Introducción
Es objetivo del presente trabajo analizar y comentar las experiencias de aplicación de las Auditorías externas y su relación directa con la decisión de los niveles de confort que este Auditor puede esperar, permitiendo alcanzar mayores niveles de eficiencia.
Control Interno. Conceptos y Características del uso por parte del Auditor Externo
¿Qué es control interno?
El control interno es un proceso efectuado por el Director de una entidad, la Administración u otros miembros, diseñado para proporcionar un grado de seguridad razonable acerca del cumplimiento de objetivos de eficacia y eficiencia, generación de información financiera confiable y cumplimiento de leyes y regulaciones.
Su “eficacia” es un estado o condición en un momento determinado. Para la labor del Auditor Externo, el foco principal la porción del control interno que se refiere al “reporte financiero”.
¿Por qué es de interés el estudio y evaluación del control interno en la auditoria?
El auditor debe obtener un entendimiento del proceso de la entidad para identificar los riesgos del negocio relevantes a los objetivos del reporte financiero y decidir sobre las acciones para mitigar estos riesgos y los resultados.
Al evaluar las actividades de control y analizar los resultados, se puede depositar o no confianza en controles, lo que reduce nuestras pruebas sustantivas y nos proporciona evidencia apropiada de auditoría.
Ciclo de Confort de la Auditoria, Relación con el control interno
El planteamiento del control interno debe de tomar en consideración algunos procesos de negocios o segmentos de los mismos, en términos de “ciclos” en los cuales pueden agruparse de manera apropiada las transacciones relacionadas y para los cuales la dirección de una entidad establece actividades de control y procedimientos contables específicos. Cada ciclo abarca regularmente varios tipos de transacción que varían según el negocio de que se trate. Cada clase de transacciones puede dividirse además por tipo de transacción específica; por ejemplo, la venta de productos y servicios puede subdividirse en ventas al contado y ventas a crédito, o en ventas extranjeras y ventas nacionales. Cada clase de transacción se distingue entre sí principalmente por las diferencias en los procedimientos contables y las actividades de control que se aplican a ellas.
La base de un ciclo es la trayectoria por la cual cada clase de transacciones se desplaza a través del sistema de contabilidad y la naturaleza de las actividades de control que se aplican. El auditor debe evaluar cada clase de transacción para determinar si se diseñaron procedimientos contables y actividades de control apropiadas y si están operando con eficacia para lograr sus objetivos de control de información financiera. En la medida que el auditor obtenga evidencia de que se están cumpliendo esos objetivos, podrá reducir las pruebas sustantivas dirigidas a verificar la existencia/ocurrencia, totalidad y exactitud de los saldos contables afectados por el ciclo y transacción bajo análisis.
Actividades de control
Las actividades de control son las políticas y procedimientos que proveen un grado de seguridad razonable respecto de que se mitigan los riesgos en toda la organización, en todos los niveles y en todas las funciones, las cuales incluyen:
i. Revisiones de desempeño del negocio
ii. Controles sobre el procesamiento de transacciones
iii. Controles de salvaguarda de activos
iv. Segregación de funciones
v. Controles Generales de Tecnología de Información
i. Revisiones de desempeño del negocio.
Son aplicadas a los resultados de las transacciones, no a las actividades de control. Son análisis efectuados por la Dirección, Administración o responsables de las distintas funciones de negocio y están orientadas a:
– El análisis de resultados y la evaluación del cumplimiento de objetivos
– Analizar las necesidades operativas (por ejemplo, disponibilidad de efectivo para efectuar pagos)
– Identificación de resultados inesperados
– Cumplimiento de la legislación
Las revisiones de desempeño pueden incluir:
– Revisión, análisis y seguimiento de información, posiblemente mediante la comparación con presupuestos o años anteriores
– Revisión y seguimiento de los informes de excepción, destacando transacciones y saldos anormales o resúmenes de transacciones procesadas
– Comparación de diferentes conjuntos de datos relacionados – operativos o financieros – junto con el análisis de dichos datos, investigación y acciones correctivas
– Revisión del desempeño de actividades funcionales tales como cantidad de nuevos clientes, plazos de entregas de proveedores, niveles de inventario, etc.
– Revisión de indicadores del mercado / industria y comparación con indicadores propios para detectar e investigar posibles desvíos
ii. Controles sobre el procesamiento de transacciones.
– Se realizan sobre las transacciones individuales, lotes de transacciones, saldos individuales y datos que se utilizan para su procesamiento y pueden ser manuales o automatizados. Proporcionan el nivel mas detallado de control que normalmente se puede presentar en una organización.
– En general, se trata de controles preventivos, los cuales son diseñados para evitar errores o irregularidades o para detectar oportunamente los que pudieran haberse cometido durante el procesamiento y generalmente proporcionan confianza directa sobre las aseveraciones de los estados financieros.
– Los controles sobre el procesamiento de transacciones se dividen en:
– Controles independientes
– Controles de autorización
– Controles sobre ingreso de datos
– Controles sobre suspensos o rechazos
– Controles sobre procesamiento de datos
iii. Controles de salvaguarda de activos.
Son los controles referidos a la custodia de los activos e incluyen:
– Controles y medidas de seguridad diseñadas para asegurar que el acceso a los activos se limite sólo al personal autorizado.
– Controles para asegurar que los activos están protegidos contra la emisión de documentos que autorizarían su uso indebido o malversación.
– Los activos incluyen bienes muebles e inmuebles, efectivo o documentos al cobro, registros de datos incluyendo información confidencial.
iii. Segregación de funciones.
– Son los controles diseñados para prevenir que una persona esté en posición de controlar distintas etapas del procesamiento de una transacción sin que otra persona detecte errores o irregularidades, si los mismos se producen.
– Esto incluye la combinación de diferentes transacciones que podrían permitir que una persona oculte un error o irregularidad. Por ejemplo, el ingreso de cobranzas y notas de crédito. El flujo de información debería estar diseñado para que el trabajo de una persona, además de cumplir un determinado objetivo, sea independiente o sirva como verificación del trabajo de otra.
– Generalmente las funciones a segregar son:
– Iniciar transacciones
– Autorizar transacciones
– Procesar transacciones
– Registrar transacciones
– Custodiar activos
– Otra transacción que permita ocultar un error o irregularidad
iv. Controles generales de tecnología de información.
El trabajo de Controles Generales de Tecnología de Información está dividido en 4 áreas clave:
1) Estructura organizacional y procedimientos operativos del departamento de TI
2) Desarrollo, implantación y mantenimiento de aplicaciones
3) Seguridad física y lógica, los cuales se dividen en:
– Controles de acceso a nivel base de datos e infraestructura
– Protección física del equipamiento informático
4) Continuidad operativa de la infraestructura tecnológica y los procesos que la soportan
Cuando los ITGCs ´son eficaces , los controles de aplicación automática son mas eficientes para su evaluación que los controles manuales, algunos ejemplos de estos son:
– Cálculos automatizados o rutinas de procesamiento de datos programados en la aplicación.
– Acceso limitado a las capacidades de procesamiento de transacciones, por ejemplo, para apoyar una adecuada segregación de funciones
– El acceso restringido a los programas y datos (por ejemplo, archivos de datos financieros no pueden ser modificado fuera de 1.- Las operaciones normales de procesamiento de transacciones o procesos de cambio controlado).
¿Tenemos que validar los controles para cada uno de los cinco componentes de control interno para obtener confort significativo de los controles?
Debemos considerar cada uno de los cinco componentes del control interno durante la fase de evaluación del ciclo de confort de auditoría. Es en este momento cuando decidimos los controles de los que deseamos obtener el confort.
Debemos tener en mente que frecuentemente tenemos que revisar las actividades de control, junto con otros componentes del control interno. Es mediante las actividades de control que se alcanzan los objetivos del procesamiento de información (totalidad, exactitud, validez y acceso restringido), normalmente habrán varios controles para esto y muy rara vez dependeremos de un solo control.
¿Tenemos que validar todos los controles en los que estamos depositando confianza cada año?
• Cuando los controles permanecen sin cambios respecto al año anterior, podemos considerar la evidencia sobre la operación efectiva del control obtenido en auditorías anteriores, pero:
• Debemos probar los controles en los que deseemos depositar confianza al menos cada tercera auditoría y considerar que algunos controles necesitan ser probados cada año.
Mientras mayor sea el tiempo entre que validamos la efectividad de los controles, menor será la certeza de que el resultado del trabajo de años anteriores nos proveerá de certeza sobre su efectividad en el año actual. Por esta razón debemos probar la efectividad de los controles en los cuales pretendemos confiar al menos cada tercera auditoría. Sin embargo, en ciertos casos, será necesario el validar controles que no han cambiado más frecuentemente que cada tercer año. Los factores que pueden disminuir el período de prueba incluyen los siguientes:
• Debilidades identificadas en el Ambiente de Control, Monitoreo de la entidad sobre los Controles Generales de Tecnología de Información.
• Si los controles en que depositamos confianza son controles aplicativos manuales.
• Cambios en personal que afectan significativamente la aplicación del control.
• Cambios en las circunstancias que indican la necesidad de modificar el control.
• Mientras mayor sea el riesgo de error material, mayor será la confianza que depositemos en el control, y menor será el tempo en que no lo probemos.
• Necesitamos obtener confort de que los controles manuales probados en años anteriores no han cambiado. Por lo tanto, debemos realizar una combinación de procedimientos que comprendan la investigación / entrevista, observación y examinación para confirmar la ausencia de cambios.
• Si deseamos depositar confianza en los controles que mitigan riesgos clave de error material, éstos debemos probarlos en cada período de auditoría en el que deseemos depositar confianza. En otras palabras, toda la evidencia sobre la efectividad de los controles para riesgos clave debe obtenerse en el período de auditoría actual.
• Debido a su efecto penetrante en los controles. Debemos probar cada año los Controles Generales de Tecnología de Información sobre los que estemos depositando confianza.
Conclusiones
El Control Interno es un instrumento eficaz para alcanzar niveles de eficiencia empresarial y constituye una herramienta importante para el Auditor, ayudando en el caso de los Auditores Externos a determinar los niveles de confort para el trabajo estos, ganando por ello más eficiencia en el trabajo de la Auditoria y su resultado final.