puede detectar representaciones incorrectas por montos o por frecuencias
que son mayores que aquellas contempladas en la evaluación de riesgos del
auditor. Cuando el auditor obtiene evidencia de auditoría después de efec-
tuar procedimientos de auditoría adicionales que tiende a contradecir la evi-
dencia de auditoría sobre la cual el auditor basó originalmente la evaluación,
el auditor debiera modificar la evaluación y consecuentemente debiera
además modificar los procedimientos de auditoría planificados. Ver los
párrafos 70 y 74 de la Sección AU 318 para guías adicionales.
Documentación de auditoría
122. El auditor debiera documentar:
a. El análisis producto de la reunión entre los miembros del equipo de
auditoría respecto a la susceptibilidad de los estados financieros de la
entidad a representaciones incorrectas significativas debido a errores
o fraude, incluyendo cómo y cuándo se efectúo el análisis, el tema
analizado, los miembros del equipo de auditoría que participaron y
las decisiones importantes alcanzadas en cuanto a las respuestas pla-
nificadas a nivel de los estados financieros y de las afirmaciones per-
tinentes.
b. Los elementos claves del entendimiento obtenido respecto a cada
uno de los aspectos de la entidad y de su entorno identificados en el
párrafo 21, incluyendo cada uno de los componentes de control in-
106
terno identificados en el párrafo 41, para evaluar los riesgos de re-
presentaciones incorrectas significativas de los estados financieros,
las fuentes de información de las cuales se obtuvo el entendimiento y
los procedimientos de evaluación de riesgos.
c. La evaluación de los riesgos de representaciones incorrectas signifi-
cativas a nivel de los estados financieros y a nivel de las afirmacio-
nes pertinentes según lo requerido por el párrafo 102 y la base para
la evaluación.
d. Los riesgos identificados y los controles relacionados evaluados pro-
ducto de los requerimientos en los párrafos 110 y 117.
123. La manera en la cual estos temas son documentados es para que el auditor lo
determine utilizando su juicio profesional. La Sección AU 339, Documenta-
ción de Auditoría, proporciona una guía general respecto al propósito, con-
tenido, propiedad y confidencialidad de la documentación de auditoría. Los
ejemplos de técnicas comunes utilizadas individualmente o en conjunto in-
cluyen descripciones narrativas, cuestionarios, listados de verificación y
diagramas de flujos. Dichas técnicas también pueden ser útiles al documen-
tar la evaluación del auditor de los riesgos de representaciones incorrectas
significativas a nivel general de los estados financieros y de las afirmaciones
pertinentes. La forma y alcance de esta documentación está influenciada por
la naturaleza, tamaño y complejidad de la entidad y de su entorno, incluyen-
do su control interno y la disponibilidad de información de la entidad y de la
metodología de auditoría específica y la tecnología utilizada en el curso de
la auditoría. Por ejemplo, la documentación del entendimiento de un sistema
de información complejo, en el cual un gran volumen de transacciones es
electrónicamente iniciado, autorizado, registrado, procesado o informado,
puede incluir diagramas de flujo, cuestionarios o diagramas de decisión. Pa-
ra un sistema de información que hace uso limitado o nulo de TI o para el
cual se procesan pocas transacciones (por ejemplo, deuda a largo plazo), do-
cumentación en la forma de un memorándum puede ser suficiente. Gene-
ralmente, mientras más compleja sea la entidad y su entorno, incluyendo su
control interno y mientras más extensivos sean los procedimientos de audi-
toría efectuados por el auditor, más extensiva debiera ser la documentación
de su trabajo. La metodología de auditoría específica y la tecnología utiliza-
da en el curso de la auditoría también afectará la forma y alcance de la do-
cumentación.
107
Anexo A
Entendimiento de la entidad y de su entorno
A1. Este Anexo proporciona guías adicionales sobre temas que el auditor puede
considerar al obtener un entendimiento de la industria y de los factores regu-
latorios y otros factores externos que afectan a la entidad, la naturaleza de
ella, objetivos, estrategias de la entidad, los riesgos del negocio relaciona-
dos, la medición y revisión del desempeño financiero de la entidad. Los
ejemplos que se proporcionan cubren una amplia gama de temas aplicables a
muchos trabajos, sin embargo, no todos los temas son pertinentes para cada
trabajo y la lista de ejemplos no está necesariamente completa. Guías adi-
cionales sobre el control interno se encuentra en el Anexo B.
Factores de la industria, de las regulaciones y de otros
A2. Ejemplos de temas que un auditor puede considerar incluyen lo siguiente:
Condiciones de la industria
— El mercado y la competencia, incluyendo la demanda, capa-
cidad y competencia de precios
— Actividad cíclica o de temporada
— Tecnología relacionada con los productos de la entidad
— Disponibilidad de abastecimiento y costo
Entorno regulatorio
— Principios de contabilidad y prácticas específicas de la indus-
tria
— Estructura regulatoria que afecta a la industria
— Legislación y regulación que afectan significativamente las
operaciones de la entidad
Requerimientos regulatorios
Actividades de supervisión directa
— Impuestos (a la empresa y otros)
— Políticas gubernamentales que afectan la conducta de los ne-
gocios de la entidad
Monetaria, incluyendo controles de cambio sobre la
moneda extranjera
Fiscal
Incentivos financieros (por ejemplo, programas de
ayuda gubernamental)
Aranceles y restricciones al comercio
— Requerimientos ambientales que afectan a la industria y a los
negocios de la entidad
Otros factores externos que afectan los negocios de la entidad
108
— Nivel general de actividad económica (por ejemplo, recesión,
crecimiento)
— Tasas de interés y disponibilidad de financiamiento
— Inflación y revaluación de la moneda
Naturaleza de la entidad
A3. Ejemplos de temas que un auditor puede considerar incluyen lo siguiente:
Operaciones del negocio
— Naturaleza de las fuentes de ingresos (por ejemplo, fabrican-
te, mayorista, banca, seguros u otros servicios financieros,
comercio de importación y exportación, servicios públicos,
transporte, productos y servicios tecnológicos)
— Productos o servicios y mercados (por ejemplo, importantes
clientes y contratos, condiciones de pago, márgenes de utili-
dad, participación en el mercado, competidores, exportacio-
nes, políticas de fijación de precios, reputación de los produc-
tos, garantías, atrasos de entrega, tendencias, estrategia de
marketing, objetivos y procesos de fabricación)
— Conducta de las operaciones (por ejemplo, etapas y métodos
de producción, afiliadas o divisiones, entrega de productos y
servicios y detalles de operaciones a la baja o en aumento)
— Alianzas, entidades en control conjunto y actividades encar-
gadas a terceros
— Participación en comercio electrónico, incluyendo activida-
des de venta y de marketing por Internet
— Dispersión geográfica y segmentación de la industria
— Ubicación de las instalaciones de producción, bodegas y ofi-
cinas
— Clientes claves
— Importantes proveedores de bienes y servicios (por ejemplo,
contratos de largo plazo, estabilidad de suministro, condicio-
nes de pago, importaciones y métodos de entrega como el
“justo a tiempo”)
— Empleo (por ejemplo, por localidad, disponibilidad de recur-
sos humanos, niveles de salario, acuerdos sindicales, pensio-
nes y otros beneficios post-empleo, acciones o acuerdos por
bonos de incentivos y regulación gubernamental respecto a
temas de empleo)
— Actividades y gastos de investigación y desarrollo
— Transacciones con partes relacionadas
Inversiones
— Adquisiciones, fusiones o enajenaciones de negocios (plani-
ficadas o recientemente efectuadas)
109
— Inversiones y acuerdos por garantías y préstamos
— Actividades de inversión, incluyendo inversiones en plantas y
equipos y en tecnología y cualquier cambio reciente o plani-
ficado
— Inversiones en entidades que no consolidan sus estados fi-
nancieros, incluyendo, sociedades de personas, de capital de
riesgo y entidades de cometido especial
— Etapa del ciclo de vida de la empresa (inicio, crecimiento,
madurez, declinación)
Financiamiento
— Estructura del grupo, esto es, afiliadas importantes y entida-
des coligadas, incluyendo estructuras consolidadas y no con-
solidadas
— Estructura de deudas, incluyendo “covenants”, restricciones,
garantías y acuerdos financieros que no se incluyen en el ba-
lance general
— Arriendo de propiedades, plantas o equipos para su uso en el
negocio
— Dueños de la entidad (reputación y experiencia de negocios
local y extranjera)
— Partes relacionadas
— Uso de instrumentos financieros derivados
Proceso de preparación y entrega de información financiera
— Principios de contabilidad y prácticas específicas de industria
— Prácticas de reconocimiento de los ingresos
— Contabilización a valor justo
— Existencias (por ejemplo, localidades y cantidades)
— Activos, pasivos y transacciones en moneda extranjera
— Aspectos importantes específicas a la industria (por ejemplo,
préstamos e inversiones en el caso de bancos, cuentas por co-
brar y existencias para fabricantes, investigación y desarrollo
para industria farmacéutica)
— Contabilización de transacciones complejas e inusuales, in-
cluyendo aquellas en áreas controversiales o emergentes (por
ejemplo, contabilización para las compensaciones basadas en
pagos con acciones)
— Presentación y revelación en los estados financieros
Objetivos, estrategias y riesgos relacionados al negocio
A4. Ejemplos de temas que un auditor puede considerar incluyen lo siguiente:
110
Existencia de objetivos (o sea, cómo la entidad enfrenta factores de
la industria, de la regulación y de otros de carácter externo) por
ejemplo, en relación a lo siguiente:
— Desarrollos industriales (un potencial riesgo relacionado con
los negocios puede ser por ejemplo, que la entidad no cuenta
con personal o experiencia para enfrentar los cambios en la
industria)
— Nuevos productos y servicios (un potencial riesgo relaciona-
do con los negocios puede ser por ejemplo, que exista una
mayor obligación de responder por el producto)
— Expansión del negocio (un potencial riesgo relacionado con
los negocios puede ser por ejemplo, que la demanda no ha si-
do estimada de manera precisa)
— Nuevos requerimientos de contabilidad (un potencial riesgo
relacionado con los negocios puede ser por ejemplo, la im-
plementación incompleta o inadecuada o mayores costos)
— Requerimientos regulatorios (un potencial riesgo relacionado
con los negocios puede ser por ejemplo, que exista una ma-
yor exposición al riesgo legal)
— Requerimientos financieros actuales y prospectivos (un po-
tencial riesgo relacionado con los negocios puede ser por
ejemplo, la pérdida de financiamiento debido a la incapaci-
dad de la entidad para cumplir con sus obligaciones)
— Uso de tecnología de información (TI) (un potencial riesgo
relacionado con los negocios puede ser por ejemplo, que los
sistemas y procesos no sean compatibles)
— Tendencia a tomar riesgos por parte de los gerentes y otros en
el negocio de la entidad
Los efectos de la implementación de una estrategia, particularmente
cualquier efecto que lleve a nuevos requerimientos de contabilidad
(un potencial riesgo relacionado con los negocios puede ser por
ejemplo, su implementación incompleta o indebida)
Medición y revisión del desempeño financiero de la entidad
A5. Ejemplos de temas que un auditor puede considerar, incluyen:
Ratios claves y estadísticas de las operaciones
Indicadores claves de desempeño
Medición del desempeño de empleados y de las políticas de incenti-
vos y compensación
Tendencias
111
Utilización de pronósticos, presupuestos y análisis de variaciones
Informes de los analistas e informes de empresas clasificadoras de
riesgo
Análisis de la competencia
Desempeño financiero por período (crecimiento de ingresos, rentabi-
lidad y apalancamiento financiero)
112
Anexo B
Componentes del control interno
B1. Según lo expuesto en el párrafo 41 y descrito en los párrafos 67 al 101, el
control interno se compone de la siguiente manera:
a. Ambiente de control
b. Evaluación de riesgos
c. Sistemas de información y de comunicaciones
d. Actividades de control
e. Monitoreo
Este Anexo explica en mayor detalle estos componentes y en que forma se
relacionan con la auditoría de estados financieros.
Ambiente de control
B2. El ambiente de control establece el tono de una organización, influenciando
la conciencia de control de su gente. Es la base para un control interno efec-
tivo, proporcionando disciplina y estructura.
B3. El ambiente de control abarca los siguientes elementos:
a. Comunicación y cumplimiento de los valores de integridad y éticos.
La efectividad de los controles no puede ser mayor que la integridad
y los valores éticos de las personas que los crean, administran y mo-
nitorean. La integridad y los valores éticos son elementos esenciales
del ambiente de control que influencian la efectividad del diseño, la
administración y el monitoreo de otros componentes del control in-
terno. La integridad y el comportamiento ético son el resultado de las
normas éticas y de comportamiento de la entidad, como éstas se co-
munican y como se refuerzan en la práctica. Incluyen las acciones de
la Administración para remover o reducir los incentivos y tentacio-
nes que puedan incitar al personal a involucrarse en actos deshones-
tos, ilegales o no éticos. También incluyen la comunicación de los
valores de la entidad y las normas de comportamiento al personal a
través de declaraciones de políticas, códigos de conducta y por el ac-
tuar específico.
b. Compromiso con la competencia. La competencia es el conocimien-
to y las habilidades necesarias para cumplir con tareas que definen el
113
trabajo de cada persona. El compromiso con la competencia incluye
la consideración por la Administración de los niveles de competencia
para trabajos en particular y cómo aquellos niveles se traducen en
habilidades y conocimiento requeridos.
c. Participación de los encargados del Gobierno Corporativo. La con-
ciencia de control de una entidad está significativamente influencia-
da por quienes están encargados del Gobierno Corporativo. Los atri-
butos incluyen la independencia que tienen los integrantes del Go-
bierno Corporativo de la Administración, la experiencia y la categor-
ía de sus integrantes, el alcance de su participación y el examen rigu-
roso de las actividades de la entidad, lo apropiado de sus actuacio-
nes, la información que recibe, el tipo de preguntas complejas que
ellos plantean y por las cuales se les exige una respuesta a la Admi-
nistración, como asimismo su interacción con los auditores internos
y externos. La importancia de las responsabilidades de los encarga-
dos del Gobierno Corporativo está reconocida en los códigos de
buenas prácticas y otras normas y guías preparadas para facilitar el
trabajo de los encargados del Gobierno Corporativo. Otras responsa-
bilidades de ellos incluyen la supervisión del diseño y la operación
efectiva de los procedimientos de denuncia de irregularidades y del
proceso de revisión de la efectividad del control interno de la enti-
dad.
d. Filosofía y estilo operativo de la Administración. La filosofía y el es-
tilo operativo abarcan una amplia gama de características. Tales ca-
racterísticas pueden incluir lo siguiente: el enfoque de la Administra-
ción para tomar y monitorear los riesgos de negocio. Como asimis-
mo, actitudes y actuaciones de la Administración hacia el proceso de
preparación y entrega de información financiera (selección conser-
vadora o agresiva de los principios de contabilidad alternativos dis-
ponibles y la debida conciencia y actitud conservadora con la cual se
efectúan las estimaciones contables) y las actitudes de la Adminis-
tración hacia el procesamiento de información y las funciones de
contabilidad y el personal.
e. Estructura organizacional. La estructura organizacional de una enti-
dad proporciona la estructura dentro de la cual sus actividades son
planificadas para lograr que todos los objetivos de la entidad, sean
realizados, controlados y revisados. Establecer una estructura orga-
nizacional pertinente implica considerar áreas clave de autoridad y
responsabilidad y líneas apropiadas de comunicación. Una entidad
desarrolla una estructura organizacional a la medida de sus necesida-
des. Lo apropiado de una estructura organizacional de una entidad,
depende en parte de su tamaño y de la naturaleza de sus actividades.
114
f. Asignación de autoridad y responsabilidad. Este factor incluye como
se asigna la autoridad y la responsabilidad para las actividades de las
operaciones y como se establecen las relaciones de comunicación y
las jerarquías de autorización. También incluye políticas relaciona-
das a prácticas de negocios apropiadas, conocimiento y experiencia
del personal clave y los recursos proporcionados para realizar sus
deberes. Además, incluye políticas y comunicaciones dirigidas a
asegurar que todo el personal entienda los objetivos de la entidad,
sepan cómo sus acciones individuales se interrelacionan y contribu-
yen a aquellos objetivos y reconozcan cómo y por qué ellos serán
responsables de rendir cuenta.
g. Políticas y prácticas de Recursos Humanos. Las políticas y prácticas
de recursos humanos se relacionan con la contratación, orientación,
capacitación, evaluación, consejería, compensación y las relaciona-
das con medidas correctivas. Por ejemplo, las normas para la contra-
tación de las personas más calificadas con énfasis en los anteceden-
tes educacionales, la experiencia laboral anterior, logros alcanzados
anteriormente y evidencia de integridad y comportamiento ético,
demuestran el compromiso de una entidad con personas competentes
y fiables. Las políticas de capacitación que comunican los roles
prospectivos y responsabilidades que incluyen prácticas tales como
las escuelas de capacitación y seminarios ilustran los niveles espera-
dos de desempeño y comportamiento. Los ascensos basados en eva-
luaciones de desempeño periódicas, demuestran el compromiso de la
entidad con el avance del personal calificado a niveles de responsa-
bilidad más altos.
Aplicación a pequeñas y medianas entidades
B4. Las pequeñas y medianas entidades pueden implementar los elementos del
ambiente de control de manera diferente que las entidades más grandes. Por
ejemplo, las entidades más pequeñas pueden no tener un código de conducta
escrito, en vez de eso, desarrollan una cultura que enfatiza la importancia de
la integridad y el comportamiento ético a través de la comunicación verbal o
por el ejemplo dado por la Administración. De igual manera, los encargados
del Gobierno Corporativo en las entidades más pequeñas pueden no incluir
miembros independientes o externos.
Proceso de evaluación de riesgos de la entidad
B5. El proceso de evaluación de riesgos de una entidad para identificar y res-
ponder a los riesgos del negocio y a sus resultados. Para propósitos del pro-
ceso de preparación y entrega de información financiera, el proceso de eva-
luación de riesgos de una entidad incluye cómo la Administración identifica
los riesgos pertinentes para la preparación de estados financieros presenta-
115
dos razonablemente de acuerdo con principios de contabilidad generalmente
aceptados, estima su importancia, evalúa la probabilidad que ocurra y decide
las acciones para administrarlos. Por ejemplo, el proceso de evaluación de
riesgos de una entidad puede abordar cómo la entidad considera la posibili-
dad de transacciones no registradas o identifica y analiza las estimaciones
importantes registradas en los estados financieros. Los riesgos pertinentes al
proceso de preparación y entrega de información financiera fiable también
se relacionan con hechos o transacciones específicos.
B6. Los riesgos pertinentes al proceso de preparación y entrega de información
financiera incluyen hechos externos e internos y circunstancias que pueden
ocurrir y afectar de manera adversa la capacidad de una entidad para iniciar,
autorizar, registrar, procesar e informar antecedentes financieros consecuen-
tes con las afirmaciones de la Administración en los estados financieros.
Una vez que los riesgos son identificados, la Administración considera su
importancia, la probabilidad de que ocurran y cómo debieran ser adminis-
trados. La Administración puede iniciar planes, programas o acciones para
abordar riesgos específicos o puede decidir aceptar un riesgo debido al costo
u otras consideraciones. Los riesgos pueden surgir o cambiar debido a cir-
cunstancias como las siguientes:
Cambios en el entorno de la operación. Los cambios en el entorno
regulatorio o de la operación pueden resultar en cambios en las pre-
siones competitivas y en riesgos significativamente diferentes.
Personal nuevo. El personal nuevo puede tener un enfoque o enten-
dimiento diferente del control interno.
Sistemas de información nuevos o mejorados. Los importantes y
rápidos cambios en los sistemas de información pueden cambiar los
riesgos relacionados con el control interno.
Crecimiento rápido. La importante y rápida expansión de las opera-
ciones pueden forzar los controles y aumentar el riesgo de un colap-
so de éstos.
Nueva tecnología. Incorporar nuevas tecnologías a los procesos de
producción o en los sistemas de información puede cambiar el riesgo
asociado con el control interno.
Nuevos modelos de negocios, productos o actividades. Ingresar a
áreas de negocios o transacciones con las cuales una entidad tiene
poca experiencia puede presentar nuevos riesgos asociados con el
control interno.
116
Reestructuraciones corporativas. Las reestructuraciones pueden es-
tar acompañadas por reducciones de personal y cambios en la super-
visión y segregación de funciones que pueden cambiar el riesgo aso-
ciado con el control interno.
Expansión de operaciones en el extranjero. La expansión o adquisi-
ción de operaciones en el extranjero trae consigo nuevos riesgos y a
menudo únicos que pueden afectar el control interno, por ejemplo,
riesgos adicionales o cambios respecto de transacciones en moneda
extranjera.
Nuevos pronunciamientos de contabilidad. La adopción de nuevos
principios de contabilidad o cambios en éstos pueden afectar los
riesgos al preparar estados financieros.
Aplicación a pequeñas y medianas entidades
B7. Los conceptos básicos del proceso de evaluación de riesgos de la entidad
son pertinentes para cada entidad, sin importar su tamaño, pero es probable
que el proceso de evaluación de riesgos sea menos formal y estructurado en
las entidades pequeñas y medianas que en las más grandes. Todas las enti-
dades debieran tener establecido objetivos del proceso de preparación y en-
trega de información financiera, pero pueden estar reconocidos implícita-
mente más que explícitamente en las entidades más pequeñas. La Adminis-
tración puede enterarse de riesgos relacionados a estos objetivos a través de
una participación personal directa con los empleados y terceros.
El sistema de información, el cual incluye los procesos de negocios pertinentes
relacionados con la preparación y entrega de información financiera, como
asimismo de las comunicaciones
B8. Un sistema de información comprende infraestructura (hardware y otros
componentes físicos), software, personas, procedimientos (manuales y de
tecnología de información) y datos. La infraestructura y el software no exis-
tirán o tendrán menor importancia en los sistemas que son principal y exclu-
sivamente manuales. Muchos sistemas de información descansan sustan-
cialmente en TI.
B9. El sistema de información pertinente para los objetivos del proceso de pre-
paración y entrega de información financiera, el cual incluye el sistema de
contabilidad, consiste en procedimientos, sean de TI o manuales y registros
establecidos para iniciar, autorizar, registrar, procesar e informar las tran-
sacciones (así como también los hechos y condiciones) y mantener una res-
ponsabilidad de rendir cuenta por los activos, pasivos y patrimonio relacio-
nados. Las transacciones se pueden iniciar manualmente o de manera au-
tomática por procedimientos programados. La autorización incluye el proce-
117
so de aprobación de transacciones por el nivel apropiado de la Administra-
ción. El registro incluye identificar y capturar la información pertinente para
las transacciones o hechos. El procesamiento incluye funciones tales como
la verificación y la validación, el cálculo, la medición, la valorización, el re-
sumen y la conciliación ya sean realizados por procedimientos de TI o ma-
nuales. Informar se relaciona con la preparación de información financiera
así como otra información, en formato electrónico o impreso, que la entidad
utiliza para medir y revisar su desempeño financiero y otras funciones. La
calidad de la información generada por el sistema afecta la capacidad de la
Administración para tomar decisiones apropiadas para administrar y contro-
lar las actividades de la entidad y preparar información financiera fiable.
B10. En consecuencia, un sistema de información comprende métodos y registros
que:
Identifican y registran todas las transacciones válidas.
Describen oportunamente las transacciones en detalle suficiente para
permitir la clasificación adecuada de transacciones para el proceso
de preparación y entrega de información financiera.
Medir los valores de las transacciones de una manera que permita
registrar su apropiado valor monetario en los estados financieros.
Determinar el período de tiempo en el cual las transacciones ocurrie-
ron para permitir el registro de transacciones en el apropiado período
contable.
Presentar apropiadamente las transacciones y las respectivas revela-
ciones en los estados financieros.
B11. La comunicación implica proporcionar un entendimiento de los roles indivi-
duales y de las responsabilidades relacionadas con el control interno sobre el
proceso de preparación y entrega de información financiera y pueden tomar
formas como manuales de políticas y manuales para el proceso de prepara-
ción y entrega de información financiera. Además, incluye el grado en que
el personal entiende cómo sus actividades en el sistema de proceso de prepa-
ración y entrega de la información financiera, se relacionan con el trabajo de
otros y los medios para informar excepciones a un apropiado nivel superior
dentro de la entidad. Los canales de comunicación abiertos ayudan a asegu-
rar que las excepciones sean informadas y se actúe de acuerdo a éstas.
B12. La comunicación toma la forma de manuales de políticas, de manuales del
proceso de preparación y entrega de información contable y financiera y de
memorándums. La comunicación también se puede realizar por medios
electrónicos, verbal o a través de actuaciones de la Administración.
118
Aplicación a pequeñas y medianas entidades
B13. Es probable que los sistemas de información y los procesos de negocios re-
lacionados pertinentes al proceso de preparación y entrega de información
financiera en organizaciones pequeñas o medianas sean menos formales que
en las organizaciones más grandes, pero su rol es igual de importante. Las
entidades pequeñas con una participación activa de la Administración puede
que no necesite descripciones extensivas de los procedimientos contables,
registros contables sofisticados o políticas escritas. La comunicación puede
ser menos formal y más fácil de alcanzar en una compañía pequeña o me-
diana que en una empresa más grande debido al menor tamaño y a los me-
nores niveles de la organización así como la mayor visibilidad y disponibili-
dad de la Administración.
Actividades de control
B14. Las actividades de control son las políticas y los procedimientos que ayudan
a asegurar que las directrices de la Administración se están llevando a cabo,
por ejemplo, que las acciones necesarias se están efectuando para abordar
los riesgos que amenazan el logro de los objetivos de la entidad. Las activi-
dades de control, sean automatizadas o manuales, tienen varios objetivos y
son aplicadas a varios niveles funcionales y organizacionales.
B15. Generalmente, las actividades de control que pueden ser pertinentes para
una auditoría se pueden categorizar como políticas y procedimientos que in-
cluyen a las siguientes:
Revisiones de desempeño. Estas actividades de control incluyen la
revisión y el análisis del desempeño con presupuestos, pronósticos y
desempeño de períodos anteriores, relacionados con distintos tipos
de información, operacionales o financieras de cada una de ellas,
junto con los análisis de las relaciones y de las actividades investiga-
tivas y correctivas, comparando información interna con fuentes de
información externa y revisando el desempeño funcional o de la ac-
tividad, tales como la revisión de la Administración de un banco, de
los informes de los préstamos de consumo por región y tipos de
préstamos aprobados y cobrados.
Procesamiento de la información. Una serie de controles se realizan
para revisar la precisión, integridad y las autorizaciones de transac-
ciones. Los dos grandes grupos de actividades de control de sistemas
de información son los controles de aplicación y los controles gene-
rales. Los controles de aplicación se utilizan para el procesamiento
de aplicaciones individuales. Estos controles ayudan a asegurar que
las transacciones ocurrieron, están autorizadas y están precisa y
119
completamente registradas y procesadas. Ejemplos de controles de
aplicación incluyen la revisión de la precisión aritmética de los regis-
tros, la mantención y revisión de saldos de cuentas y del balance ge-
neral, los controles automatizados tales como las pruebas de verifi-
cación de la entrada de datos, pruebas de secuencia numérica y un
seguimiento manual de informes de excepción. Los controles genera-
les son políticas y procedimientos que se relacionan a muchas apli-
caciones y respaldan el efectivo funcionamiento de los controles de
aplicación ayudando a asegurar la adecuada operación continua de
los sistemas de información. Los controles generales incluyen
comúnmente controles sobre centros de datos y operaciones de red,
adquisición de sistemas de software, cambio y mantención, seguri-
dad de acceso y adquisición de sistema de aplicación, desarrollo y
mantención. Estos controles se aplican para los sistemas centrales,
mini sistemas y los entornos de usuarios finales. Ejemplos de dichos
controles generales son los controles de cambios de programa, con-
troles que restringen el acceso a programas o información, controles
sobre la implementación de nuevas actualizaciones de paquetes de
aplicaciones de software y controles sobre sistemas de software que
restringen el acceso o monitorean el uso de aplicaciones de sistemas
que pudieran cambiar la información financiera o los registros sin
dejar rastro de auditoría.
Controles físicos. Estas actividades abarcan la seguridad física de los
activos, incluyendo protecciones adecuadas tales como vigilar insta-
laciones y limitar acceso a activos y registros, autorización de acce-
sos a programas computacionales y archivos de datos, conteo y com-
paración periódica con los montos anotados en los registros de con-
trol (por ejemplo, comparando arqueos de caja, valores y conteos de
inventario con los registros contables). El grado al cual los controles
físicos pretendían prevenir el hurto o robo de activos es pertinente
para la fiabilidad de la preparación de estados financieros y por ende
de la auditoría, pero depende de las circunstancias tales como si los
activos son altamente susceptibles a una apropiación indebida. Por
ejemplo, estos controles comúnmente no serían pertinentes cuando
se detectara cualquier pérdida de existencias gracias a una inspección
física periódica y fuera registrada en los estados financieros. Sin em-
bargo, si para efectos del proceso de preparación y entrega de infor-
mación financiera la Administración se apoya exclusivamente en los
registros de inventarios perpetuos, los controles de seguridad física
serían pertinentes para la auditoría.
Segregación de funciones. El asignar a diferentes personas las res-
ponsabilidades de autorización de transacciones, registro de transac-
ciones y mantener la custodia de los activos pretende reducir las
oportunidades de permitirle a cualquier persona que esté en una po-
120
sición de perpetrar y ocultar errores o fraudes en el curso normal de
sus funciones. Ejemplos de segregación de funciones incluyen la
preparación de información financiera, revisión y aprobación de
conciliaciones y la aprobación y control de documentos.
B16. Ciertas actividades de control pueden depender de la existencia de políticas
apropiadas de alto nivel establecidas por la Administración o los encargados
del Gobierno Corporativo. Por ejemplo, los controles de autorización pue-
den estar delegados bajo guías establecidas tales como los criterios de inver-
sión establecidos por los encargados del Gobierno Corporativo, de manera
alternativa, las transacciones no rutinarias tales como las adquisiciones o
enajenaciones de importancia pueden requerir aprobación específica de alto
nivel, incluyendo en algunos casos la de los accionistas.
Aplicación a pequeñas y medianas entidades
B17. Es probable que los conceptos que subyacen a las actividades de control en
las organizaciones pequeñas y medianas sean similares a las de las entidades
más grandes, pero la formalidad con la cual operan varía. Además, las enti-
dades más pequeñas pueden encontrar que ciertos tipos de actividades de
control no son pertinentes debido a los controles aplicados por la Adminis-
tración. Por ejemplo, cuando la Administración no delega la autoridad para
aprobar las ventas al crédito, compras importantes y la utilización de las
líneas de crédito puede proporcionar un fuerte control sobre aquellas activi-
dades disminuyendo o eliminando la necesidad de actividades de control
más detalladas. Una apropiada segregación de funciones presenta a menudo
dificultades en las organizaciones más pequeñas. Sin embargo, incluso las
compañías que tienen sólo unos pocos empleados pueden ser capaces de
asignar responsabilidades para lograr una segregación apropiada o, si eso no
es posible, utilizar la supervisión de la Administración en las actividades in-
compatibles para lograr los objetivos de control.
Monitoreo de los controles
B18. Una importante responsabilidad de la Administración es establecer y mante-
ner el control interno de manera continua. El monitoreo de los controles por
parte de la Administración incluye considerar si están operando como se es-
peraba y si son modificados apropiadamente a los cambios en las condicio-
nes. El monitoreo de los controles puede incluir actividades como la revi-
sión de la Administración respecto a si las conciliaciones bancarias están
siendo preparadas oportunamente, la evaluación de los auditores internos del
cumplimiento del personal de ventas con las políticas de la entidad en cuan-
to a contratos de venta y una supervisión del departamento legal respecto al
cumplimiento de las políticas de prácticas éticas y de negocios de la entidad.
121
B19. El monitoreo de controles es un proceso para evaluar la calidad de desem-
peño de control interno en el tiempo. Implica evaluar el diseño y la opera-
ción de controles oportunamente y tomar las acciones correctivas necesarias.
El monitoreo es realizado para asegurar que los controles sigan operando
efectivamente. Por ejemplo, si la puntualidad y precisión de las conciliacio-
nes bancarias no son monitoreadas, es probable que el personal deje de pre-
pararlas. El monitoreo de controles es alcanzado a través de actividades de
monitoreo continuas, evaluaciones separadas o una combinación de ambas.
B20. Las actividades de monitoreo constantes son incorporadas en las actividades
normales recurrentes de una entidad e incluyen actividades regulares de ad-
ministración y supervisión. Los gerentes de ventas, de adquisiciones y de
producción a niveles de producto, divisionales y corporativos están en con-
tacto con las operaciones y pueden cuestionar los informes que difieran sig-
nificativamente de su conocimiento de ellas.
B21. En muchas entidades, los auditores internos o el personal que realiza fun-
ciones similares contribuyen al monitoreo de los controles de una entidad a
través de evaluaciones independientes. Ellos regularmente proporcionan in-
formación sobre el funcionamiento del control interno, dando considerable
atención a evaluar el diseño y operación del control interno. Ellos comuni-
can la información sobre las fortalezas y debilidades y entregan recomenda-
ciones para mejorarlo.
B22. Las actividades de monitoreo pueden incluir utilizar información de comu-
nicaciones de terceros que pueden indicar problemas o destacar áreas con
necesidad de mejoramiento. Los clientes corroboran implícitamente la in-
formación de facturación pagando sus facturas o reclamando respecto a sus
cobros. Además, los organismos reguladores se pueden comunicar con la
entidad respecto a temas que afectan el funcionamiento del control interno,
por ejemplo enviando comunicaciones sobre exámenes realizados por orga-
nismos reguladores bancarios. La Administración también puede considerar
comunicaciones en relación al control interno de auditores externos al des-
arrollar actividades de monitoreo.
Aplicación a pequeñas y medianas entidades
B23. Es probable que las constantes actividades de monitoreo de entidades pe-
queñas y medianas sean informales y típicamente realizadas como parte de
una administración general de las operaciones de la entidad. La cercana par-
ticipación de la Administración en las operaciones identificará a menudo va-
riaciones significativas de las expectativas y de las imprecisiones en la in-
formación financiera.
122
Anexo C
Condiciones y hechos que podrían indicar riesgos de representaciones inco-
rrectas significativas
C1. Los siguientes son ejemplos de condiciones y hechos que pueden indicar la
existencia de riesgos de representaciones incorrectas significativas. Los
ejemplos cubren un amplio rango de condiciones y hechos. Sin embargo, no
todas las condiciones y hechos son pertinentes para cada trabajo de auditoría
y la lista de ejemplos no está necesariamente completa.
Operaciones en regiones que son económicamente inestables, por
ejemplo, países con una devaluación monetaria considerable o eco-
nomías altamente inflacionarias.
Operaciones expuestas a mercados volátiles, por ejemplo el comer-
cio de futuros.
Alto grado de regulación compleja.
Empresa en marcha y temas de liquidez, incluyendo la pérdida de
importantes clientes.
Logro marginal de los objetivos estratégicos explícitamente estable-
cidos.
Restricciones sobre la disponibilidad de capital y financiamiento.
Cambios en la industria en la cual opera la entidad.
Cambios en la cadena de proveedores.
Desarrollo u oferta de nuevos productos o servicios, o cambiarse a
nuevos giros de negocios.
Expansión a nuevas localidades.
Cambios en la entidad, tales como adquisiciones importantes, reor-
ganizaciones u otros hechos inusuales.
Entidades o divisiones de ésta con probabilidad de venta.
Alianzas complejas y entidades con control conjunto.
123
Uso de financiamiento que no se registra en el balance general, enti-
dades de cometido especial y otros acuerdos financieros complejos.
Importantes transacciones con partes relacionadas.
Falta de personal con las habilidades apropiadas para el proceso de
preparación y entrega de información financiera y contable.
Cambios en el personal clave, incluyendo la salida de ejecutivos cla-
ve.
Debilidades en el control interno, especialmente aquellos no aborda-
dos por la Administración.
Inconsecuencias entre la estrategia de tecnología de información de
la entidad (TI) y sus estrategias de negocios.
Cambios en el entorno de TI.
Instalación de importantes y nuevos sistemas de TI relacionados con
el proceso de preparación y entrega de información financiera.
Indagaciones acerca de las operaciones o resultados financieros de la
entidad por parte de organismos reguladores u otra entidad guberna-
mental.
Representaciones incorrectas anteriores, historial de errores o un
monto significativo de ajustes al fin del período.
Importante cantidad de transacciones no rutinarias o no sistemáticas,
incluyendo transacciones íntercompañías y transacciones de ingresos
significativos al fin del período.
Transacciones que son registradas en base a intenciones de la Admi-
nistración, por ejemplo, refinanciamientos de deuda, activos a ser
vendidos y clasificación de instrumentos de deuda y mobiliarios.
Aplicación de nuevos pronunciamientos contables.
Procesos complejos relacionados con mediciones contables.
Hechos o transacciones que resultan en una incertidumbre significa-
tiva de medición incluyendo estimaciones contables.
124
Litigios pendientes y pasivos contingentes, por ejemplo, garantías de
venta, garantías financieras y obligaciones por reparación medioam-
biental.