Evaluacin del control interno a

procesos y transacciones
Vctor Antonio Ambrosio Jurez

Contabilidad

12.02.2014

38 minutos de lectura

auditoracontrol de gestincontrol internogestin de riesgosriesgo financiero

1. Introduccin
Entender y evaluar el proceso de control interno de la entidad es
responsabilidad del auditor disear pruebas que permitan identificar controles,
riesgos y probar los procesos establecidos en la empresa.

2. Objetivo
De acuerdo con la NIA 330 El objetivo del auditor es obtener suficiente
evidencia apropiada de auditora respecto a los riesgos evaluados de
representacin errnea de importancia relativa, mediante la planeacin e
implementacin de respuestas apropiadas a dichos riesgos.

3. Definiciones
La NIA 330 define los siguientes trminos:
a) Procedimiento Sustantivo: Un procedimiento de auditora diseado para
detectar representaciones errneas de importancia relativa a nivel de
aseveracin.
Los procedimientos sustantivos comprenden:

Pruebas de detalles (de clases

dhttp://www.eumed.net/cursecon/libreria/rgl-genaud/1z.htme
transacciones, saldos de cuentas, revelaciones); y

Procedimientos analticos sustantivos

b) Pruebas de controles: Un procedimiento de auditora diseado para evaluar

la efectividad operativa de los controles para prevenir, o detectar y corregir,
representaciones errneas de importancia relativa a nivel de aseveracin.

Durante el proceso de una auditora de estados financieros, el auditor debe

evaluar y disear los procedimientos que den respuesta a los riesgos
significativos identificados de errores en su auditora, que afecten a los estados
financieros auditados en su conjunto, o bien, a una aseveracin en especfico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de
importancia identificado y evaluado que, en caso de ocurrir, afectara a los
estados financieros o a una aseveracin, de manera significativa. Por lo tanto,
en opinin del auditor, se requiere de una respuesta adecuada en su auditora,
mediante la aplicacin de procedimientos especficos.
En el trabajo realizado en la planeacin de auditora, el auditor identific:

Transacciones significativas y los procesos que las inician, procesan y

registran

Riesgos de negocio que tienen implicaciones significativas en los

estados financieros

Riesgos de fraude

4. Evaluar el Control Interno de la entidad

El entendimiento de evaluacin del control interno debe realizar primero en la
parte de arriba es decir, quienes dirigen y toman decisiones.

A continuacin se listan los cinco componentes del control

interno:
El entorno de control es lo que marca la pauta de una organizacin, o sea
aquella base para influir en la conciencia de control de su personal Es el
fundamento de los dems componentes del control interno, y provee disciplina
y estructura.
La evaluacin del riesgo es la identificacin y el anlisis de los riesgos
relevantes que corre la empresa para el logro de sus objetivos, formando la
base para determinar cmo se deben administrar los riesgos.
Los sistemas de informacin y comunicacin soportan la base para identificar,
capturar e intercambiar informacin en una forma y perodo de tiempo que
permita al personal cumplir con sus responsabilidades.
Las Actividades de Control son las polticas y los procedimientos que deben
seguirse para tener certeza que las instrucciones de la gerencia se llevan a
cabo.
Monitoreo es un proceso para verificar la calidad de desempeo del control
interno a travs del tiempo.

Entorno de Control
La pauta que marca la alta gerenciao sea el entorno o cultura corporativa
dentro de la cual funciona la informacin financiera es el factor ms importante
que contribuye a la integridad del proceso de informacin financiera. En otras
palabras, si la pauta marcada por la gerencia es relajada o poco estricta, un
juego impresionante de reglas y procedimientos escritos lograr poco.
El entorno del control refleja la actitud general, el grado de conciencia y las
acciones de la junta directiva, la gerencia, los dueos y otros concernientes a la
importancia del control y el nfasis en el control sobre las polticas,
procedimientos, mtodos y estructura organizacional de la compaa. El
entorno de control incluye la actitud de la gerencia hacia el desarrollo de
estimaciones contables y en la filosofa para reportar informacin financiera; es
el contexto en que operan el sistema contable y los controles internos.
El entorno del control refleja la actitud general, el grado de conciencia y las
acciones de la junta directiva, la gerencia, los dueos y otros concernientes a la
importancia del control y el nfasis en el control sobre las polticas,
procedimientos, mtodos y estructura organizacional de la compaa. El
entorno de control incluye la actitud de la gerencia hacia el desarrollo de
estimaciones contables y en la filosofa para reportar informacin financiera; es
el contexto en que operan el sistema contable y los controles internos.
En su informe, Internal ControlIntegrated Framework, COSO afirma que
El entorno de control tiene una influencia dominante sobre la manera en que
se estructuran las actividades de negocio, como se establecen los
objetivos y se evalan los riesgos. Tambin influye en las actividades de
control, los sistemas de informacin y comunicacin, y las actividades de
monitoreo. Esto es cierto no solamente con respecto a su diseo, sino
tambin a la forma en que funciona da a da. ..
El entorno del control es la atmsfera dentro de la cual existen los
controles contables de una compaa y se preparan los estados financieros.
Por lo tanto es esencial tener una comprensin del entorno de control para
poder identificar los factores que tienen un efecto dominante sobre el riesgo de
que existan errores en el procesamiento de transacciones y en los juicios que
la gerencia hace cuando prepara estados financieros. Un entorno de control
satisfactorio no garantiza la eficacia de algn control especfico, pero puede ser
un factor positivo al evaluar el riesgo de errores. Un entorno de control eficaz
tambin proporciona una base para esperar que los sistemas contables que
estn funcionando bien en un momento dado del ao continan funcionando
bien el resto del ao. De tal manera, el entorno de control es un ingrediente
bsico para tener controles internos eficaces.
El equipo a cargo del proyecto debe tener en cuenta los siguientes factores
durante la revisin del entorno de control:
Integridad, valores ticos y el comportamiento de los ejecutivos clave

Conciencia de control de la gerencia y estilo de operacin

Compromiso de ser competente
Participacin de la junta directiva y del comit de auditora en el gobierno
(governance) y supervisin del negocio
Estructura adecuada de la organizacin y asignacin de autoridad y
responsabilidades Polticas y prcticas de recursos humanos
Integridad, Valores Eticos y el Comportamiento de Ejecutivos Clave
La integridad y los valores ticos son elementos esenciales del entorno de
control, afectando el diseo, la administracin y el monitoreo de los procesos
clave. La integridad y el comportamiento tico son producto de las normas de la
empresa sobre tica y comportamiento y de la manera de ser comunicadas,
supervisadas y puestas en funcionamiento en la prctica. Incluyen las acciones
que toma la gerencia para reducir o eliminar oportunidades de que el personal
lleve a cabo acciones ilegales, deshonestas o contrarias a la tica. Tambin
incluyen las comunicaciones al personal de los valores de la empresa y sus
normas de comportamiento a travs de pronunciamientos de polticas y cdigos
de conducta, as como por ejemplos dados por sus ejecutivos.

Conciencia de Control y Estilo Operativo de la Gerencia

La gerencia tiene la responsabilidad de dirigir y controlar las operaciones y
establecer, comunicar y monitorear polticas y procedimientos. Cada aspecto
del entorno del control se ve profundamente influenciado por las
acciones y las decisiones (o, en algunos casos, por inaccin e indecisin) de
la gerencia. En un ambiente de control eficaz, la conciencia de control de la
gerencia y su estilo de operar y coordinar, propicia una operacin eficaz de los
procesos y controles y un entorno en que la probabilidad de error se minimice.
La conciencia de control se refiere a la importancia que la gerencia le da a los
controles internos y, al entorno en que ellos funcionan. En gran parte este es un
concepto intangible; es una actitud de la gerencia que, una vez comunicada,
ayuda a lograr que un control adecuado permanezca en su lugar y reduzca la
posibilidad de que controles especficos sean ignorados.

Compromiso de Ser Competentes

El compromiso de ser competentes incluye la consideracin de la gerencia de
los niveles de competencia para puestos especficos y cmo estos niveles se
traducen en requisitos de aptitudes y conocimientos. Entre otros factores que la
gerencia debe considerar, est la naturaleza y el grado de juicio que se debe
usar en una labor especfica y el grado de supervisin que va a necesitar. El
equipo a cargo del proyecto tiene que considerar si el personal parece ser
competente para cumplir sus responsabilidades (por ejemplo, s el personal
tiene el suficiente conocimiento y experiencia en el rea de principios de

contabilidad generalmente aceptados sobre los cuales la compaa va a

reportar).
Participacin de la Junta Directiva y del Comit de Auditora en el Gobierno
(Governance) y Supervisin del Negocio
La junta directiva, a travs de actividades propias y con el soporte de un comit
de auditora, es responsable de la supervisin de los procedimientos y polticas
contables y de reporte de informacin financiera.
Mientras que las actividades y responsabilidades especficas de los comits de
auditora varan y requieren modificaciones o adaptaciones conforme las
circunstancias individuales, la junta directiva tiene una responsabilidad
fiduciaria ante los accionistas y terceros por la presentacin de reportes
financieros confiables.
Como resultado la junta directiva y el comit de auditora deben estar
preocupados de reportar informacin financiera a los accionistas y al pblico
inversionista y deben monitorear las polticas contables de la compaa y los
procesos de auditora interna y auditora independiente.
Al determinar los efectos que tiene la junta directiva y/o el comit de auditora
sobre el entorno del control, el equipo a cargo del proyecto debe considerar la
independencia de la junta directiva y/o el comit de auditora con respecto a la
gerencia, la experiencia y los conocimientos de sus miembros, el grado de
participacin y su escrutinio de las operaciones de la compaa, el grado en
que surgen preguntas difciles y se les da seguimiento con la gerencia y su
interaccin con los auditores internos y los auditores independientes.

Estructura Organizacional y Asignacin de Autoridad y

Responsabilidades
La estructura de organizacin de una empresa seala el marco general para la
planeacin, direccin y el control de las operaciones. Una estructura eficaz
determina la asignacin de responsabilidad, de tal manera que todo el personal
tenga un claro concepto de quin es la persona a quien reportar y cules son
sus responsabilidades.
En su revisin de la estructura de organizacin, el equipo a cargo del proyecto
debe considerar mtodos para (1) asignar autoridad, (2) monitorear
operaciones descentralizadas, (3) asignar y monitorear responsabilidades para
sistemas de informacin (incluyendo el uso de organizaciones de servicio o
service organizations), (4) establecer y monitorear polticas y procedimientos
(e.g., conflicto de intereses, seguridad corporativa y cdigos de conducta) en
toda la organizacin.
El equipo a cargo del proyecto debe concentrarse en la substancia de la
estructura de organizacin y en los mtodos seguidos para asignar autoridad y
responsabilidad, en lugar de concentrarse en su forma. Por consiguiente, el
nivel general de conocimiento y cumplimiento con las polticas y

procedimientos, es tan importante como su monitoreo por parte de la gerencia.

La revisin de la estructura de organizacin tambin es til para que el equipo
a cargo del proyecto determine el grado de segregacin de funciones logrado y
para evaluar los efectos que tienen las deficiencias significativas a este
respecto.

Polticas y Procedimientos de Recursos Humanos

Estas polticas y procedimientos se refieren a la contratacin, orientacin,
entrenamiento, evaluacin, consejera, promocin y compensacin del
personal. La eficacia de las polticas y procedimientos, incluyendo los controles,
depende de las personas que los ejecutan. Por lo tanto, la capacidad e
integridad del personal de la compaa son elementos importantes de su
entorno de control. La habilidad de una empresa para reclutar y contratar
suficiente personal competente y responsable, depende a su vez de las
polticas y prcticas de recursos humanos. Adems, el nivel de competencia y
de integridad del personal dedicado a procesos especficos es uno de los
factores para evaluar la eficacia del control sobre los procesos.

Evaluacin de Riesgo
Todas las empresas, independientemente de su tamao, estructura, naturaleza
o tipo de industria, encuentran riesgos en todos los niveles de su organizacin.
Los riesgos afectan la habilidad que tiene una empresa para sobrevivir y para
competir exitosamente dentro de su industria; para mantener su fortaleza
financiera, su imagen pblica positiva y la calidad general de sus productos o
servicios y su personal. No hay manera prctica de reducir su riesgo a cero.
De hecho, la decisin misma de establecer un negocio, crea un riesgo. La
gerencia debe decidir el nivel de riesgo que prudentemente puede aceptar y
tratar de permanecer dentro de ese nivel.
El proceso de identificacin, anlisis y administracin de riesgos es un
componente crtico de cualquier sistema de control interno eficaz. Tambin
debe reconocerse que siempre est presente el cambio y es fundamental para
un proceso eficaz de evaluacin de riesgo tomar las acciones necesarias para
responder a tales cambios.
Para comprender el proceso de evaluacin de riesgo a nivel de empresa, el
equipo a cargo del proyecto debe considerar factores tales como:
1. Si se han establecido y comunicado los objetivos a nivel de empresa,
incluyendo la manera como estn soportados por planes estratgicos y
complementados a nivel de proceso o de aplicacin.
2. Si se ha establecido un proceso de evaluacin de riesgos que
incluya una estimacin de la importancia de los riesgos, evaluacin de
las probabilidades de que ocurran, y determinacin de las acciones
necesarias.

3. Si se han establecido mecanismos para anticipar, identificar y reaccionar

a situaciones que puedan tener un efecto dramticamente extenso en la
empresa. (Por ejemplo, un comit gerencial de administracin de
activos/pasivos en una institucin financiera, o un grupo de riesgos de
comercializacin de commodities en una empresa manufacturera).
4. Si existen mecanismos para anticipar, identificar y reaccionar a eventos
rutinarios o a actividades que afecten el logro de los objetivos de la
entidad o a nivel de proceso/aplicacin.
5. Si el departamento de contabilidad ha establecido procesos para
identificar cambios significativos en los principios de contabilidad
generalmente aceptados promulgados por las autoridades pertinentes.
6. Si los canales de comunicacin estn facultados para notificar al
departamento de contabilidad los cambios en las prcticas de negocios
de la empresa que pueden afectar el mtodo o el proceso de registrar
transacciones
7. Si el departamento de contabilidad tiene procesos para identificar
cambios importantes en el entorno operativo, incluyendo cambios
regulativos.

Informacin y Comunicacin
Informacin y comunicacin es el proceso de capturar e intercambiar
informacin que se necesita para ejecutar, administrar y controlar las
operaciones de la empresa.
La calidad del sistema de comunicacin e informacin de la compaa afecta la
habilidad de la gerencia para tomar las decisiones acertadas para controlar las
actividades de la compaa y preparar reportes financieros confiables.
Informacin y comunicacin abarcan la captura y la emisin de informacin al
personal adecuado para que ste pueda cumplir con sus responsabilidades,
incluyendo una comprensin de las funciones y responsabilidades individuales
que ataen al control interno sobre reportes de informacin financiera.
Para entender la informacin y comunicacin a nivel de empresa, el equipo a
cargo del proyecto considera factores tales como:

Informacin
1. Si el sistema de informacin provee a la gerencia los informes
necesarios sobre el desempeo de la empresa en relacin con los
objetivos establecidos, incluyendo informacin relevante tanto externa
como interna.

2. Si la informacin se provee a las personas adecuadas con suficiente

detalle y anticipacin para que puedan desempear sus
responsabilidades eficientemente y con eficacia
3. Hasta qu grado los sistemas de informacin son desarrollados o
modificados con base en un plan estratgico que est inter-relacionado
con el sistema general de informacin de la empresa, que permita el
logro de los objetivos a nivel de empresa y de proceso/aplicacin
4. Si la gerencia de la empresa asigna los recursos humanos y financieros
adecuados para desarrollar los sistemas de informacin que sean
necesarios
5. Cmo asegura y monitorea la gerencia la participacin de usuarios en el
desarrollo (incluyendo modificaciones) y pruebas de programas
6. Si se ha establecido un plan de recuperacin en caso de desastre para
todos los centros principales de datos

Comunicacin
1. Si la gerencia comunica de manera eficaz las funciones y
responsabilidades de control del personal
2. Si se han establecido canales de comunicacin para las personas que
tienen que reportar hechos sospechosos
3. La idoneidad de la comunicacin a travs de la empresa para
facilitar el desempeo de obligaciones por parte del personal
4. Si la gerencia toma oportuna y apropiada accin de seguimiento en
relacin con las comunicaciones de clientes, proveedores, mediadores y
otras partes externas
5. Si la empresa est sujeta a requisitos de monitoreo y cumplimiento
impuestos por organismos reguladores
6. El alcance de notificacin a terceros fuera de la empresa (tales como
clientes y proveedores) sobre las polticas y normas de tica de la
empresa.

Actividades de Control
Las actividades de control son polticas y procedimientos que ayudan a
asegurar que las instrucciones de la gerencia sean cumplidas. Ayudan a
asegurar que se toman las acciones necesarias para tratar los riesgos en
el logro de los objetivos de la empresa. Las actividades de control,
automatizadas o manuales, tienen varios objetivos y se aplican a varios niveles
organizacionales y funcionales.

Para comprender las actividades de control a nivel de empresa, el equipo a

cargo del proyecto toma en cuenta factores tales como:
1. Si existen las polticas y los procedimientos que se requieren respecto a
cada actividad de la empresa.
2. Si los controles se aplican con la extensin que requiere cada poltica.
3. Si la gerencia tiene objetivos claros en trminos de presupuesto,
utilidades, otras metas financieras y de operacin y estos objetivos son
expresados con claridad y comunicados a toda la organizacin, y son
monitoreados continuamente.
4. Si hay sistemas establecidos de informacin y de planeacin para
identificar variaciones en el desempeo planeado y comunicar tales
variaciones a nivel apropiado de gerencia.
5. Grado en que las funciones estn segregadas entre diferentes personas
de tal manera que se reduce el riesgo de fraude o de otros actos
impropios.
6. Grado en que las funciones estn divididas lgicamente por medio de
aplicaciones de tecnologa de informacin (IT).
7. Si se hacen comparaciones peridicas de los importes registrados en el
sistema contable con los activos fsicos.
8. Si existen salvaguardias adecuadas para evitar el acceso no autorizado
o la destruccin de documentos, registros y activos.
9. Si se han establecido polticas para controlar el acceso a archivos de
datos y programas.
10. Si se usa algn software de seguridad de acceso, de sistema operativo,
y/o de aplicaciones para controlar el acceso a datos y programas.
11. Si hay sistemas establecidos de informacin y de planeacin para
identificar variaciones en el desempeo planeado y comunicar tales
variaciones a nivel apropiado de gerencia.
12. Grado en que las funciones estn segregadas entre diferentes personas
de tal manera que se reduce el riesgo de fraude o de otros actos
impropios.
13. Grado en que las funciones estn divididas lgicamente por medio de
aplicaciones de tecnologa de informacin (IT).
14. Si se hacen comparaciones peridicas de los importes registrados en el
sistema contable con los activos fsicos.

15. Si existen salvaguardias adecuadas para evitar el acceso no autorizado

o la destruccin de documentos, registros y activos.
16. Si se han establecido polticas para controlar el acceso a archivos de
datos y programas.
17. Si se usa algn software de seguridad de acceso, de sistema operativo,
y/o de aplicaciones para controlar el acceso a datos y programas.
18. Si existe una funcin establecida de seguridad de informacin con la
responsabilidad de monitorear el cumplimiento con las polticas y
procedimientos de seguridad de informacin.

Monitoreo
Una importante responsabilidad de la gerencia es el establecimiento y
mantenimiento del control interno. La gerencia monitorea los controles para
cerciorarse de que funcionen conforme a lo diseado, y si se han modificado
para adaptarlos a condiciones cambiantes. Monitoreo es un proceso de
evaluacin para determinar la calidad del control interno a travs del tiempo,
considerando si los controles estn operando para lo que fueron diseados y
asegurando que son modificados apropiadamente por condiciones cambiantes.
Esto implica evaluar el diseo y la operacin de los controles con regularidad,
tomando las acciones correctivas necesarias. Este proceso se logra mediante
actividades sobre la marcha y evaluaciones separadas, o combinaciones de
ambas.
Para comprender el proceso de monitoreo a nivel de empresa, el equipo a
cargo del proyecto debe tener presente factores tales como:
1. Si se llevan a cabo evaluaciones peridicas del control Interno
2. Grado en que el personal, en el desarrollo de sus funciones regulares,
obtiene evidencia de que el sistema de control interno contina
funcionando
3. Grado en que las comunicaciones de partes externas corroboran la
informacin generada internamente o indican problemas
4. Si la gerencia sigue las recomendaciones que le hacen los auditores
internos y los auditores independientes
5. Enfoque de la gerencia para corregir oportunamente las condiciones
informales conocidas
6. Enfoque de la gerencia para manejar los reportes y recomendaciones
provenientes de autoridades reguladoras
7. Existencia de una funcin de la auditora interna que la gerencia usa
para ayudarse en el monitoreo, la cual incluye factores tales como:

Independencia (autoridad y relaciones de reporte)

Lneas de reporte (se reporta directamente a la junta directiva y/o al

comit de auditora, o se tiene acceso ilimitado a la junta directiva y/o al
comit de auditora)

Idoneidad en la asignacin de personal, entrenamiento y existencia de

destrezas especializadas de acuerdo con el entorno (e.g., uso de
auditores de sistemas de informacin experimentados, adiestrados en
entornos complejos y altamente automatizados)

Cumplimiento con las normas profesionales aplicables

Alcance de actividades (un balance entre auditorias financieras y

operacionales, cobertura y rotacin de operaciones descentralizadas)

Idoneidad de la planeacin, evaluacin de riesgos y documentacin del

trabajo ejecutado y las conclusiones alcanzadas

Inexistencia de responsabilidades operativas

El equipo a cargo del proyecto debe evaluar si el sistema de control interno

est sujeto a auto-monitoreo y si incluye mecanismos apropiados para
asegurar que cualesquier deficiencias observadas son corregidas. En el caso
de que los mtodos de auto-monitoreo y correccin de deficiencias sean
evaluados como inadecuados, el equipo debe proponer recomendaciones
especficas para mejorar el sistema.

5. Entender y Evaluar el Control Interno en Procesos y

Transacciones
1. Identificar y Evaluar las Clases Mayores de Transacciones
2. Otras Consideraciones de Control
3. Efectos de la Tecnologa de Informacin
Despus de terminar una evaluacin de control interno a nivel de empresa, el
sistema de contabilidad de una organizacin se convierte en el foco primario
para la evaluacin del control interno sobre la informacin financiera. Para este
propsito, el sistema de contabilidad est representado por los procesos que
son bsicos para la informacin financiera de la Compaa (i.e., los procesos
de negocios y/o actividades contables).

Determinar las Cuentas Significativas

El punto de partida para identificar cuales son los procesos importantes,
que empieza con la identificacin de las cuentas o grupos de cuentas

significativas a nivel de revelacin en los rubros o las notas de los estados

financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia
que pueden tener un efecto material sobre los estados financieros u otros
asuntos legales, conflicto de intereses o beneficios no autorizados a
funcionarios los cuales, aunque no sean materiales, pueden afectar
adversamente el prestigio de la empresa con sus clientes, accionistas o el
pblico si estos asuntos quedaran sin ser detectados.
La importancia de una cuenta son su tamao y composicin, y su
susceptibilidad a manipulacin o prdida; su naturaleza; el volumen de la
actividad, tamao, complejidad y homogeneidad de las transacciones
individuales procesadas a travs de la cuenta y la subjetividad en la
determinacin del saldo de la cuenta (i.e., el alcance en que la cuenta es
afectada por juicios).
Los cambios que ocurran en las actividades del negocio y su efecto en una
cuenta o grupo de cuentas tambin es algo que se debe tener presente.
Generalmente, una empresa en que tienen lugar muchos cambios (por
ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnologa)
tendr ms situaciones de incertidumbre y de riesgo que compaas con
estabilidad.

1. Identificar y Evaluar las Clases Mayores de Transacciones

Identificar las cuentas significativas
El punto de partida para identificar cules son los procesos importantes,
que empieza con la identificacin de las cuentas o grupos de cuentas
significativas a nivel de revelacin en los rubros o las notas de los estados
financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia
que pueden tener un efecto material sobre los estados financieros u otros
asuntos legales, conflicto de intereses o beneficios no autorizados a
funcionarios los cuales, aunque no sean materiales, pueden afectar
adversamente el prestigio de la empresa con sus clientes, accionistas o el
pblico si estos asuntos quedaran sin ser detectados.
La importancia de una cuenta son su tamao y composicin, y su
susceptibilidad a manipulacin o prdida; su naturaleza; el volumen de la
actividad, tamao, complejidad y homogeneidad de las transacciones
individuales procesadas a travs de la cuenta.
Los cambios que ocurran en las actividades del negocio y su efecto en una
cuenta o grupo de cuentas tambin es algo que se debe tener presente.
Generalmente, una empresa en que tienen lugar muchos cambios (por
ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnologa)

tendr ms situaciones de incertidumbre y de riesgo que compaas con

estabilidad.

Identificar y evaluar transacciones importantes

Esta identificacin representa el enlace entre la identificacin de cuentas o
grupo de cuentas significativas y la comprensin y evaluacin de los procesos y
controles relacionados.
Las transacciones mayores incluyen todas las clases de transacciones que
afectan en forma material las cuentas o grupos de cuentas significativas, sea
directamente a travs de asientos en el mayor general, o indirectamente
mediante la creacin de derechos u obligaciones que no pueden ser
registrados en el libro mayor.
Los procesos comprenden clases de transacciones que pueden calificarse
como:
a. rutinarias,
b. no rutinarias o
c. de estimacin
Es importante distinguir entre estas clases mayores de transacciones porque
los componentes y riesgos en cada clase son diferentes y, como resultado, la
probabilidad de errores de importancia que surgen de los procesos
correspondientes tambin difiere.

Transacciones Rutinarias
Son los datos financieros registrados en los libros y los registros o datos no
financieros usados para administrar el negocio.
Por ejemplo, una empresa podra tener las siguientes transacciones rutinarias:
Ventas y cuentas por cobrar

Ingresos en efectivo

Compras y cuentas por pagar

Egresos en efectivo

Nmina

Inventarios y costo de ventas

Algunas empresas tendrn ms de un solo proceso para transacciones

similares. Por ejemplo, puede haber procesos separados para ventas

domsticas y de exportacin; la nmina puede ser diferente para aquellos con

salario fijo y los que ganan en base a horas trabajadas.

Transacciones No Rutinarias
Estas son transacciones que se llevan en forma peridica, generalmente en
conjunto con los estados financieros. Cualquier clase mayor de transacciones
que no cumpla fcilmente con la definicin de transaccin rutinaria o
transaccin de estimacin se puede ver como transaccin no rutinaria.
Transacciones tpicas no rutinarias incluyen:

Clculo del gasto por impuesto sobre la renta

Conteo y valuacin de inventarios

Determinacin de gastos pagados por adelantado

Transacciones de Estimacin
Estas son transacciones que reflejan los numerosos juicios, decisiones y
alternativas en la preparacin de estados financieros (Ej: Estimacin para
cuentas por cobrar).
Es importante tener presente que las transacciones rutinarias generalmente
estn sujetas a un sistema de control ms formal, debido a que hay mayor
objetividad en los datos y en el volumen de informacin procesada.
Por el contrario, debido a que las transacciones no rutinarias y las de
estimacin frecuentemente son ms subjetivas o menos frecuentes, sus
controles son menos formales. En consecuencia, el riesgo de errores
potenciales puede ser mayor.

Entender el Flujo de Transacciones

Una vez identificado las principales clases de transacciones, es necesario
obtener detalle de los procesos para comprender el flujo de cada clase mayor
de transacciones.
El objetivo de este paso es la identificacin de los registros, documentos y
procedimientos bsicos en uso para identificar en dnde pueden ocurrir
errores.
La mayora de los procesos involucran una serie de actividades tales como la
validacin y edicin de entrada de datos, clculos, actualizacin de archivos
maestros y de transacciones y resumen e informacin de datos.
Los procedimientos de proceso ms importantes y que son necesarios para
efectos de identificar dnde pueden ocurrir errores son las actividades que se
requieren para iniciar; registrar; procesar o reportar las clases mayores de

transacciones. Estos incluyen procedimientos para corregir y reprocesar

transacciones previamente rechazadas y procedimientos para corregir
transacciones errneas mediante asientos de ajuste.
Debemos comprender el flujo y la naturaleza de la informacin; analizar los
tipos de errores que pueden ocurrir en la iniciacin, registro, proceso y reporte
de las transacciones y considerar las polticas y procedimientos de control
interno relevantes.
Si bien la documentacin de la comprensin y evaluacin variar segn la
categora de la transaccin, Ej: usar papeles de trabajo para documentar
procesos para transacciones rutinarias y memorandos para documentar
procesos para transacciones no rutinarias y de estimacin, los objetivos de
registrar informacin contable son consistentes.

Proceso de Reporte de Informacin Financiera

Se debe incluir en su comprensin y evaluacin del control interno el proceso
para producir reportes financieros. La comprensin de los procesos
significativos de la empresa y su interrelacin con el proceso especfico de
producir informacin financiera proporcionar una base para conocer la
informacin requerida para el proceso de informacin financiera. Tpicamente
ste incluir:
a. Los procedimientos para registrar los totales de las transacciones en el
mayor general.
b. Los procedimientos para iniciar, registrar y procesar asientos de diario
en el mayor general.
c. Otros procedimientos usados para registrar ajustes recurrentes y norecurrentes en los estados financieros y reclasificaciones.
d. Procedimientos para preparar proyectos de estados financieros y notas
a los estados financieros.
e. Preparacin del anlisis de la gerencia en cuanto a logros
financieros y operativos del negocio.

Evaluar los Controles Diseados

Pruebas de controles
El auditor deber disear y desempear pruebas de controles para obtener
suficiente evidencia apropiada de auditora en cuanto a la efectividad operativa
de los controles relevantes si:
a. La evaluacin del auditor de los riesgos de representacin errnea de
importancia relativa a nivel aseveracin incluye una expectativa de que
los controles estn operando de manera efectiva (es decir, el auditor

piensa apoyarse en la efectividad operativa de los controles para

determinar la naturaleza, oportunidad y extensin de los procedimientos
sustantivos);
b. Los procedimientos sustantivos solos no pueden proporcionar suficiente
evidencia apropiada de auditora a nivel aseveracin.
Al disear y desempear las pruebas de controles, el auditor deber
obtener evidencia de auditora ms persuasiva, mientras mayor sea el grado de
dependencia del auditor de la efectividad de un control.

Naturaleza y extensin de las pruebas de controles

Al disear y desempear las pruebas de controles, el auditor deber:
a) Desempear otros procedimientos de auditora en combinacin con la
investigacin, para obtener evidencia de auditora sobre la efectividad operativa
de los controles, incluyendo:
i) Cmo se aplicaron los controles en momentos relevantes durante el periodo
bajo auditora;
ii) La consistencia con que se aplicaron; y iii) Por quin y por qu medios se
aplicaron.
b) Determinar si los controles por probar dependen de otros controles
(controles indirectos) y, de ser as, si es necesario obtener evidencia de
auditora que soporte la operacin efectiva de dichos controles indirectos.

Oportunidad de las pruebas de controles

El auditor deber poner a prueba los controles por el tiempo particular, o
durante el perodo, por el cual piensa el auditor apoyarse en dichos controles,
para dar una base apropiada para el soporte pensado por el auditor.
Si el auditor obtiene evidencia de auditora sobre la efectividad operativa de los
controles durante un periodo provisional, el auditor deber:
a. Obtener evidencia de auditora sobre cambios importantes a dichos
controles posteriores al periodo provisional; y
b. Determinar la evidencia adicional de auditora que se debe obtener por
el perodo restante

Uso de evidencia de auditora obtenida en auditoras previas

Al determinar si es apropiado usar evidencia de auditora sobre la efectividad
operativa de los controles obtenida en auditoras previas, y, si es as, la
duracin del periodo que puede pasar antes de volver a someter a prueba un
control, el auditor deber considerar lo siguiente:

a. La efectividad de otros elementos de control interno, incluyendo el

entorno del control, el monitoreo de controles por la entidad, y el proceso
de evaluacin del riesgo de la entidad;
b. Los riesgos que se originen de las caractersticas del control, incluyendo
si es manual o automatizado;
c. La efectividad de los controles generales de TI;
d. La efectividad del control y su aplicacin por la entidad, incluyendo la
naturaleza y extensin de las desviaciones en la aplicacin del control
que se observaron en auditoras previas, y si ha habido cambios de
personal que afecten de manera importante la aplicacin del control;
e. Si la falta de un cambio de un control particular plantea un riesgo debido
a las circunstancias cambiantes; y Los riesgos de representacin errnea
de importancia relativa y el grado de dependencia del control
f.

Los riesgos de representacin errnea de importancia relativa y el grado

de dependencia del control

Si el auditor planea usar evidencia de auditora de una auditora previa sobre la

efectividad operativa de controles especficos, el auditor deber establecer
la relevancia continua de dicha evidencia, obteniendo evidencia de auditora
sobre si han ocurrido cambios importantes en dichos controles posteriores a la
auditora previa.
La efectividad de otros elementos de control interno, incluyendo el entorno del
control, el monitoreo de controles por la entidad, y el proceso de evaluacin del
riesgo de la entidad; Los riesgos que se originen de las caractersticas del
control, incluyendo si es manual o automatizado; La efectividad de los controles
generales de TI; La efectividad del control y su aplicacin por la entidad,
incluyendo la naturaleza y extensin de las desviaciones en la aplicacin del
control que se observaron en auditoras previas, y si ha habido cambios de
personal que afecten de manera importante la aplicacin del control; Si la falta
de un cambio de un control particular plantea un riesgo debido a las
circunstancias cambiantes; y Los riesgos de representacin errnea de
importancia relativa y el grado de dependencia del control.
a. Si ha habido cambios que afecten la relevancia continua de la evidencia
de auditora de la auditora previa, el auditor deber someter a prueba los
controles en la auditora.
b. Si no ha habido esos cambios, el auditor deber poner a prueba los
controles cuando menos una vez cada tercer auditora, y deber poner a
prueba algunos controles cada auditora, para evitar la posibilidad de
poner a prueba todos los controles sobre los que piensa apoyarse el
auditor en un solo periodo de auditora, sin poner a prueba controles en
los dos periodos de auditora posteriores.

Controles sobre riesgos importantes

Si el auditor planea apoyarse en los controles sobre un riesgo que el auditor ha
determinado que es un riesgo importante, el auditor deber poner a prueba
esos controles en el periodo actual.

Evaluacin de la efectividad operativa de los controles

Cuando evala la efectividad operativa de los controles relevantes, el auditor
deber evaluar si las representaciones errneas que se han detectado con
procedimientos sustantivos indican que los controles no estn operando de
manera efectiva. Sin embargo, la ausencia de representaciones errneas
detectadas con procedimientos sustantivos, no da evidencia de auditora de
que son efectivos los controles relacionados con la aseveracin que se pone a
prueba.
Si se detectan desviaciones de los controles en los que el auditor piensa
apoyarse, el auditor deber hacer investigaciones especficas para entender
estos asuntos y sus consecuencias potenciales, y deber determinar si:
a. Las pruebas de controles que se han desempeado proporcionan una
base apropiada para confiar en los controles;
b. Son necesarias pruebas adicionales de controles; o
c. Necesitan tratarse los riesgos potenciales de representacin errnea
usando procedimientos sustantivos.
La determinacin si los controles tal como fueron diseados, son eficaces,
deben probarse mediante las pruebas de auditora. Al hacer esta evaluacin, el
auditor debe considerar:
a. Caractersticas de las cuentas relacionadas (tamao, susceptibilidad a
errores o manipulacin).
b. Eficacia del control interno a nivel de empresa.
c. Conclusiones relacionadas con los procesos de tecnologa de
informacin (IT).
d. El diseo de control implementado por la empresa.
e. Riesgos del control.
f.

Polticas y procedimientos en relacin con autorizacin, custodia de

activos, control confiable de los activos y segregacin de funciones.

Determinar si los controles logran un objetivo especfico (e.g., con respecto a

los objetivos de reporte de informacin financiera o cules errores de
importancia no ocurren) requiere con frecuencia de juicio considerable.

La pregunta clave es si los controles esenciales podran prevenir y/o detectar

un error material relacionado con cada una de las aseveraciones pertinentes en
los estados financieros.
Si los controles existentes no son eficaces para ese propsito (o no hay
controles), podra ser necesario establecer controles adicionales ya sean
programados o manuales. Sin embargo, antes de instalar procedimientos
nuevos, la empresa debera llevar a cabo un estudio de costo-beneficio.

Determinar Si los Controles Funcionan Tal Como se Disearon

La gerencia debe tener una seguridad razonable que los controles funcionan tal
como se disearon.
Un paso inicial en ese proceso es que el auditor ejecute el recorrido de una
transaccin para verificar que lo que l entiende sobre el funcionamiento
deseado del proceso y de sus controles es correcto.
Despus que este recorrido ha sido ejecutado, puede comenzar la prueba de la
eficacia de los controles.
Las pruebas para verificar si los controles funcionan tal como se disearon,
pueden hacerse mediante:
a. Indagacin a las personas responsables del control y
b. Examen de la evidencia (e.g. revisin de las conciliaciones bancarias) de
que el control fue ejecutado y fue eficaz.
c. Analizar una transaccin y repite la operacin (por ejemplo los clculos
en una factura usada como muestra).
d. En otros casos se puede obtener una seguridad del buen funcionamiento de
un control, observando a los empleados mientras llevan a cabo sus funciones,
y mediante entrevistas con el personal para determinar si entienden lo que
deben hacer si se identifica un error durante la ejecucin de sus funciones.
En los casos de transacciones procesadas por el sistema IT, adems de seguir
el flujo fsico de documentos y formas, el auditor tambin sigue el flujo de datos
y de informacin de archivos a travs de procesos automatizados en la
aplicacin (a nivel de sistema y no a nivel de lgica detallada).
Esto puede involucrar procedimientos tales como preguntas a personal
independiente pero con conocimiento de la materia, revisin de
manuales de usuario, observacin de un usuario cuando procesa
transacciones en una terminal, en el caso de una aplicacin on line, y revisin
de documentacin tal como reportes de salida (output).
Al concluir esta tarea, el auditor debe documentar si los controles manuales y
programados funcionan conforme a lo diseado e incluir cualesquier otros

comentarios pertinentes que puedan ayudar al auditor para evaluar procesos

claves.
En un ambiente de negocio dinmico, los controles requieren una modificacin
cada cierto tiempo. Ciertos sistemas pueden requerir mejoras en sus
controles para responder a nuevos productos en el mercado o debido a
riesgos emergentes. La automatizacin de algunos controles manuales puede
mejorar la eficiencia y el cumplimiento con las polticas de la gerencia. En otras
reas la evaluacin puede indicar controles redundantes u otros
procedimientos que ya no son necesarios. En tales casos la compaa puede
mantener un nivel aceptable de controles y mejorar sus resultados mediante los
cambios apropiados.
En el caso de que se identifiquen reas en donde los controles son
insuficientes para producir una seguridad razonable de que el riesgo de errores
disminuye a un nivel aceptable, el equipo a cargo del proyecto debe
recomendar mejoras. En todas las recomendaciones hay que tener presente el
concepto de seguridad razonable.
Tanto los textos de auditora como el informe COSO enfatizan en que el control
interno no tiene que estar completamente libre de riesgos si la eliminacin total
de stos tuviese un costo superior al beneficio esperado. Por lo tanto, cuando
el revisor o el equipo a cargo del proyecto identifican un riesgo, es necesario
tomar una decisin de costo-beneficio respecto a si los costos de instalacin y
mantenimiento de un control que reduzca o elimine el riesgo exceden los
beneficios esperados. Generalmente, los controles solamente pueden reducir,
no eliminar por completo, un riesgo. Adems, se pueden usar los anlisis de
costo-beneficio para determinar si los controles existentes deben conservarse.
Todos los aspectos de control interno estn sujetos al juicio procedimientos
rutinarios (e.g., comparando facturas con reportes de recibo) Monitoreo
peridico (e.g., pruebas de controles, verificacin de porciones del sistema,
actualizacin de estudios anteriores sobre costo-beneficio). Esto incluye
decisiones sobre el tipo de monitoreo (e.g., por auditores internos) y la
frecuencia del monitoreo (e.g., trimestral, anual, etc.)

Documentacin relacionada con:

Transacciones

Sistema de control

Actividades de monitoreo

Decisiones costo-beneficio

Polticas y prcticas para reportar:

Funcionamiento inadecuado de controles o controles circunvenidos

Cambios en las circunstancias que originan riesgos adicionales o

nuevos, o reducen o eliminan riesgos existentes

Polticas y prcticas para tomar oportunamente acciones correctivas

En muchos casos, o posiblemente en la mayora de ellos, un anlisis formal de

costo- beneficio sera difcil o costoso e innecesario. Por ejemplo, las personas
que efectan el anlisis, despus del segundo paso pueden reconocer que el
costo exceder los beneficios. Por otra parte, quienes llevan a cabo el anlisis
pueden llegar a la conclusin de que el costo de reducir el riesgo ser mnimo y
que puede ser prctico instalar el control.
Sin embargo, en aquellos casos donde tiene sentido un anlisis formal de
costo- beneficio, puede ser til tomar en consideracin lo siguiente:
1. Listar todas las alternativas razonables (incluyendo controles) que
puedan adoptarse para reducir o eliminar los riesgos y si stas no han
sido identificadas listar todos los riesgos que podran ser reducidos o
eliminados con cada alternativa.
2. Listar o identificar las partidas relevantes de costo a incurrir en cada
alternativa.
3. Determinar los costos y riesgos que son cuantificables.
4. Cuantificar esos costos y riesgos.
5. Estimar la probabilidad de que una prdida ocurrir por falta de corregir
la debilidad, y con qu frecuencia puede ocurrir ese evento.
6. Para estimar en cada alternativa la probabilidad (si existe) de que pueda
ocurrir una prdida si el control es instalado, y con cuanta frecuencia
podra ocurrir (si es el caso).
7. Desarrollar la mejor estimacin de los beneficios que podra haber al
eliminar o reducir el riesgo (e.g.,, multiplicando en cada alternativa el
riesgo cuantificado por la reduccin en la probabilidad de que una
prdida pudiera ocurrir y luego por la reduccin en la frecuencia de
ocurrencias).
8. Decidir si los costos por corregir la debilidad podran exceder los
beneficios, o viceversa, con base en una comparacin de costos
(cuantificables y no cuantificables) con los beneficios (cuantificables y no
cuantificables).

Monitoreo
Finalmente, como se mencion anteriormente, el control interno debera ser
auto monitoreable y autocorregible. Quiere decir que una empresa debe
establecer mecanismos para monitorear continuamente y mantener el

sistema de control interno y tomar la accin correctiva oportunamente, cuando

sea necesario.
Generalmente, La responsabilidad para convertir el sistema de control interno
en auto-monitoreable y autocorregible no debe ser asignada exclusivamente
a un solo grupo. En un sentido amplio, el sistema de control interno es
integral y completo. Involucra a personal de toda la organizacin, incluyendo a
muchas personas que no se consideran con responsabilidades contables o de
control.

Fuentes para documentar procesos

Las siguientes son las fuentes en donde el Auditor puede encontrar informacin
para documentar los procesos:

Organigramas que identifiquen los puestos y responsabilidades

Entrevistas con los dueos de los procesos

Manuales de procedimientos

Polticas relacionadas con el proceso

Observacin de las actividades del proceso

Inspeccin de informacin producida por el proceso

Informes de auditoras internas y/o externas (ayuda a que el Auditor

identifique debilidades y riesgos del proceso)

Revisin de las cartas de recomendaciones del Auditor del ao anterior

Evaluar el proceso y transaccin

Para el logro de nuestro anlisis de los procesos, consideraremos el desarrollo
de las siguientes actividades, as:
a. Entendimiento del proceso
b. Identificacin de los riesgos y controles del proceso
c. Seleccin de los controles relevantes a los que se les realizarn las
pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas de auditora relativas a la eficacia operativa de
controles.

a. Entendimiento del proceso

Es indispensable que el Auditor entienda y documente las actividades que
inician, procesan y registran las transacciones significativas. Ejemplo:
b. Identificacin de los riesgos y controles del proceso
Del buen entendimiento del proceso depender la identificacin de riesgos y los
controles que los mitigan. En la identificacin de riesgos es importante que
considere los factores que pueden incrementar los riesgos, tales como la
calidad del personal, experiencias pasadas en la obtencin de objetivos,
complejidad de una actividad, distribucin geogrfica de las actividades, entre
otras.
Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de
los riesgos de los procesos:
La vinculacin de personal, no competitivo frente a los retos de la organizacin,
as como la falta de efectividad de mtodos de entrenamiento y motivacin que
puedan influir en el nivel de conciencia del auto-control en la entidad
operaciones de la entidad.
Fallas en el procesamiento de los sistemas de informacin, que afectan las
operaciones de identidad.
Cambios en las responsabilidades asignadas de la administracin, que afecten
la ejecucin de algunos controles.

Identificacin de Controles
Los controles se clasifican en tres tipos:

Automtico: lo realiza de principio a fin un sistema de informacin.

Semiautomtico: es ejecutado de manera parcial por una persona, pero

con la colaboracin de un sistema de informacin.

Manual: lo ejerce en su totalidad una persona, sin la colaboracin de un

sistema de informacin.

Los controles pueden ser preventivos, detectivos o correctivos:

Control Preventivo: Su objetivo es anticiparse a los eventos no deseados,
actuando sobre las causas del riesgo, as como evitando la generacin de
errores o eventos fraudulentos.
Control Detectivo: Identifica todos aquellos eventos en el momento en
que ocurren, as como advierte sobre la presencia de riesgos.

Control Correctivo: Se orienta a la implementacin de las acciones correctivas

una vez se ha identificado un evento no deseado. Su implementacin se realiza
cuando los controles preventivos y detectivos no han funcionado, lo cual
representa que su implementacin sea ms costosa, pues actan cuando ya se
han materializado eventos de prdida para la organizacin.

2. Otras Consideraciones de Control

Las polticas y procedimientos en relacin con autorizacin, salvaguardia de
activos, responsabilidad sobre activos y segregacin de funciones son
establecidos por la gerencia para poder proveer una seguridad razonable de
que:
a. Los activos son adquiridos, custodiados y usados, y los pasivos son
incurridos y liberados conforme a las decisiones de la gerencia.
b. La informacin financiera es mantenida correctamente en los libros y
registros con respecto a activos y pasivos resultantes de dichas
decisiones.
Estas polticas y procedimientos son parte integral de un sistema de control
interno y se relacionan bsicamente con el control de la gerencia sobre la
disposicin de los activos y pasivos de la empresa y, nicamente de
manera indirecta, con los controles sobre el procesamiento de datos, los
cuales se ocupan con la contabilizacin correcta, puntual y completa de las
transacciones. Sin embargo, la ausencia de dichos controles podra
incrementar el riesgo de errores de importancia en la informacin financiera
incluida en los libros y registros de la empresa.
En vista de que las polticas y procedimientos frecuentemente toman la forma
de controles, la ausencia de polticas y procedimientos adecuados sobre
cualquiera de estas reas puede afectar la forma en que el equipo a cargo del
proyecto juzgue la eficacia de controles especficos sobre los procesos.
Autorizacin: Los niveles general y especfico de autorizacin y aprobacin y
los procedimientos diseados para asegurar que las transacciones y
actividades se ejecutan de conformidad con las intenciones de la gerencia.
Salvaguardia de los activos: Restricciones, diseadas para evitar la prdida de
activos, al acceso y uso de activos y registros, incluyendo el acceso fsico y
acceso indirecto mediante la preparacin y procesamiento de datos que
autoricen o faciliten el uso o disposicin de activos

Responsabilidad sobre activos:

Procedimientos para comparar los activos registrados con los activos en
existencia fsica y para tomar las acciones apropiadas cuando se identifican
diferencias. Tales procedimientos ayudan a establecer una seguridad razonable
de que se siguen los procedimientos relativos a autorizacin de uso y acceso a
los activos.

Segregacin de funciones: La prevencin que una sola persona lleve a cabo

funciones que no son compatibles o que una aplicacin de Tecnologa de
Informacin permita acceso inapropiado o excesivo de los usuarios a las
funciones. Por ejemplo, si una persona est en posicin de cometer errores y a
la vez esconderlos dentro del curso normal de sus propias funciones.

3. Efectos de la Tecnologa de Informacin

En ms aplicaciones complejas automatizadas, los controles identificados por
la gerencia muchas veces pueden involucrar tecnologa de informacin (IT).
Los controles de IT incluyen controles de aplicacin y controles generales de IT.
Estos controles ayudan a proveer una seguridad razonable de que las
transacciones son vlidas y estn debidamente autorizadas y procesadas de
manera completa y precisa para dar confiabilidad.

Controles de Aplicacin
Los controles de aplicacin corresponden al procesamiento de transacciones
individuales y pueden consistir en procedimientos programados (e.g.,
programas especficos para procesar o editar una transaccin) o controles no
programados (e.g., balanceo manual de informacin producida por IT). Existen
frecuentemente controles programados, que pueden ser procedimientos de
control programados (e.g., editar, comparar o conciliar) o procesos de IT (e.g.,
clculos, asientos on line o interfaces automticas entre sistemas) en los
cuales la gerencia confa para asegurar la exactitud e integridad de la
informacin generada por las aplicaciones automatizadas. Por ejemplo, para
asegurar que los precios en todas las facturas a los clientes son correctos, la
gerencia puede confiar en una informacin automatizada para identificar
transacciones de fijacin de precios que no cumplen con los criterios
establecidos en combinacin con un software de control de acceso para
restringir el acceso al archivo maestro de precios. En forma similar, la gerencia
puede otorgar confianza a un proceso de IT como la extensin automatizada de
las facturas de venta para asegurarse de que todas las ventas han sido
valuadas apropiadamente.
Se pueden encontrar controles programados a diferentes niveles de
procesamiento de datos. Los siguientes son algunos ejemplos:
Entradas (input): Existen controles para asegurar la validez e integridad de los
datos de entrada (input) (e.g., resumen de las transacciones generadas en las
sucursales). Puede haber varias validaciones para evitar la entrada (input) de
datos errneos.
Procesamiento: Tambin existen controles para proporcionar valuacin y
contabilizacin correctas. Los procesos pueden ejecutar clculos sencillos o
complejos (e.g., de precios de productos, de valuacin de opciones). La
administracin del procesamiento de instrucciones y parmetros tambin
constituye un asunto clave de control.

Salidas (output): Controles especiales pueden estar en funcionamiento cuando

las salidas de datos generan pagos (e.g., la validacin de la identificacin de
proveedores antes de procesar el pago).
Un control programado por si mismo no puede ser suficiente para asegurar que
la aplicacin previene la ocurrencia de errores o para detectar y corregir errores
que hayan ocurrido durante el procesamiento. Sin embargo, un control
programado, en combinacin con controles generales eficaces de IT puede
proporcionar el nivel de control deseado.

Controles Generales de IT
Se refieren a controles fundamentales sobre la adquisicin y mantenimiento de
software de aplicaciones y sistemas, seguridad de accesos y segregacin
de funciones que operan para asegurar la eficacia de los controles
programados. Tpicamente los controles generales de IT estn diseados para
asegurar que:
Todos los cambios en las aplicaciones han sido autorizados, sujetos a prueba y
aprobados antes de su implantacin.
nicamente personas y aplicaciones autorizadas tienen acceso a los datos
y solamente para ejecutar funciones definidas especficamente (e.g., indagar,
ejecutar o actualizar).
Si, tomando en consideracin las preguntas sobre lo que pudo fallar, el
equipo a cargo del proyecto determina que la gerencia est otorgando
confianza a controles programados o que el control identificado depende de
datos generados por IT, entonces debe hacerse una segunda pregunta:
Cmo sabe la gerencia si los controles programados operan eficazmente?
La respuesta puede ser que: (1) los procedimientos del usuario verifican la
exactitud del procesamiento (e.g., recalculando manualmente los clculos
complejos, o conciliando los reportes de IT con los totales de partidas
manuales) y/o (2) la gerencia depende de los sistemas de IT para ejecutar
eficazmente el control o producir los datos. En el caso de la respuesta (2), el
efecto de los controles generales de IT (i.e., modificaciones a programas y/o
acceso a archivos de datos, incluyendo los controles generales dentro de
entornos integrados de aplicaciones tales como arreglos clave y segregacin
de funciones entre los usuarios que afectan la aplicacin completa) debe
tomarse en cuenta al hacer la evaluacin preliminar de la eficacia de todos los
controles que dependen del sistema de IT o de datos generados por IT.
Muchas empresas usan organizaciones de servicio externas para procesar
transacciones. En ese caso, adems de evaluar los controles dentro de la
empresa, la gerencia tiene que desarrollar un conocimiento de la importancia
que el procesamiento en la organizacin de servicio tiene para el sistema
contable y los controles de la empresa. Con base en el grado de importancia, la
gerencia puede necesitar hacer una evaluacin de los controles establecidos
en la organizacin de servicio. Con frecuencia el auditor de la organizacin de

servicio prepara un reporte sobre estos controles, el cual ser til para la
evaluacin de los mismos por parte de la gerencia.