1. Introducción
Entender y evaluar el proceso de control interno de la entidad es responsabilidad del auditor diseñar pruebas que permitan identificar controles, riesgos y probar los procesos establecidos en la empresa.
2. Objetivo
De acuerdo con la NIA 330 “El objetivo del auditor es obtener suficiente evidencia apropiada de auditoría respecto a los riesgos evaluados de representación errónea de importancia relativa, mediante la planeación e implementación de respuestas apropiadas a dichos riesgos”.
3. Definiciones
La NIA 330 define los siguientes términos:
a) Procedimiento Sustantivo: Un procedimiento de auditoría diseñado para detectar representaciones erróneas de importancia relativa a nivel de aseveración.
Los procedimientos sustantivos comprenden:
- Pruebas de detalles (de clases de transacciones, saldos de cuentas, revelaciones); y
- Procedimientos analíticos sustantivos
b) Pruebas de controles: Un procedimiento de auditoría diseñado para evaluar la efectividad operativa de los controles para prevenir, o detectar y corregir, representaciones erróneas de importancia relativa a nivel de aseveración.
Durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los procedimientos que den respuesta a los riesgos significativos identificados de errores en su auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una aseveración en específico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos específicos.
En el trabajo realizado en la planeación de auditoría, el auditor identificó:
- Transacciones significativas y los procesos que las inician, procesan y registran
- Riesgos de negocio que tienen implicaciones significativas en los estados financieros
- Riesgos de fraude
4. Evaluar el Control Interno de la entidad
El entendimiento de evaluación del control interno debe realizar primero en la parte de arriba es decir, quienes dirigen y toman decisiones.
A continuación se listan los cinco componentes del control interno:
El entorno de control es lo que marca la pauta de una organización, o sea aquella base para influir en la conciencia de control de su personal Es el fundamento de los demás componentes del control interno, y provee disciplina y estructura.
La evaluación del riesgo es la identificación y el análisis de los riesgos relevantes que corre la empresa para el logro de sus objetivos, formando la base para determinar cómo se deben administrar los riesgos.
Los sistemas de información y comunicación soportan la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades.
Las Actividades de Control son las políticas y los procedimientos que deben seguirse para tener certeza que las instrucciones de la gerencia se llevan a cabo.
Monitoreo es un proceso para verificar la calidad de desempeño del control interno a través del tiempo.
Entorno de Control
La pauta que marca la alta gerencia—o sea el entorno o cultura corporativa dentro de la cual funciona la información financiera es el factor más importante que contribuye a la integridad del proceso de información financiera. En otras palabras, si la pauta marcada por la gerencia es relajada o poco estricta, un juego impresionante de reglas y procedimientos escritos logrará poco.
El entorno del control refleja la actitud general, el grado de conciencia y las acciones de la junta directiva, la gerencia, los dueños y otros concernientes a la importancia del control y el énfasis en el control sobre las políticas, procedimientos, métodos y estructura organizacional de la compañía. El entorno de control incluye la actitud de la gerencia hacia el desarrollo de estimaciones contables y en la filosofía para reportar información financiera; es el contexto en que operan el sistema contable y los controles internos.
El entorno del control refleja la actitud general, el grado de conciencia y las acciones de la junta directiva, la gerencia, los dueños y otros concernientes a la importancia del control y el énfasis en el control sobre las políticas, procedimientos, métodos y estructura organizacional de la compañía. El entorno de control incluye la actitud de la gerencia hacia el desarrollo de estimaciones contables y en la filosofía para reportar información financiera; es el contexto en que operan el sistema contable y los controles internos.
En su informe, Internal Control—Integrated Framework, COSO afirma que “El entorno de control tiene una influencia dominante sobre la manera en que se estructuran las actividades de negocio, como se establecen los objetivos y se evalúan los riesgos. También influye en las actividades de control, los sistemas de información y comunicación, y las actividades de monitoreo. Esto es cierto no solamente con respecto a su diseño, sino también a la forma en que funciona día a día”. ..
El entorno del control es la atmósfera dentro de la cual existen los controles contables de una compañía y se preparan los estados financieros. Por lo tanto es esencial tener una comprensión del entorno de control para poder identificar los factores que tienen un efecto dominante sobre el riesgo de que existan errores en el procesamiento de transacciones y en los juicios que la gerencia hace cuando prepara estados financieros. Un entorno de control satisfactorio no garantiza la eficacia de algún control específico, pero puede ser un factor positivo al evaluar el riesgo de errores. Un entorno de control eficaz también proporciona una base para esperar que los sistemas contables que están funcionando bien en un momento dado del año continúan funcionando bien el resto del año. De tal manera, el entorno de control es un ingrediente básico para tener controles internos eficaces.
El equipo a cargo del proyecto debe tener en cuenta los siguientes factores durante la revisión del entorno de control:
Integridad, valores éticos y el comportamiento de los ejecutivos clave
Conciencia de control de la gerencia y estilo de operación
Compromiso de ser competente
Participación de la junta directiva y del comité de auditoría en el gobierno (governance) y supervisión del negocio
Estructura adecuada de la organización y asignación de autoridad y responsabilidades Políticas y prácticas de recursos humanos
Integridad, Valores Eticos y el Comportamiento de Ejecutivos Clave
La integridad y los valores éticos son elementos esenciales del entorno de control, afectando el diseño, la administración y el monitoreo de los procesos clave. La integridad y el comportamiento ético son producto de las normas de la empresa sobre ética y comportamiento y de la manera de ser comunicadas, supervisadas y puestas en funcionamiento en la práctica. Incluyen las acciones que toma la gerencia para reducir o eliminar oportunidades de que el personal lleve a cabo acciones ilegales, deshonestas o contrarias a la ética. También incluyen las comunicaciones al personal de los valores de la empresa y sus normas de comportamiento a través de pronunciamientos de políticas y códigos de conducta, así como por ejemplos dados por sus ejecutivos.
Conciencia de Control y Estilo Operativo de la Gerencia
La gerencia tiene la responsabilidad de dirigir y controlar las operaciones y establecer, comunicar y monitorear políticas y procedimientos. Cada aspecto del entorno del control se ve profundamente influenciado por las acciones y las decisiones (o, en algunos casos, por inacción e indecisión) de la gerencia. En un ambiente de control eficaz, la conciencia de control de la gerencia y su estilo de operar y coordinar, propicia una operación eficaz de los procesos y controles y un entorno en que la probabilidad de error se minimice.
La conciencia de control se refiere a la importancia que la gerencia le da a los controles internos y, al entorno en que ellos funcionan. En gran parte este es un concepto intangible; es una actitud de la gerencia que, una vez comunicada, ayuda a lograr que un control adecuado permanezca en su lugar y reduzca la posibilidad de que controles específicos sean ignorados.
Compromiso de Ser Competentes
El compromiso de ser competentes incluye la consideración de la gerencia de los niveles de competencia para puestos específicos y cómo estos niveles se traducen en requisitos de aptitudes y conocimientos. Entre otros factores que la gerencia debe considerar, está la naturaleza y el grado de juicio que se debe usar en una labor específica y el grado de supervisión que va a necesitar. El equipo a cargo del proyecto tiene que considerar si el personal parece ser competente para cumplir sus responsabilidades (por ejemplo, sí el personal tiene el suficiente conocimiento y experiencia en el área de principios de contabilidad generalmente aceptados sobre los cuales la compañía va a reportar).
Participación de la Junta Directiva y del Comité de Auditoría en el Gobierno (Governance) y Supervisión del Negocio
La junta directiva, a través de actividades propias y con el soporte de un comité de auditoría, es responsable de la supervisión de los procedimientos y políticas contables y de reporte de información financiera.
Mientras que las actividades y responsabilidades específicas de los comités de auditoría varían y requieren modificaciones o adaptaciones conforme las circunstancias individuales, la junta directiva tiene una responsabilidad fiduciaria ante los accionistas y terceros por la presentación de reportes financieros confiables.
Como resultado la junta directiva y el comité de auditoría deben estar preocupados de reportar información financiera a los accionistas y al público inversionista y deben monitorear las políticas contables de la compañía y los procesos de auditoría interna y auditoría independiente.
Al determinar los efectos que tiene la junta directiva y/o el comité de auditoría sobre el entorno del control, el equipo a cargo del proyecto debe considerar la independencia de la junta directiva y/o el comité de auditoría con respecto a la gerencia, la experiencia y los conocimientos de sus miembros, el grado de participación y su escrutinio de las operaciones de la compañía, el grado en que surgen preguntas difíciles y se les da seguimiento con la gerencia y su interacción con los auditores internos y los auditores independientes.
Estructura Organizacional y Asignación de Autoridad y Responsabilidades
La estructura de organización de una empresa señala el marco general para la planeación, dirección y el control de las operaciones. Una estructura eficaz determina la asignación de responsabilidad, de tal manera que todo el personal tenga un claro concepto de quién es la persona a quien reportar y cuáles son sus responsabilidades.
En su revisión de la estructura de organización, el equipo a cargo del proyecto debe considerar métodos para (1) asignar autoridad, (2) monitorear operaciones descentralizadas, (3) asignar y monitorear responsabilidades para sistemas de información (incluyendo el uso de organizaciones de servicio o “service organizations”), (4) establecer y monitorear políticas y procedimientos (e.g., conflicto de intereses, seguridad corporativa y códigos de conducta) en toda la organización.
El equipo a cargo del proyecto debe concentrarse en la substancia de la estructura de organización y en los métodos seguidos para asignar autoridad y responsabilidad, en lugar de concentrarse en su forma. Por consiguiente, el nivel general de conocimiento y cumplimiento con las políticas y procedimientos, es tan importante como su monitoreo por parte de la gerencia. La revisión de la estructura de organización también es útil para que el equipo a cargo del proyecto determine el grado de segregación de funciones logrado y para evaluar los efectos que tienen las deficiencias significativas a este respecto.
Políticas y Procedimientos de Recursos Humanos
Estas políticas y procedimientos se refieren a la contratación, orientación, entrenamiento, evaluación, consejería, promoción y compensación del personal. La eficacia de las políticas y procedimientos, incluyendo los controles, depende de las personas que los ejecutan. Por lo tanto, la capacidad e integridad del personal de la compañía son elementos importantes de su entorno de control. La habilidad de una empresa para reclutar y contratar suficiente personal competente y responsable, depende a su vez de las políticas y prácticas de recursos humanos. Además, el nivel de competencia y de integridad del personal dedicado a procesos específicos es uno de los factores para evaluar la eficacia del control sobre los procesos.
Evaluación de Riesgo
Todas las empresas, independientemente de su tamaño, estructura, naturaleza o tipo de industria, encuentran riesgos en todos los niveles de su organización. Los riesgos afectan la habilidad que tiene una empresa para sobrevivir y para competir exitosamente dentro de su industria; para mantener su fortaleza financiera, su imagen pública positiva y la calidad general de sus productos o servicios y su personal. No hay manera práctica de reducir su riesgo a “cero”. De hecho, la decisión misma de establecer un negocio, crea un riesgo. La gerencia debe decidir el nivel de riesgo que prudentemente puede aceptar y tratar de permanecer dentro de ese nivel.
El proceso de identificación, análisis y administración de riesgos es un componente crítico de cualquier sistema de control interno eficaz. También debe reconocerse que siempre está presente el cambio y es fundamental para un proceso eficaz de evaluación de riesgo tomar las acciones necesarias para responder a tales cambios.
Para comprender el proceso de evaluación de riesgo a nivel de empresa, el equipo a cargo del proyecto debe considerar factores tales como:
- Si se han establecido y comunicado los objetivos a nivel de empresa, incluyendo la manera como están soportados por planes estratégicos y complementados a nivel de proceso o de aplicación.
- Si se ha establecido un proceso de evaluación de riesgos que incluya una estimación de la importancia de los riesgos, evaluación de las probabilidades de que ocurran, y determinación de las acciones necesarias.
- Si se han establecido mecanismos para anticipar, identificar y reaccionar a situaciones que puedan tener un efecto dramáticamente extenso en la empresa. (Por ejemplo, un comité gerencial de administración de activos/pasivos en una institución financiera, o un grupo de riesgos de comercialización de “commodities” en una empresa manufacturera).
- Si existen mecanismos para anticipar, identificar y reaccionar a eventos rutinarios o a actividades que afecten el logro de los objetivos de la entidad o a nivel de proceso/aplicación.
- Si el departamento de contabilidad ha establecido procesos para identificar cambios significativos en los principios de contabilidad generalmente aceptados promulgados por las autoridades pertinentes.
- Si los canales de comunicación están facultados para notificar al departamento de contabilidad los cambios en las prácticas de negocios de la empresa que pueden afectar el método o el proceso de registrar transacciones
- Si el departamento de contabilidad tiene procesos para identificar cambios importantes en el entorno operativo, incluyendo cambios regulativos.
Información y Comunicación
Información y comunicación es el proceso de capturar e intercambiar información que se necesita para ejecutar, administrar y controlar las operaciones de la empresa.
La calidad del sistema de comunicación e información de la compañía afecta la habilidad de la gerencia para tomar las decisiones acertadas para controlar las actividades de la compañía y preparar reportes financieros confiables.
Información y comunicación abarcan la captura y la emisión de información al personal adecuado para que éste pueda cumplir con sus responsabilidades, incluyendo una comprensión de las funciones y responsabilidades individuales que atañen al control interno sobre reportes de información financiera.
Para entender la información y comunicación a nivel de empresa, el equipo a cargo del proyecto considera factores tales como:
Información
- Si el sistema de información provee a la gerencia los informes necesarios sobre el desempeño de la empresa en relación con los objetivos establecidos, incluyendo información relevante tanto externa como interna.
- Si la información se provee a las personas adecuadas con suficiente detalle y anticipación para que puedan desempeñar sus responsabilidades eficientemente y con eficacia
- Hasta qué grado los sistemas de información son desarrollados o modificados con base en un plan estratégico que está inter-relacionado con el sistema general de información de la empresa, que permita el logro de los objetivos a nivel de empresa y de proceso/aplicación
- Si la gerencia de la empresa asigna los recursos humanos y financieros adecuados para desarrollar los sistemas de información que sean necesarios
- Cómo asegura y monitorea la gerencia la participación de usuarios en el desarrollo (incluyendo modificaciones) y pruebas de programas
- Si se ha establecido un plan de recuperación en caso de desastre para todos los centros principales de datos
Comunicación
- Si la gerencia comunica de manera eficaz las funciones y responsabilidades de control del personal
- Si se han establecido canales de comunicación para las personas que tienen que reportar hechos sospechosos
- La idoneidad de la comunicación a través de la empresa para facilitar el desempeño de obligaciones por parte del personal
- Si la gerencia toma oportuna y apropiada acción de seguimiento en relación con las comunicaciones de clientes, proveedores, mediadores y otras partes externas
- Si la empresa está sujeta a requisitos de monitoreo y cumplimiento impuestos por organismos reguladores
- El alcance de notificación a terceros fuera de la empresa (tales como clientes y proveedores) sobre las políticas y normas de ética de la empresa.
Actividades de Control
Las actividades de control son políticas y procedimientos que ayudan a asegurar que las instrucciones de la gerencia sean cumplidas. Ayudan a asegurar que se toman las acciones necesarias para tratar los riesgos en el logro de los objetivos de la empresa. Las actividades de control, automatizadas o manuales, tienen varios objetivos y se aplican a varios niveles organizacionales y funcionales.
Para comprender las actividades de control a nivel de empresa, el equipo a cargo del proyecto toma en cuenta factores tales como:
- Si existen las políticas y los procedimientos que se requieren respecto a cada actividad de la empresa.
- Si los controles se aplican con la extensión que requiere cada política.
- Si la gerencia tiene objetivos claros en términos de presupuesto, utilidades, otras metas financieras y de operación y estos objetivos son expresados con claridad y comunicados a toda la organización, y son monitoreados continuamente.
- Si hay sistemas establecidos de información y de planeación para identificar variaciones en el desempeño planeado y comunicar tales variaciones a nivel apropiado de gerencia.
- Grado en que las funciones están segregadas entre diferentes personas de tal manera que se reduce el riesgo de fraude o de otros actos impropios.
- Grado en que las funciones están divididas lógicamente por medio de aplicaciones de tecnología de información (IT).
- Si se hacen comparaciones periódicas de los importes registrados en el sistema contable con los activos físicos.
- Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la destrucción de documentos, registros y activos.
- Si se han establecido políticas para controlar el acceso a archivos de datos y programas.
- Si se usa algún software de seguridad de acceso, de sistema operativo, y/o de aplicaciones para controlar el acceso a datos y programas.
- Si hay sistemas establecidos de información y de planeación para identificar variaciones en el desempeño planeado y comunicar tales variaciones a nivel apropiado de gerencia.
- Grado en que las funciones están segregadas entre diferentes personas de tal manera que se reduce el riesgo de fraude o de otros actos impropios.
- Grado en que las funciones están divididas lógicamente por medio de aplicaciones de tecnología de información (IT).
- Si se hacen comparaciones periódicas de los importes registrados en el sistema contable con los activos físicos.
- Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la destrucción de documentos, registros y activos.
- Si se han establecido políticas para controlar el acceso a archivos de datos y programas.
- Si se usa algún software de seguridad de acceso, de sistema operativo, y/o de aplicaciones para controlar el acceso a datos y programas.
- Si existe una función establecida de seguridad de información con la responsabilidad de monitorear el cumplimiento con las políticas y procedimientos de seguridad de información.
Monitoreo
Una importante responsabilidad de la gerencia es el establecimiento y mantenimiento del control interno. La gerencia monitorea los controles para cerciorarse de que funcionen conforme a lo diseñado, y si se han modificado para adaptarlos a condiciones cambiantes. Monitoreo es un proceso de evaluación para determinar la calidad del control interno a través del tiempo, considerando si los controles están operando para lo que fueron diseñados y asegurando que son modificados apropiadamente por condiciones cambiantes. Esto implica evaluar el diseño y la operación de los controles con regularidad, tomando las acciones correctivas necesarias. Este proceso se logra mediante actividades sobre la marcha y evaluaciones separadas, o combinaciones de ambas.
Para comprender el proceso de monitoreo a nivel de empresa, el equipo a cargo del proyecto debe tener presente factores tales como:
- Si se llevan a cabo evaluaciones periódicas del control Interno
- Grado en que el personal, en el desarrollo de sus funciones regulares, obtiene evidencia de que el sistema de control interno continúa funcionando
- Grado en que las comunicaciones de partes externas corroboran la información generada internamente o indican problemas
- Si la gerencia sigue las recomendaciones que le hacen los auditores internos y los auditores independientes
- Enfoque de la gerencia para corregir oportunamente las condiciones informales conocidas
- Enfoque de la gerencia para manejar los reportes y recomendaciones provenientes de autoridades reguladoras
- Existencia de una función de la auditoría interna que la gerencia usa para ayudarse en el monitoreo, la cual incluye factores tales como:
- Independencia (autoridad y relaciones de reporte)
- Líneas de reporte (se reporta directamente a la junta directiva y/o al comité de auditoría, o se tiene acceso ilimitado a la junta directiva y/o al comité de auditoría)
- Idoneidad en la asignación de personal, entrenamiento y existencia de destrezas especializadas de acuerdo con el entorno (e.g., uso de auditores de sistemas de información experimentados, adiestrados en entornos complejos y altamente automatizados)
- Cumplimiento con las normas profesionales aplicables
- Alcance de actividades (un balance entre auditorias financieras y operacionales, cobertura y rotación de operaciones descentralizadas)
- Idoneidad de la planeación, evaluación de riesgos y documentación del trabajo ejecutado y las conclusiones alcanzadas
- Inexistencia de responsabilidades operativas
El equipo a cargo del proyecto debe evaluar si el sistema de control interno está sujeto a auto-monitoreo y si incluye mecanismos apropiados para asegurar que cualesquier deficiencias observadas son corregidas. En el caso de que los métodos de auto-monitoreo y corrección de deficiencias sean evaluados como inadecuados, el equipo debe proponer recomendaciones específicas para mejorar el sistema.
5. Entender y Evaluar el Control Interno en Procesos y Transacciones
- Identificar y Evaluar las Clases Mayores de Transacciones
- Otras Consideraciones de Control
- Efectos de la Tecnología de Información
Después de terminar una evaluación de control interno a nivel de empresa, el sistema de contabilidad de una organización se convierte en el foco primario para la evaluación del control interno sobre la información financiera. Para este propósito, el sistema de contabilidad está representado por los procesos que son básicos para la información financiera de la Compañía (i.e., los procesos de negocios y/o actividades contables).
Determinar las Cuentas Significativas
El punto de partida para identificar cuales son los procesos importantes, que empieza con la identificación de las cuentas o grupos de cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que pueden tener un efecto material sobre los estados financieros u otros asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa con sus clientes, accionistas o el público si estos asuntos quedaran sin ser detectados.
La importancia de una cuenta son su tamaño y composición, y su susceptibilidad a manipulación o pérdida; su naturaleza; el volumen de la actividad, tamaño, complejidad y homogeneidad de las transacciones individuales procesadas a través de la cuenta y la subjetividad en la determinación del saldo de la cuenta (i.e., el alcance en que la cuenta es afectada por juicios).
Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o grupo de cuentas también es algo que se debe tener presente. Generalmente, una empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnología) tendrá más situaciones de incertidumbre y de riesgo que compañías con estabilidad.
1. Identificar y Evaluar las Clases Mayores de Transacciones
Identificar las cuentas significativas
El punto de partida para identificar cuáles son los procesos importantes, que empieza con la identificación de las cuentas o grupos de cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia que pueden tener un efecto material sobre los estados financieros u otros asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio de la empresa con sus clientes, accionistas o el público si estos asuntos quedaran sin ser detectados.
La importancia de una cuenta son su tamaño y composición, y su susceptibilidad a manipulación o pérdida; su naturaleza; el volumen de la actividad, tamaño, complejidad y homogeneidad de las transacciones individuales procesadas a través de la cuenta.
Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta o grupo de cuentas también es algo que se debe tener presente. Generalmente, una empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de crecimiento, mercados, productos, personal, tecnología) tendrá más situaciones de incertidumbre y de riesgo que compañías con estabilidad.
Identificar y evaluar transacciones importantes
Esta identificación representa el enlace entre la identificación de cuentas o grupo de cuentas significativas y la comprensión y evaluación de los procesos y controles relacionados.
Las transacciones mayores incluyen todas las clases de transacciones que afectan en forma material las cuentas o grupos de cuentas significativas, sea directamente a través de asientos en el mayor general, o indirectamente mediante la creación de derechos u obligaciones que no pueden ser registrados en el libro mayor.
Los procesos comprenden clases de transacciones que pueden calificarse como:
- rutinarias,
- no rutinarias o
- de estimación
Es importante distinguir entre estas clases mayores de transacciones porque los componentes y riesgos en cada clase son diferentes y, como resultado, la probabilidad de errores de importancia que surgen de los procesos correspondientes también difiere.
Transacciones Rutinarias
Son los datos financieros registrados en los libros y los registros o datos no financieros usados para administrar el negocio.
Por ejemplo, una empresa podría tener las siguientes transacciones rutinarias: Ventas y cuentas por cobrar
- Ingresos en efectivo
- Compras y cuentas por pagar
- Egresos en efectivo
- Nómina
- Inventarios y costo de ventas
Algunas empresas tendrán más de un solo proceso para transacciones similares. Por ejemplo, puede haber procesos separados para ventas domésticas y de exportación; la nómina puede ser diferente para aquellos con salario fijo y los que ganan en base a horas trabajadas.
Transacciones No Rutinarias
Estas son transacciones que se llevan en forma periódica, generalmente en conjunto con los estados financieros. Cualquier clase mayor de transacciones que no cumpla fácilmente con la definición de transacción rutinaria o transacción de estimación se puede ver como transacción no rutinaria. Transacciones típicas no rutinarias incluyen:
- Cálculo del gasto por impuesto sobre la renta
- Conteo y valuación de inventarios
- Determinación de gastos pagados por adelantado
Transacciones de Estimación
Estas son transacciones que reflejan los numerosos juicios, decisiones y alternativas en la preparación de estados financieros (Ej: Estimación para cuentas por cobrar).
Es importante tener presente que las transacciones rutinarias generalmente están sujetas a un sistema de control más formal, debido a que hay mayor objetividad en los datos y en el volumen de información procesada.
Por el contrario, debido a que las transacciones no rutinarias y las de estimación frecuentemente son más subjetivas o menos frecuentes, sus controles son menos formales. En consecuencia, el riesgo de errores potenciales puede ser mayor.
Entender el Flujo de Transacciones
Una vez identificado las principales clases de transacciones, es necesario obtener detalle de los procesos para comprender el flujo de cada clase mayor de transacciones.
El objetivo de este paso es la identificación de los registros, documentos y procedimientos básicos en uso para identificar en dónde pueden ocurrir errores.
La mayoría de los procesos involucran una serie de actividades tales como la validación y edición de entrada de datos, cálculos, actualización de archivos maestros y de transacciones y resumen e información de datos.
Los procedimientos de proceso más importantes y que son necesarios para efectos de identificar dónde pueden ocurrir errores son las actividades que se requieren para iniciar; registrar; procesar o reportar las clases mayores de transacciones. Estos incluyen procedimientos para corregir y reprocesar transacciones previamente rechazadas y procedimientos para corregir transacciones erróneas mediante asientos de ajuste.
Debemos comprender el flujo y la naturaleza de la información; analizar los tipos de errores que pueden ocurrir en la iniciación, registro, proceso y reporte de las transacciones y considerar las políticas y procedimientos de control interno relevantes.
Si bien la documentación de la comprensión y evaluación variará según la categoría de la transacción, Ej: usar papeles de trabajo para documentar procesos para transacciones rutinarias y memorandos para documentar procesos para transacciones no rutinarias y de estimación, los objetivos de registrar información contable son consistentes.
Proceso de Reporte de Información Financiera
Se debe incluir en su comprensión y evaluación del control interno el proceso para producir reportes financieros. La comprensión de los procesos significativos de la empresa y su interrelación con el proceso específico de producir información financiera proporcionará una base para conocer la información requerida para el proceso de información financiera. Típicamente éste incluirá:
- Los procedimientos para registrar los totales de las transacciones en el mayor general.
- Los procedimientos para iniciar, registrar y procesar asientos de diario en el mayor general.
- Otros procedimientos usados para registrar ajustes recurrentes y no- recurrentes en los estados financieros y reclasificaciones.
- Procedimientos para preparar proyectos de estados financieros y notas a los estados financieros.
- Preparación del análisis de la gerencia en cuanto a logros financieros y operativos del negocio.
Evaluar los Controles Diseñados
Pruebas de controles
El auditor deberá diseñar y desempeñar pruebas de controles para obtener suficiente evidencia apropiada de auditoría en cuanto a la efectividad operativa de los controles relevantes si:
- La evaluación del auditor de los riesgos de representación errónea de importancia relativa a nivel aseveración incluye una expectativa de que los controles están operando de manera efectiva (es decir, el auditor piensa apoyarse en la efectividad operativa de los controles para determinar la naturaleza, oportunidad y extensión de los procedimientos sustantivos);
- Los procedimientos sustantivos solos no pueden proporcionar suficiente evidencia apropiada de auditoría a nivel aseveración.
Al diseñar y desempeñar las pruebas de controles, el auditor deberá obtener evidencia de auditoría más persuasiva, mientras mayor sea el grado de dependencia del auditor de la efectividad de un control.
Naturaleza y extensión de las pruebas de controles
Al diseñar y desempeñar las pruebas de controles, el auditor deberá:
a) Desempeñar otros procedimientos de auditoría en combinación con la investigación, para obtener evidencia de auditoría sobre la efectividad operativa de los controles, incluyendo:
i) Cómo se aplicaron los controles en momentos relevantes durante el periodo bajo auditoría;
ii) La consistencia con que se aplicaron; y iii) Por quién y por qué medios se aplicaron.
b) Determinar si los controles por probar dependen de otros controles (controles indirectos) y, de ser así, si es necesario obtener evidencia de auditoría que soporte la operación efectiva de dichos controles indirectos.
Oportunidad de las pruebas de controles
El auditor deberá poner a prueba los controles por el tiempo particular, o durante el período, por el cual piensa el auditor apoyarse en dichos controles, para dar una base apropiada para el soporte pensado por el auditor.
Si el auditor obtiene evidencia de auditoría sobre la efectividad operativa de los controles durante un periodo provisional, el auditor deberá:
- Obtener evidencia de auditoría sobre cambios importantes a dichos controles posteriores al periodo provisional; y
- Determinar la evidencia adicional de auditoría que se debe obtener por el período restante
Uso de evidencia de auditoría obtenida en auditorías previas
Al determinar si es apropiado usar evidencia de auditoría sobre la efectividad operativa de los controles obtenida en auditorías previas, y, si es así, la duración del periodo que puede pasar antes de volver a someter a prueba un control, el auditor deberá considerar lo siguiente:
- La efectividad de otros elementos de control interno, incluyendo el entorno del control, el monitoreo de controles por la entidad, y el proceso de evaluación del riesgo de la entidad;
- Los riesgos que se originen de las características del control, incluyendo si es manual o automatizado;
- La efectividad de los controles generales de TI;
- La efectividad del control y su aplicación por la entidad, incluyendo la naturaleza y extensión de las desviaciones en la aplicación del control que se observaron en auditorías previas, y si ha habido cambios de personal que afecten de manera importante la aplicación del control;
- Si la falta de un cambio de un control particular plantea un riesgo debido a las circunstancias cambiantes; y Los riesgos de representación errónea de importancia relativa y el grado de dependencia del control
- Los riesgos de representación errónea de importancia relativa y el grado de dependencia del control
Si el auditor planea usar evidencia de auditoría de una auditoría previa sobre la efectividad operativa de controles específicos, el auditor deberá establecer la relevancia continua de dicha evidencia, obteniendo evidencia de auditoría sobre si han ocurrido cambios importantes en dichos controles posteriores a la auditoría previa.
La efectividad de otros elementos de control interno, incluyendo el entorno del control, el monitoreo de controles por la entidad, y el proceso de evaluación del riesgo de la entidad; Los riesgos que se originen de las características del control, incluyendo si es manual o automatizado; La efectividad de los controles generales de TI; La efectividad del control y su aplicación por la entidad, incluyendo la naturaleza y extensión de las desviaciones en la aplicación del control que se observaron en auditorías previas, y si ha habido cambios de personal que afecten de manera importante la aplicación del control; Si la falta de un cambio de un control particular plantea un riesgo debido a las circunstancias cambiantes; y Los riesgos de representación errónea de importancia relativa y el grado de dependencia del control.
- Si ha habido cambios que afecten la relevancia continua de la evidencia de auditoría de la auditoría previa, el auditor deberá someter a prueba los controles en la auditoría.
- Si no ha habido esos cambios, el auditor deberá poner a prueba los controles cuando menos una vez cada tercer auditoría, y deberá poner a prueba algunos controles cada auditoría, para evitar la posibilidad de poner a prueba todos los controles sobre los que piensa apoyarse el auditor en un solo periodo de auditoría, sin poner a prueba controles en los dos periodos de auditoría posteriores.
Controles sobre riesgos importantes
Si el auditor planea apoyarse en los controles sobre un riesgo que el auditor ha determinado que es un riesgo importante, el auditor deberá poner a prueba esos controles en el periodo actual.
Evaluación de la efectividad operativa de los controles
Cuando evalúa la efectividad operativa de los controles relevantes, el auditor deberá evaluar si las representaciones erróneas que se han detectado con procedimientos sustantivos indican que los controles no están operando de manera efectiva. Sin embargo, la ausencia de representaciones erróneas detectadas con procedimientos sustantivos, no da evidencia de auditoría de que son efectivos los controles relacionados con la aseveración que se pone a prueba.
Si se detectan desviaciones de los controles en los que el auditor piensa apoyarse, el auditor deberá hacer investigaciones específicas para entender estos asuntos y sus consecuencias potenciales, y deberá determinar si:
- Las pruebas de controles que se han desempeñado proporcionan una base apropiada para confiar en los controles;
- Son necesarias pruebas adicionales de controles; o
- Necesitan tratarse los riesgos potenciales de representación errónea usando procedimientos sustantivos.
La determinación si los controles tal como fueron diseñados, son eficaces, deben probarse mediante las pruebas de auditoría. Al hacer esta evaluación, el auditor debe considerar:
- Características de las cuentas relacionadas (tamaño, susceptibilidad a errores o manipulación).
- Eficacia del control interno a nivel de empresa.
- Conclusiones relacionadas con los procesos de tecnología de información (IT).
- El diseño de control implementado por la empresa.
- Riesgos del control.
- Políticas y procedimientos en relación con autorización, custodia de activos, control confiable de los activos y segregación de funciones.
Determinar si los controles logran un objetivo específico (e.g., con respecto a los objetivos de reporte de información financiera o cuáles errores de importancia no ocurren) requiere con frecuencia de juicio considerable.
La pregunta clave es si los controles esenciales podrían prevenir y/o detectar un error material relacionado con cada una de las aseveraciones pertinentes en los estados financieros.
Si los controles existentes no son eficaces para ese propósito (o no hay controles), podría ser necesario establecer controles adicionales ya sean programados o manuales. Sin embargo, antes de instalar procedimientos nuevos, la empresa debería llevar a cabo un estudio de costo-beneficio.
Determinar Si los Controles Funcionan Tal Como se Diseñaron
La gerencia debe tener una seguridad razonable que los controles funcionan tal como se diseñaron.
Un paso inicial en ese proceso es que el auditor ejecute el recorrido de una transacción para verificar que lo que él entiende sobre el funcionamiento deseado del proceso y de sus controles es correcto.
Después que este recorrido ha sido ejecutado, puede comenzar la prueba de la eficacia de los controles.
Las pruebas para verificar si los controles funcionan tal como se diseñaron, pueden hacerse mediante:
- Indagación a las personas responsables del control y
- Examen de la evidencia (e.g. revisión de las conciliaciones bancarias) de que el control fue ejecutado y fue eficaz.
- Analizar una transacción y repite la operación (por ejemplo los cálculos en una factura usada como muestra).
d. En otros casos se puede obtener una seguridad del buen funcionamiento de un control, observando a los empleados mientras llevan a cabo sus funciones, y mediante entrevistas con el personal para determinar si entienden lo que deben hacer si se identifica un error durante la ejecución de sus funciones.
En los casos de transacciones procesadas por el sistema IT, además de seguir el flujo físico de documentos y formas, el auditor también sigue el flujo de datos y de información de archivos a través de procesos automatizados en la aplicación (a nivel de sistema y no a nivel de lógica detallada).
Esto puede involucrar procedimientos tales como preguntas a personal independiente pero con conocimiento de la materia, revisión de manuales de usuario, observación de un usuario cuando procesa transacciones en una terminal, en el caso de una aplicación “on line”, y revisión de documentación tal como reportes de salida (output).
Al concluir esta tarea, el auditor debe documentar si los controles manuales y programados funcionan conforme a lo diseñado e incluir cualesquier otros comentarios pertinentes que puedan ayudar al auditor para evaluar procesos claves.
En un ambiente de negocio dinámico, los controles requieren una modificación cada cierto tiempo. Ciertos sistemas pueden requerir mejoras en sus controles para responder a nuevos productos en el mercado o debido a riesgos emergentes. La automatización de algunos controles manuales puede mejorar la eficiencia y el cumplimiento con las políticas de la gerencia. En otras áreas la evaluación puede indicar controles redundantes u otros procedimientos que ya no son necesarios. En tales casos la compañía puede mantener un nivel aceptable de controles y mejorar sus resultados mediante los cambios apropiados.
En el caso de que se identifiquen áreas en donde los controles son insuficientes para producir una seguridad razonable de que el riesgo de errores disminuye a un nivel aceptable, el equipo a cargo del proyecto debe recomendar mejoras. En todas las recomendaciones hay que tener presente el concepto de seguridad razonable.
Tanto los textos de auditoría como el informe COSO enfatizan en que el control interno no tiene que estar completamente libre de riesgos si la eliminación total de éstos tuviese un costo superior al beneficio esperado. Por lo tanto, cuando el revisor o el equipo a cargo del proyecto identifican un riesgo, es necesario tomar una “decisión de costo-beneficio” respecto a si los costos de instalación y mantenimiento de un control que reduzca o elimine el riesgo exceden los beneficios esperados. Generalmente, los controles solamente pueden reducir, no eliminar por completo, un riesgo. Además, se pueden usar los análisis de costo-beneficio para determinar si los controles existentes deben conservarse.
Todos los aspectos de control interno están sujetos al juicio procedimientos rutinarios (e.g., comparando facturas con reportes de recibo) Monitoreo periódico (e.g., pruebas de controles, verificación de porciones del sistema, actualización de estudios anteriores sobre costo-beneficio). Esto incluye decisiones sobre el tipo de monitoreo (e.g., por auditores internos) y la frecuencia del monitoreo (e.g., trimestral, anual, etc.)
Documentación relacionada con:
- Transacciones
- Sistema de control
- Actividades de monitoreo
- Decisiones costo-beneficio
Políticas y prácticas para reportar:
- Funcionamiento inadecuado de controles o controles circunvenidos
- Cambios en las circunstancias que originan riesgos adicionales o nuevos, o reducen o eliminan riesgos existentes
- Políticas y prácticas para tomar oportunamente acciones correctivas
En muchos casos, o posiblemente en la mayoría de ellos, un análisis formal de costo- beneficio sería difícil o costoso e innecesario. Por ejemplo, las personas que efectúan el análisis, después del segundo paso pueden reconocer que el costo excederá los beneficios. Por otra parte, quienes llevan a cabo el análisis pueden llegar a la conclusión de que el costo de reducir el riesgo será mínimo y que puede ser práctico instalar el control.
Sin embargo, en aquellos casos donde tiene sentido un análisis formal de costo- beneficio, puede ser útil tomar en consideración lo siguiente:
- Listar todas las alternativas razonables (incluyendo controles) que puedan adoptarse para reducir o eliminar los riesgos –y si éstas no han sido identificadas– listar todos los riesgos que podrían ser reducidos o eliminados con cada alternativa.
- Listar o identificar las partidas relevantes de costo a incurrir en cada alternativa.
- Determinar los costos y riesgos que son cuantificables.
- Cuantificar esos costos y riesgos.
- Estimar la probabilidad de que una pérdida ocurrirá por falta de corregir la debilidad, y con qué frecuencia puede ocurrir ese evento.
- Para estimar en cada alternativa la probabilidad (si existe) de que pueda ocurrir una pérdida si el control es instalado, y con cuanta frecuencia podría ocurrir (si es el caso).
- Desarrollar la “mejor estimación” de los beneficios que podría haber al eliminar o reducir el riesgo (e.g.,, multiplicando en cada alternativa el riesgo cuantificado por la reducción en la probabilidad de que una pérdida pudiera ocurrir y luego por la reducción en la frecuencia de ocurrencias).
- Decidir si los costos por corregir la debilidad podrían exceder los beneficios, o viceversa, con base en una comparación de costos (cuantificables y no cuantificables) con los beneficios (cuantificables y no cuantificables).
Monitoreo
Finalmente, como se mencionó anteriormente, el control interno debería ser auto– monitoreable y auto–corregible. Quiere decir que una empresa debe establecer mecanismos para monitorear continuamente y mantener el sistema de control interno y tomar la acción correctiva oportunamente, cuando sea necesario.
Generalmente, La responsabilidad para convertir el sistema de control interno en “auto-monitoreable” y “autocorregible” no debe ser asignada exclusivamente a un solo grupo. En un sentido amplio, el sistema de control interno es integral y completo. Involucra a personal de toda la organización, incluyendo a muchas personas que no se consideran con responsabilidades contables o de control.
Fuentes para documentar procesos
Las siguientes son las fuentes en donde el Auditor puede encontrar información para documentar los procesos:
- Organigramas que identifiquen los puestos y responsabilidades
- Entrevistas con los dueños de los procesos
- Manuales de procedimientos
- Políticas relacionadas con el proceso
- Observación de las actividades del proceso
- Inspección de información producida por el proceso
- Informes de auditorías internas y/o externas (ayuda a que el Auditor identifique debilidades y riesgos del proceso)
- Revisión de las cartas de recomendaciones del Auditor del año anterior
Evaluar el proceso y transacción
Para el logro de nuestro análisis de los procesos, consideraremos el desarrollo de las siguientes actividades, así:
- Entendimiento del proceso
- Identificación de los riesgos y controles del proceso
- Selección de los controles relevantes a los que se les realizarán las pruebas
- Evaluación de los controles
- Diseño de las pruebas de auditoría relativas a la eficacia operativa de controles.
a. Entendimiento del proceso
Es indispensable que el Auditor entienda y documente las actividades que inician, procesan y registran las transacciones significativas. Ejemplo:
b. Identificación de los riesgos y controles del proceso
Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que los mitigan. En la identificación de riesgos es importante que considere los factores que pueden incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la obtención de objetivos, complejidad de una actividad, distribución geográfica de las actividades, entre otras.
Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de los procesos:
La vinculación de personal, no competitivo frente a los retos de la organización, así como la falta de efectividad de métodos de entrenamiento y motivación que puedan influir en el nivel de conciencia del auto-control en la entidad operaciones de la entidad.
Fallas en el procesamiento de los sistemas de información, que afectan las operaciones de identidad.
Cambios en las responsabilidades asignadas de la administración, que afecten la ejecución de algunos controles.
Identificación de Controles
Los controles se clasifican en tres tipos:
- Automático: lo realiza de principio a fin un sistema de información.
- Semiautomático: es ejecutado de manera parcial por una persona, pero con la colaboración de un sistema de información.
- Manual: lo ejerce en su totalidad una persona, sin la colaboración de un sistema de información.
Los controles pueden ser preventivos, detectivos o correctivos:
Control Preventivo: Su objetivo es anticiparse a los eventos no deseados, actuando sobre las causas del riesgo, así como evitando la generación de errores o eventos fraudulentos.
Control Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, así como advierte sobre la presencia de riesgos.
Control Correctivo: Se orienta a la implementación de las acciones correctivas una vez se ha identificado un evento no deseado. Su implementación se realiza cuando los controles preventivos y detectivos no han funcionado, lo cual representa que su implementación sea más costosa, pues actúan cuando ya se han materializado eventos de pérdida para la organización.
2. Otras Consideraciones de Control
Las políticas y procedimientos en relación con autorización, salvaguardia de activos, responsabilidad sobre activos y segregación de funciones son establecidos por la gerencia para poder proveer una seguridad razonable de que:
- Los activos son adquiridos, custodiados y usados, y los pasivos son incurridos y liberados conforme a las decisiones de la gerencia.
- La información financiera es mantenida correctamente en los libros y registros con respecto a activos y pasivos resultantes de dichas decisiones.
Estas políticas y procedimientos son parte integral de un sistema de control interno y se relacionan básicamente con el control de la gerencia sobre la disposición de los activos y pasivos de la empresa y, únicamente de manera indirecta, con los controles sobre el procesamiento de datos, los cuales se ocupan con la contabilización correcta, puntual y completa de las transacciones. Sin embargo, la ausencia de dichos controles podría incrementar el riesgo de errores de importancia en la información financiera incluida en los libros y registros de la empresa.
En vista de que las políticas y procedimientos frecuentemente toman la forma de controles, la ausencia de políticas y procedimientos adecuados sobre cualquiera de estas áreas puede afectar la forma en que el equipo a cargo del proyecto juzgue la eficacia de controles específicos sobre los procesos.
Autorización: Los niveles general y específico de autorización y aprobación y los procedimientos diseñados para asegurar que las transacciones y actividades se ejecutan de conformidad con las intenciones de la gerencia.
Salvaguardia de los activos: Restricciones, diseñadas para evitar la pérdida de activos, al acceso y uso de activos y registros, incluyendo el acceso físico y acceso indirecto mediante la preparación y procesamiento de datos que autoricen o faciliten el uso o disposición de activos
Responsabilidad sobre activos:
Procedimientos para comparar los activos registrados con los activos en existencia física y para tomar las acciones apropiadas cuando se identifican diferencias. Tales procedimientos ayudan a establecer una seguridad razonable de que se siguen los procedimientos relativos a autorización de uso y acceso a los activos.
Segregación de funciones: La prevención que una sola persona lleve a cabo funciones que no son compatibles o que una aplicación de Tecnología de Información permita acceso inapropiado o excesivo de los usuarios a las funciones. Por ejemplo, si una persona está en posición de cometer errores y a la vez esconderlos dentro del curso normal de sus propias funciones.
3. Efectos de la Tecnología de Información
En más aplicaciones complejas automatizadas, los controles identificados por la gerencia muchas veces pueden involucrar tecnología de información (IT). Los controles de IT incluyen controles de aplicación y controles generales de IT. Estos controles ayudan a proveer una seguridad razonable de que las transacciones son válidas y están debidamente autorizadas y procesadas de manera completa y precisa para dar confiabilidad.
Controles de Aplicación
Los controles de aplicación corresponden al procesamiento de transacciones individuales y pueden consistir en procedimientos programados (e.g., programas específicos para procesar o editar una transacción) o controles no programados (e.g., balanceo manual de información producida por IT). Existen frecuentemente controles programados, que pueden ser procedimientos de control programados (e.g., editar, comparar o conciliar) o procesos de IT (e.g., cálculos, asientos “on line” o interfaces automáticas entre sistemas) en los cuales la gerencia confía para asegurar la exactitud e integridad de la información generada por las aplicaciones automatizadas. Por ejemplo, para asegurar que los precios en todas las facturas a los clientes son correctos, la gerencia puede confiar en una información automatizada para identificar transacciones de fijación de precios que no cumplen con los criterios establecidos en combinación con un software de control de acceso para restringir el acceso al archivo maestro de precios. En forma similar, la gerencia puede otorgar confianza a un proceso de IT como la extensión automatizada de las facturas de venta para asegurarse de que todas las ventas han sido valuadas apropiadamente.
Se pueden encontrar controles programados a diferentes niveles de procesamiento de datos. Los siguientes son algunos ejemplos:
Entradas (input): Existen controles para asegurar la validez e integridad de los datos de entrada (input) (e.g., resumen de las transacciones generadas en las sucursales). Puede haber varias validaciones para evitar la entrada (input) de datos erróneos.
Procesamiento: También existen controles para proporcionar valuación y contabilización correctas. Los procesos pueden ejecutar cálculos sencillos o complejos (e.g., de precios de productos, de valuación de opciones). La administración del procesamiento de instrucciones y parámetros también constituye un asunto clave de control.
Salidas (output): Controles especiales pueden estar en funcionamiento cuando las salidas de datos generan pagos (e.g., la validación de la identificación de proveedores antes de procesar el pago).
Un control programado por si mismo no puede ser suficiente para asegurar que la aplicación previene la ocurrencia de errores o para detectar y corregir errores que hayan ocurrido durante el procesamiento. Sin embargo, un control programado, en combinación con controles generales eficaces de IT puede proporcionar el nivel de control deseado.
Controles Generales de IT
Se refieren a controles fundamentales sobre la adquisición y mantenimiento de software de aplicaciones y sistemas, seguridad de accesos y segregación de funciones que operan para asegurar la eficacia de los controles programados. Típicamente los controles generales de IT están diseñados para asegurar que:
Todos los cambios en las aplicaciones han sido autorizados, sujetos a prueba y aprobados antes de su implantación.
Únicamente personas y aplicaciones autorizadas tienen acceso a los datos y solamente para ejecutar funciones definidas específicamente (e.g., indagar, ejecutar o actualizar).
Si, tomando en consideración las preguntas sobre “lo que pudo fallar”, el equipo a cargo del proyecto determina que la gerencia está otorgando confianza a controles programados o que el control identificado depende de datos generados por IT, entonces debe hacerse una segunda pregunta: “Cómo sabe la gerencia si los controles programados operan eficazmente?” La respuesta puede ser que: (1) los procedimientos del usuario verifican la exactitud del procesamiento (e.g., recalculando manualmente los cálculos complejos, o conciliando los reportes de IT con los totales de partidas manuales) y/o (2) la gerencia depende de los sistemas de IT para ejecutar eficazmente el control o producir los datos. En el caso de la respuesta (2), el efecto de los controles generales de IT (i.e., modificaciones a programas y/o acceso a archivos de datos, incluyendo los controles generales dentro de entornos integrados de aplicaciones tales como arreglos clave y segregación de funciones entre los usuarios que afectan la aplicación completa) debe tomarse en cuenta al hacer la evaluación preliminar de la eficacia de todos los controles que dependen del sistema de IT o de datos generados por IT.
Muchas empresas usan organizaciones de servicio externas para procesar transacciones. En ese caso, además de evaluar los controles dentro de la empresa, la gerencia tiene que desarrollar un conocimiento de la importancia que el procesamiento en la organización de servicio tiene para el sistema contable y los controles de la empresa. Con base en el grado de importancia, la gerencia puede necesitar hacer una evaluación de los controles establecidos en la organización de servicio. Con frecuencia el auditor de la organización de servicio prepara un reporte sobre estos controles, el cual será útil para la evaluación de los mismos por parte de la gerencia.