Procedimientos de auditoria para el estudio y evaluación de la función de auditoria interna. 

El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la norma de ejecución del trabajo Que requiere Que: "El auditor debe efectuar un estudio y evaluación adecuado del control interno existente, que le sirva de base para determinar el grado de confianza que va a depositar en él y le permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoria". El conocimiento y evaluación del control interno deben permitir al auditor establecer una relación específica entre la calidad del control interno de la entidad y la naturaleza, alcance y oportunidad de las pruebas de auditoria. Por otra parte, el auditor deberá comunicar las debilidades o desviaciones al control interno del cliente que son definidas en este boletín como situaciones a informar.

La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad razonable de poder lograr los objetivos específicos de la entidad. Dicha estructura consiste en los siguientes elementos: 

a) El ambiente de control. 

b) La evaluación de riesgos. 

e) Los sistemas de información y comunicación. 

d) Los procedimientos de control. 

e) La vigilancia. 

 La división del control interno en cinco elementos proporciona al auditor una estructura útil para evaluar el impacto de los controles internos de una entidad en la auditoría. Sin embargo, esto no necesariamente refleja cómo una entidad considera e implementa su control interno; asimismo, la primera consideración del auditor se refiere a cómo un control específico afecta las aseveraciones en los estados financieros más que su clasificación en uno de los elementos de control interno, antes mencionados, en particular. 

A) Ambiente de control El ambiente de control representa la combinación de factores que afectan las políticas y procedimientos de una entidad, fortaleciendo o debilitando sus controles. 

Estos factores son los siguientes: 

a) Actitud de la Administración hacia los controles internos establecidos: El hecho de que una entidad tenga un ambiente de control satisfactorio depende fundamentalmente de la actitud y las medidas de acción que tome la administración que de cualquier otra cosa. SI el compromiso para ejercer un buen control interno es deficiente, seguramente el ambiente de control será deficiente. La efectividad del control interno depende en gran medida de la integridad y de los valores éticos del personal que diseña, administra y vigila el control interno de la entidad. 

b) Estructura de organización de la entidad: Si el tamaño de la estructura de la organización no es apropiado para las actividades de la entidad, o el conocimiento y la experiencia de los gerentes y personal clave no es la adecuada, puede existir un mayor riesgo en el debilitamiento de los controles. c) Funcionamiento del consejo de administración y sus comités: Las actividades del consejo de administración y otros comités pueden ser importantes para fortalecer los controles, siempre y cuando éstos sean participativos y sean independientes de la Dirección. 

d) Métodos para asignar autoridad y responsabilidad: Es importante que la asignación de autoridad y responsabilidad esté acorde con los objetivos y metas organizacionales, y que éstos se hagan a un nivel adecuado, sobre todo las autorizaciones para cambios en políticas o prácticas. 

e) Métodos de control administrativo para supervisar y dar seguimiento a! cumplimiento de las políticas Y procedimientos, Incluyendo la función de auditoria interna: El grado de supervisión continua sobre la operación que lleva a cabo la Administración, da una evidencia importante de si el sistema de control Interno está funcionando adecuadamente y de si las medidas correctivas se realizan en forma oportuna. 

f) Políticas y prácticas de personal: La existencia de políticas y procedimientos para contratar, entrenar, promover y compensar a los empleados, así como la existencia de códigos de conducta u otros lineamientos de comportamiento, fortalecen el ambiente de control. 

g) Influencias externas que afectan las operaciones y prácticas de la entidad. La existencia de canales de comunicación con dientes, proveedores y otros entes externos que permitan informar o recibir información sobre las normas éticas de la entidad o sobre cualquier cambio en las necesidades de la misma, así como el seguimiento a dichas comunicaciones, fortalecen los controles de una entidad. La calidad del ambiente de control es una clara indicación importancia que la Administración de la entidad le da a los controles establecidos. 

B) Evaluación de riesgos Una evaluación de riesgos de una entidad en la información financiera es la identificación, análisis y administración de riesgos relevantes en la preparación de estados  financieros que pudieran evitar que éstos estén razonablemente presentados de acuerdo a los Principios de Contabilidad Generalmente aceptados o cualquier otra base de contabilidad aceptada. Por ejemplo, la evaluación de riesgos puede contemplar cómo la entidad considera la posibilidad de transacciones no registradas cómo identifica y analiza estimaciones o provisiones limites en los estados financieros. 

Los riesgos relevantes a emisión de reportes financieros confiables, también se refieren a eventos o transacciones específicas. Riesgos relevantes a la información financiera incluyen eventos o circunstancias externas e internas que pueden ocurrir y afectar la habilidad de la entidad en el registro, procesamiento, agrupación o reporte de información, consistente con las aseveraciones de la Administración en los estados financieros.

 Estos riesgos podrán surgir o cambiar, derivado de circunstancias como las que se mencionan a continuación: o Cambios en el ambiente operativo: Cambios en reglas o en la forma de realizar las operaciones pueden resultar en diferentes presiones competitivas y, por lo tanto, en riesgos diferentes. o Nuevo personal: El nuevo personal puede tener un enfoque diferente con relación al control interno. o Sistemas de información nuevos o rediseñados: Cambios significativos y rápidos en los sistemas de información pueden cambiar el riesgo relativo aI control interno. o Crecimientos acelerados: Un crecimiento acelerado en las operaciones puede forzar demasiado los controles y crear el riesgo de que éstos no se lleven a cabo o se ignoren. o Nuevas tecnologías: La Incorporación de nuevas tecnologías dentro de los procesos productivos o los sistemas de información pueden cambiar los riesgos asociados con el control interno. o Nuevas líneas, productos o actividades: El Incorporarse en negocios o transacciones en donde la entidad tiene poca experiencia, puede crear nuevos riesgos asociados con el control Interno. o Reestructuraciones corporativas: Las reestructuraciones pueden estar acompañadas de reducción de personal y cambios en la supervisión y segregación de funciones, que pueden traer cambios en los riesgos asociados con el control interno. o Cambios en procedimientos contables: La adopción de un nuevo pronunciamiento contable o un cambio en los ya existentes, puede afectar los riesgos relacionados con la preparación de los estados financieros. o Personal con mucha antigüedad en el puesto: Una persona con mucha antigüedad en el puesto puede ignorar los controles por exceso de confianza, inercias o vicios adquiridos. o Operaciones en el extranjero: La expansión o adquisición de operaciones en el extranjero, crean nuevos riesgos que pueden impactar el control interno, por ejemplo, cambio en los riesgos considerados en las operaciones en moneda extranjera.

 El auditor deberá obtener un entendimiento suficiente de los procesos de evaluación de riesgos de la entidad, con el objeto de conocer como la Administración considera los riesgos relevantes respecto a los objetivos de los informes financieros y qué acciones está tomando para minimizar esos riesgos. Este entendimiento debe incluir en adición a lo mencionado anteriormente, un conocimiento de cómo la Administración estima los riesgos, cómo mide la probabilidad de ocurrencia de los mismos y cómo los relaciona con los estados financieros. La administración puede iniciar planes o acciones para mitigar riesgos específicos o puede decidir aceptar un riesgo por el costo que puede implicar el corregirlo u otras consideraciones. La evaluación de riesgos de la entidad difiere de la consideración de riesgos de auditoria que realiza el auditor en una auditoría de estados financieros. El propósito de la evaluación de riesgos de la entidad es el de identificar, analizar y administrar riesgos que pueden afectar los objetivos de la entidad, en cambio en una auditoria de estados financieros, el auditor identifica los riesgos y califica los riesgos inherentes y de control para evaluar la probabilidad de que un error significativo pueda existir en los estados financieros (ver Boletín 303O, Importancia relativa y riesgo de auditoria). 

C) Los sistemas de información y comunicación Los sistemas de información relevantes a los objetivos de los reportes financieros, los cuales incluyen el sistema contable, consisten en los métodos y registros establecidos para identificar, reunir, analizar, clasificar, registrar y producir información cuantitativa de las operaciones que realiza una entidad económica. La calidad de los sistemas generadores de información afecta la habilidad de la gerencia en tomar las decisiones apropiadas para controlar las actividades de la entidad y preparar reportes financieros confiables y oportunos. Para que un sistema contable sea útil y confiable, debe contar con métodos y registros que: 

a) Identifiquen y registren únicamente las transacciones reales que reúnan los criterios establecidos por la Administración. 

b) Describan oportunamente todas las transacciones con el detalle necesario que permita su adecuada clasificación. 

c) Cuantifiquen el valor de las operaciones en unidades monetarias. 

d) Registren las transacciones en el período correspondiente. 

e) Presenten y revelen adecuadamente dichas transacciones en los estados financieros Los sistemas de comunicación incluyen la forma en que se dan a conocer las funciones y responsabilidades relativas al control interno de los informes financieros, por lo que el auditor debe obtener un entendimiento de las formas que la entidad utiliza para informar las funciones, responsabilidades y cualquier aspecto importante con relación a la información financiera. 

D) Los procedimientos de control Los procedimientos y políticas que establece la Administración y que proporcionan una seguridad razonable de que se van a lograr en forma eficaz y eficientemente los objetivos específicos de la entidad, constituyen los procedimientos de control. El hecho de que existan formalmente políticas o procedimientos de control, no necesariamente significa que éstos estén operando efectivamente. El auditor debe evaluar la manera en que la entidad ha aplicado las políticas y procedimientos, su uniformidad de aplicación, qué persona las ha llevado a cabo y, finalmente, basado en dicha evaluación, concluir si están operando efectivamente. Los procedimientos de control persiguen diferentes objetivos y se aplican en distintos niveles de la organización y del procesamiento de las transacciones. También pueden estar integrados por componentes específicos del ambiente de control, de la evaluación de riesgos y de los sistemas de Información y comunicación. Atendiendo a su naturaleza, estos procedimientos pueden ser de carácter preventivo o detectivo. Los procedimientos de carácter preventivo son establecidos para evitar errores durante el desarrollo de las transacciones. .

Los procedimientos de control de carácter detectivo tienen como finalidad detectar los errores o las desviaciones que durante el desarrollo de las transacciones, no hubieran sido identificados por los procedimientos de control preventivos. Los procedimientos de control están dirigidos a cumplir con los siguientes objetivos: 

a) Debida autorización de transacciones así como de actividades. 

b) Adecuada segregación de funciones y, a la par, de responsabilidades. 

c) Diseño y uso de documentos y registros apropiados que aseguren el correcto registro de las operaciones. 

d) Establecimiento de dispositivos de seguridad que protejan los activos. 

e) Verificaciones independientes de la actualización de otros y adecuada valuación de las operaciones registradas. 

E) La vigilancia Una importante responsabilidad de la Administración es la de establecer y mantener los controles internos, as! como el vigilarlos, con objeto de identificar si éstos están operando efectivamente y si deben ser modificados cuando existen cambios importantes. La vigilancia es un proceso que asegura la eficiencia del control interno a través del tiempo, e incluye la evaluación del diseño y operación de procedimientos de control en forma oportuna, así como el aplicar medidas correctivas cuando sea necesario. Este proceso se lleva a cabo a través de actividades en marcha (en el momento que se llevan a cabo las operaciones normales), evaluaciones separadas o por la combinación de ambas. La existencia de un departamento de auditoria Interna o de una persona que realice funciones similares, contribuye en forma significativa en el proceso de vigilancia. Este proceso debe incluir el uso de información o comunicaciones pertenecientes a entidades externas como pueden ser cartas donde los clientes se quejan o un registro de comentarios, los cuales pueden indicar problemas o subrayar áreas donde se necesita mejorar. También la Administración, podrá considerar comunicaciones de los auditores externos relativas al control interno dentro de las actividades de vigilancia. El auditor debe obtener un entendimiento de los tipos de actividades que la entidad lleva a cabo para vigilar el adecuado funcionamiento del control Interno sobre la información financiera, incluyendo cómo esas actividades son utilizadas para Iniciar acciones correctivas y. en el caso de que requiera evaluar la función del departamento de auditoria interna, deberá aplicar los procedimientos establecidos en  Procedimientos de auditoria para el estudio y evaluación de la función de auditoria interna de esta misma Comisión.  

FUENTE:

• http://www.perucontadores.com/boletines/3050estudiocontrolinterno.pdf