3. planeación y supervisión del trabajo de auditorìa
DESCRIPTION
Introducción a la AuditoríaTRANSCRIPT
UNIVERSIDAD VERACRUZANA FACULTAD DE CONTADURÍA
INTRODUCCIÓN A LA AUDITORíA
PLANEACIÓN y SUPERVISIÓN
DEL TRABAJO DE AUDITORÌA
(Boletín 3040)
GENERALIDADES
La auditoria de estados financieros, al
igual que otras actividades profesionales,
requiere de una planeación adecuada
para poder alcanzar totalmente sus
objetivos en la forma más eficiente
posible.
Desde luego la planeación detallada de
algunos procedimientos no puede
hacerse con exactitud si no se conoce el
resultado de algunos otros. Por
consiguiente debe haber un plan inicial, a
ser revisado continuamente y en su caso
modificado, al mismo tiempo que se
supervise el trabajo ya efectuado.
ALCANCE Y LIMITACIONES:
El presente boletín se refiere a la
responsabilidad del auditor en la
planeación de estados financieros,
aplicado para auditorias recurrentes. Las
consideraciones adicionales para
trabajos de auditoría del primer año se
identifican por separado.
OBJETIVO
El objetivo del auditor es planear la
auditoria para que esta sea realizada de
manera efectiva.
ACTIVIDADES DE PLANEACIÓN
El auditor debe llevar a cabo las siguientes
actividades previas a la aceptación del trabajo:
• Aplicar los procedimientos requeridos por el
boletín 3020, control de calidad para trabajos de
auditoría, respecto a la aceptación y la retención de
clientes y trabajo de auditoría;
•Evaluar el cumplimiento con los requerimientos
éticos e independencia como lo requiere el boletín
3020, y
•Establecer un entendimiento de los
términos de trabajo, como lo
requiere el boletín 3010, carta
convenio para confirmar la
prestación de servicios de auditoría.
ACTIVIDADES DE PLANEACION
El auditor debe establecer una estrategia de auditoría que determine el alcance, oportunidad
y enfoque de la auditoria, y guie el desarrollo
del plan de auditoría.
Al establecer la estrategia de auditoría, el
auditor debe:Identificar las características del trabajo para
definir su alcance;
a)Entender el objetivo y uso de los informes que se emitirán, para planear
el tiempo de la auditoria y la naturaleza
de las comunicaciones que se
requieran;
b)Considerar los factores que, a juicio
profesional del auditor, son importantes
en el enfoque de los esfuerzos del
equipo de trabajo;
c)Considerar el resultado de
las actividades preliminares del
trabajo y, cuando sea aplicable,
el conocimiento relevante
adquirido por el socio
responsable del trabajo de auditoría en otros trabajos, y
d)Considerar el resultado de las
actividades preliminares del trabajo
y, cuando sea aplicable, el conocimiento
relevante adquirido por el socio
responsable del trabajo de auditoría en
otros trabajos, y
e)Determinar la naturaleza, oportunidad
y extensión de los recursos que se
necesitan para realizar el trabajo.
El auditor debe desarrollar un plan de auditoría que incluya una descripción de:
1) La naturaleza, oportunidad y alcance de los procedimientos de auditoría
planeados para la evaluación de
riesgos, como lo determina el boletín
3180, identificación y evaluación del
riesgo de Error importante a través
del conocimiento y la comprensión de
la Entidad y su entorno.
2. La naturaleza, oportunidad y alcance
de los procedimientos de auditoriaplaneados a nivel aseveración, como lo
determina el boletín 3190, respuesta del
auditor a los riesgos determinados.
3.Otros procedimientos de auditoría
planeados que se requiere llevar a cabo
para que el trabajo cumpla con las Normas de Auditoría.
Durante el curso del trabajo el
auditor debe actualizar y cambiar la
estrategia y el plan de auditoría
según sea necesario.
El auditor debe planear la
naturaleza, oportunidad y alcance
para liderar y supervisar a los
miembros del equipo, así como la
revisión del trabajo.
DOCUMENTACION
El auditor debe documentar:
•La estrategia general de auditoria
•El plan de auditoría, y
•Cualquier cambio importante realizado
durante el trabajo a la estrategia general
o al plan de auditoría, y las razones de
dichos cambios.
La importancia y oportunidad de la
planeación.
La naturaleza y alcance de las
actividades de planeación varían de
acuerdo con el tamaño y complejidad
de la entidad, la experiencia previa
obtenida por los miembros del equipo
de trabajo y los cambios en las
circunstancias que ocurran durante la
auditoria.
La fase de planeación de una
auditoria incluye la definición de la
estrategia y el desarrollo de un plan
de auditoria.
A continuación se presentan algunos
de los beneficios de una adecuada
planeación de la auditoria a los
estados financieros:
Dedicar atención adecuada a áreas
de auditoria importantes.
Identificar y resolver oportunamente
problemas potenciales.
Organizar y administrar el trabajo de
auditoria apropiadamente para que se
realice de manera efectiva y eficiente.
Seleccionar a los miembros del equipo
de trabajo, considerando que al personal
seleccionado debe contar con la
experiencia y competencia necesarias
para responder efectivamente a los
riesgos identificados y, en
consecuencia, asignarles el trabajo de
manera apropiada.
Facilitar la dirección y supervisión de
los miembros del equipo de trabajo y la
revisión del mismo.
Apoyar, cuando sea aplicable, en
la coordinación del trabajo realizado
por los auditores de otros
componentes y de expertos.
CONTROL INTERNO (3050)
La estructura del control interno de una
entidad consiste en las políticas y
procedimientos establecidos para
proporcionar una seguridad razonable
de poder lograr los objetivos
específicos de la entidad.
Dicha estructura consiste en:
•El ambiente del control
Representa la combinación de
factores que afectan las políticas y
procedimientos de una entidad,
fortaleciendo o debilitando sus
controles.
Estos factores son los siguientes:
a)Actitud de la administración hacia los
controles internos establecidos.
El hecho de que una entidad tenga un
ambiente de control satisfactorio
depende fundamentalmente de la
actitud y de las medidas de acción que
tome la administración que de cualquier otra cosa.
b)Estructura de la organización de la
entidad.
Si el tamaño de la organización no es
apropiado para las actividades de la
entidad, o el conocimiento y la
experiencia de los gerentes y personal
clave no es adecuada, puede existir un
mayor riesgo en el debilitamiento de los
controles.
c)Funcionamiento del consejo de
administración y de sus comités.
Las actividades del consejo de
administración y otros comités pueden
ser importantes para fortalecer los
controles, siempre y cuando estos
sean participativos y sean
independientes de la dirección.
d) Métodos para asignar autoridad y
responsabilidad.
Es importante que la asignación de
autoridad y responsabilidad este
acorde con los objetivos y metas
organizacionales, y que estos se
hagan a un nivel adecuado sobre
todo las autorizaciones para
cambios en políticas o practicas.
e)Métodos de control administrativo
para supervisar y dar seguimiento alcumplimiento de las políticas y
procedimientos incluyendo la función
de auditoría interna.
El grado de supervisión continua sobre la operación que lleva a cabo la
administración.
f)Políticas y prácticas del personal.
La existencia de políticas y
procedimientos para
contratar, entrenar, promover y compensar a los empleados así como
la existencia de códigos de conducta u
otros lineamientos de
comportamiento, fortalecen el ambiente
del control.
g) Influencias externas que afectan las
operaciones y prácticas de la entidad.
La existencia de canales de
comunicación con
clientes, proveedores y otros entes
externos que permitan informar o
recibir información sobre las normas
éticas de la entidad sobre cualquier
cambio en las entidades de la
misma, así como el seguimiento a
dichas comunicaciones, fortalecen los
controles de una entidad.
•La evaluación de riesgos.
Una evaluación de riesgos de una
entidad en la información financiera es la
identificación, análisis y administración
de riesgos relevantes en la preparación
de estados financieros que pudieran
evitar que estos estén razonablemente
presentados de acuerdo con las NIF o
cualquier otra base de contabilidad
aceptada.
El auditor deberá obtener un
entendimiento suficiente de los procesos
de evaluación de riesgos de la
entidad, con el objeto de conocer como
la administración considera los riesgos
relevantes respecto a los objetivos de los
informes financieros y que acciones está
tomando para minimizar esos riesgos.
El propósito de la evaluación de riesgos
de la entidad es el de identificar, analizar
y administrar riesgos que pueden afectar
los objetivos de la entidad, en cambio en
una auditoria de estados financieros, el
auditor identifica los riesgos y califica los
riesgos inherentes y de control para
evaluar la probabilidad de que un error
significativo pueda existir en los estados
financieros.
•Los sistemas de información y
comunicación
Los sistemas de información relevantes
a los objetivos de los reportes
financieros, los cuales incluyen el
sistema contable, consiste en los
métodos y registros establecidos para
identificar, reunir analizar, clasificar,
registrar y producir información
cuantitativa de las operaciones que
realiza una entidad económica.
Para que un sistema contable sea útil y
confiable, debe contar con métodos y
registros que:
1) Identifiquen y registren únicamente
las transacciones reales que reúnan
los criterios establecidos por la
administración.
2) Describan oportunamente todas las
transacciones con el detalle
necesario que permita su adecuada
calificación.
Cuantifiquen el valor de las operaciones
en unidades monetarias.
3)Registren las transacciones en el
periodo correspondiente.
4)Presenten y revelen
adecuadamente dichas
transacciones en los estados
financieros.
•Los procedimientos de control.
Los procedimientos y políticas que
establece la administración y que
proporcionan una seguridad
razonable de que se van a lograr en
forma eficaz y eficientemente los
objetivos específicos de la entidad,
constituyen los procedimientos de
control.
Estos procedimientos pueden ser de carácter
preventivo y detectivo.
Los procedimientos de carácter preventivo son
establecidos para evitar errores durante el
desarrollo de las transacciones.
Los procedimientos de control de carácter
detectivo tienen como finalidad detectar los
errores o las desviaciones que durante el
desarrollo de las transacciones, no hubieran
sido identificados por los procedimientos de
control preventivos.
Los procedimientos de control están dirigidos
a cumplir con los siguientes objetivos:
1. Debida autorización de transacciones
así como de actividades.
2. Adecuada segregación de funciones y, a
la par, de responsabilidades
3. Diseño y uso de documentos y registros
apropiados que aseguren el correcto registro
de las operaciones.
4. Establecimiento de dispositivos
de seguridad que protejan los
activos.
5. Verificaciones independientes de
la actualización de otros y adecuada
valuación de las operaciones
registradas.
•La vigilancia.
La vigilancia es un proceso que
asegura la eficiencia del control
interno a través del tiempo, e incluye
la evaluación del diseño y operación
de procedimientos de control en
forma oportuna, así como el aplicar
medidas correctivas cuando sea
necesario.
Consideraciones generales
Los factores específicos del ambiente de
control, la evaluación de riesgos, los sistemas
de información y comunicación, los
procedimientos de control y la vigilancia deben
considerar los siguientes aspectos:
Tamaño de la entidad.
Características de la actividad económica en
la que opera.
Organización de la entidad.
Naturaleza del sistema de
contabilidad y de las técnicas de
control establecidas.
Problemas específicos del
negocio.
Requisitos legales aceptables.
El auditor deberá documentar su
conocimiento y comprensión de la
estructura de control interno, como parte
del proceso de planeación de la
auditoria. La forma y alcance de esta
documentación se verán influidos por el
tamaño y complejidad de la entidad y la
naturaleza de la estructura del control
interno de la misma.
Evaluación preliminar
El auditor efectúa un análisis general del
riesgo implícito en el trabajo que va a
realizar, con el objeto de considerarlo en
el diseño de sus programas de trabajo de
auditoría y para identificar gradualmente
las actividades y características
específicas de la entidad.
Aun cuando en esta etapa no se han
probado los controles internos y, por lo
tanto, cualquier decisión preliminar, el
auditor deberá primeramente:
Comprender el ambiente de control
establecido por la administración
para detectar errores potenciales.
Describir y verificar su
comprensión de los procedimientos
de control de la
administración, incluyendo aquellos
relativos a la evaluación de riesgos.
Conocer los procesos de mayor
riesgo de la entidad y evaluar su
importancia.
Evaluar el diseño de los sistemas de
control en los procesos de mayor
riesgo, para determinar si es probable
que sean eficaces para prevenir o
detectar y corregir los errores
potenciales identificados.
Formarse un juicio sobre la confianza
que podrá depositarse en el control que
será evaluado.
METODOLOGIA DE LA PLANEACIÓN DE
LA AUDITORIA
Objetivo
El objetivo de este boletín es dar a
conocer los procedimientos de
auditoria recomendados para llevar a
cabo y documentar el estudio y
evaluación del control interno durante
el proceso de planeación de una
auditoría de estados financieros.
Alcance y limitaciones
Los procedimientos señalados en este
boletín son aplicables al estudio y
evaluación de la estructura del control
interno, cuando éstos se realizan como
parte de una auditoría de estados
financieros, conforme a las normas de
auditoría generalmente aceptadas.
Existen diversos enfoques válidos para
llevar a cabo dicho estudio y evaluación,
que pueden ser aplicables según el
criterio del auditor.
• Para planear la auditoría se necesita
obtener un conocimiento suficiente del
ambiente de control. Esté conocimiento
comprende las condiciones bajo las que
están diseñados, se implementan y
funcionan, tanto el sistema contable de la
entidad como sus procedimientos de
control. Basado en este conocimiento, el
auditor debe evaluar si el ambiente
promueve sistemas contables confiables y
procedimientos de control efectivos.
Si basado en su conocimiento del
ambiente de control, el auditor tiene dudas
fundadas respecto de la efectividad de la
estructura del control interno, juzgará si es
adecuado o no confiar en ella durante la
auditoría. Si el auditor concluye que el
ambiente del control promueve un control
interno efectivo, se puede confiar en los
controles durante la auditoría, siempre y
cuando éstos se prueben y sean efectivos.
El ambiente de control es el resultado
conjunto de diversos factores que afectan
la efectividad global del control interno.
Para evaluar adecuadamente los factores
del ambiente de control, el auditor deberá
investigar y documentar en sus papeles
de trabajo, lo siguiente:
Actitud de la administración hacia los
controles internos establecidos.
A. Características e integridad de la
administración, así como su habilidad en el
desarrollo de sus funciones.
Entre algunas de las cuestiones que se
deben considerar, están: la posible
participación de la administración en actos
ilegales; actitud de la administración para
aceptar riesgos anormales de alto nivel en
la toma de decisiones; distorsión en los
estados financieros; cambios continuos de
bancos, abogados o auditores
B. Compromiso de la administración sobre lo
razonable de los estados financieros.
Se deberá investigar por el auditor si la
administración de la entidad aplica agresivamente
los principios de contabilidad, si se rehúsa a
aceptar y registrar los ajustes de auditoría o si
busca distorsionar los resultados o mostrar un
crecimiento
C. Compromiso de la administración para diseñar
y mantener sistemas contables y controles
internos efectivos.
Existen algunas preguntas que el auditor debe
contestarse para definir si sus preocupaciones son
válidas, tales como: si la administración muestra
falta de interés por las deficiencias que lleguen
hacerse de su conocimiento en los sistemas de
contabilidad y en los procedimientos de control;
Otras situaciones que se deben
documentar con respecto a este
punto, son las apreciaciones del auditor
relativas a: si la administración efectúa un
seguimiento adecuado de problemas
sobre resultados financieros o de
variaciones contra presupuesto.
También, el auditor deberá observar: si la
rotación es alta en puestos clave; si las
descripciones de labores y responsabilidades de
preparación y emisión de informes se han
establecido con claridad y comunicado
efectivamente; si el cliente frecuentemente no
cumple con sus fechas de cierre o fechas límite;
y si en auditorias anteriores, cerca del fin del
ejercicio, se ha determinado un número
significativo de errores o correcciones a los
registros contables.
• Estructura de la organización de la entidad.
• Las estructuras de la organización y de la
administración general deben proporcionar una
base efectiva para la planeación, ejecución y
control de las operaciones de la entidad y para
la emisión de información.
La naturaleza de esa organización y a estructura
de la administración, pueden ser indicativas de un
mayor o menor riesgo o de deficiencias
potenciales importan es en el ambiente de control.
Con respecto a la estructura de
organización, el auditor deberá considerar
lo apropiado de ésta con respecto a la
industria y al tamaño y naturaleza de la
entidad; adicionalmente, se considerará si
los recursos humanos y materiales de las
áreas de finanzas, contabilidad y PED son
adecuados.
Para poder responder a lo anterior, el
auditor tendrá que evaluar si la estructura
es muy compleja; si la entidad ha tenido
un rápido crecimiento y cómo lo ha
enfrentado; si se han adquirido
recientemente otras entidades; Y. si se
tiene un gran número de subsidiarias
descentralizadas. Asimismo, será
necesario que el auditor evalúe la
complejidad de la estructura de
información.
Para lograr lo anterior, el auditor
deberá analizar si la supervisión y el
seguimiento de las operacionesdescentralizadas o disperses
geográficamente son adecuados y si
existe suficiente supervisión y control
de las operaciones de
PED, espacialmente cuando éstas
están descentralizadas.
FUNCIONAMIENTO DEL CONSEJO DE
ADMINISTRACIÓN Y SUS COMITÉS
El auditor deberá verificar si el consejo de
administración ha delegado algunas de sus
funciones en un consejo directivo o en un comité
de auditoría y si éste es adecuado al tamaño y
naturaleza de la entidad.
El auditor también deberá revisar si las
funciones y responsabilidades del consejo
(o comité) con respecto a los estados
financieros, están establecidas; y si ese
consejo (o comité) tiene suficiente
autoridad y recursos para cumplir
adecuadamente sus funciones de
vigilancia del proceso de la información
financiera.
El auditor evaluará el grado de
conocimiento que el consejo (o comité)
tiene de las operaciones de la entidad y si
se toman las acciones adecuadas con
respecto a las deficiencias reportadas por
auditoría externa en la estructura del
control interno.
MÉTODOS PARA ASIGNAR AUTORIDAD Y
RESPONSABILIDAD
De acuerdo al tamaño y naturaleza de la entidad,
se deberá evaluar lo adecuado de la asignación
de autoridad y responsabilidad.
Como principio básico para que toda entidad
funcione eficientemente, es necesario contar con
líneas bien definidas de autoridad y
responsabilidad en cada uno de los diferentes
niveles y puestos administrativos y operativos.
Para evaluar esto, el auditor deberá considerar
los métodos que utiliza la administración para
dirigir y vigilar la planeación, desarrollo y
mantenimiento efectivo de los sistemas de
contabilidad y procedimientos de control; si se
ha comunicado claramente el alcance de la
autoridad y responsabilidad del personal en
cada uno de los niveles y puestos; si es
adecuada la documentación de las políticas de
procesamiento de datos y si es suficiente el
nivel de comunicación entre las áreas de
contabilidad y PED.
Los siguientes son atributos necesarios
para la adecuada asignación de autoridad y
responsabilidad:
a) Los objetivos generales y
particulares de la entidad, deben ser
dados a conocer de manera clara y
comprensible al personal de cada una de
las funciones o áreas establecidas para
lograr dichos objetivos.
b) Para cumplir sus objetivos. se debe
contar en la entidad con un organigrama
general y particular de cada una de las
áreas establecidas en ella, con lo cual se
logrará la definición de cada uno de los
departamentos y jerarquías dentro de la
organización.
c) Se deben tener en la entidad
descripciones de puestos de los
empleados, delineando funciones
específicas, relaciones jerárquicas y
restricciones, estableciendo claramente
Quién tiene responsabilidad y Quién
autoridad sobre las diversas actividades.
• d) Deben tenerse en la entidad políticas por
escrito que estén en arman la con sus objetivos
sobre asuntos tanto de carácter externo como
interno, tales como: Prácticas de negocios o
Conflicto de intereses o Código de conducta.
• e) Documentación de los sistemas de cómputo,
indicando los procedimientos para autorizar
transacciones y aprobar cambios a los
sistemas existentes.
BOLETÍN 2010
EFECTOS DEL PROCESAMIENTO ELECTRÓNICO
DE DATOS (PED) EN EL EXAMEN DE CONTROL
INTERNO
GENERALIDADES
De conformidad con las normas de
auditoria relativas a la ejecución del
trabajo, el auditor debe efectuar un
estudio y evaluación adecuados del
control interno que le sirva de base
para determinar el grado de confianza
va a depositar en el (boletín 1010).
El estudio del control interno incluye
el análisis y la comprensión de los
métodos que se utilizan para
procesar la información
financiera, con objeto de determinar
si las técnicas establecidas cumplen
con los objetivos del control interno.
El alcance al efectuar el examen
de control interno establecido en el
PED, dependerá de la importancia
de la aplicaciones en el proceso de
la información financiera.
El PED por su complejidad y su
constante evolución, requiere
para el estudio y evaluación de
su control interno de personal
con entrenamiento técnico y
capacidad profesional
adecuada.
El impacto que eventualmente
puede tener una deficiencia o
desviación del control interno en el
área del PED puede ser menos
evidente y, sin embargo, tener una
mayor repercusión en errores en
los estados financieros que pasen
inadvertidos
OBJETIVO
Señalar los principales objetivos del
control interno en un ambiente de
PED y los procedimientos de
auditoria sugeridos para evaluar y
revisar el control interno en
empresas que lo utilicen.
ALCANCE
Este boletín se refiere únicamenteal
estudio y evaluación del controlinterno del PED llevado a cabo porel auditor, para determinar lanaturaleza, extensión y oportunidadque va a dar a sus procedimientosde auditoria
CONTROL INTERNO EN UN AMBIENTE DE PED
OBJETIVOS
Los objetivos de los controles establecidos en la empresa deben enfocarse a la creación, a través de la políticas y procedimientos adecuados, de un sistema que asegure que toda la información que deba ser procesada, se procese en forma correcta y oportuna y que de dicho proceso se obtenga la información financiera esperada.
1. Objetivos de autorización
Todas las operaciones deben realizarse
de acuerdo con autorizaciones
generales o específicas de la
administración.
2. Objetivos de procesamiento y clasificación de
transacciones
Todas las operaciones deben registrarse
para permitir la preparación de estados
financieros de conformidad con principios
de contabilidad generalmente aceptados o
de cualquier otro criterio aplicable a dichos
estados y para mantener en archivos
apropiados datos relativos a los activos
sujetos a custodia.
3. Objetivos de salvaguarda física
El acceso a los activos solo debe permitirse de
acuerdo con autorizaciones de la administración.
4. Objetivos de verificación y evaluación
Los datos registrados relativos a os activos sujetos a
custodia deben compararse con los activos
existentes a intervalos razonables y tomarse las
medidas apropiadas respecto a las diferencias que
existan.
CARACTERISTICAS
En esta sección se describen los
controles generales y los controles de
aplicación o específicos del PED. Los
controles generales se enfocan a la
organización general del departamento y
a las funciones de quienes intervienen en
el desarrollo de los sistemas.
Los controles de aplicación o específicos se
refieren a los establecidos en la operación del
computador que incluye la entrada, el proceso y
salida de datos.
(Entrada): Que todos los datos se procesen una
sola vez oportunamente.
(Proceso): Sujetos a un proceso de validación.
(Salida): Que sean las base para producir
información confiable y completa.
Cuando se tiene el PED en la propia empresa, la
revisión, estudio, y evaluación del control
interno, deberá dirigirse principalmente a los
siguientes aspectos:
Controles generales
1. Pre-instalación.
Se refiere al estudio de viabilidad y selección de
equipo que debe o debió efectuarse previo a su
adquisición de un equipo de computo.
2. Organización del departamento PED
Comprende la correcta estructura
organizacional del
departamento, principalmente la
adecuada segregación de labores, la
definición de políticas, funciones y
responsabilidades, así como la
asignación de personal competente.
3. Control del desarrollo de sistemas
Se debe contar con estudios preliminares
que justifiquen las aplicaciones, así
como con definición de los estándares
para el diseño, programación, prueba y
mantenimiento de los sistemas.
Al desarrollar nuevos sistemas, puede
ser necesario llevar en paralelo, por el
tiempo necesario, el sistema anterior y el
nuevo.
4. Control de la documentación
Necesidad de que todos los
programas, la operación y los
procedimientos relativos estén
adecuadamente documentados y
actualizados.
5. Control de la operación.
Comprende la creación de un medio
ambiente que garantice efectividad en la
producción de selección de operaciones
y proporcione la seguridad física
suficiente sobre los registros que se
mantienen en el centro de cómputo, así
como el establecimiento de controles
adecuados que eviten el acceso de
personal no autorizado.
Es muy importante también contar con una
razonable seguridad contra la destrucción
accidental de los registros durante el proceso
y asegurar la continuidad de la operación
y, en su caso, la recaptura de
datos, asimismo, prevenir y detectar la
manipulación fraudulenta de datos durante
los procesos por el personal del
departamento del PED y prevenir el mal uso
de la información.
Controles de aplicación o específicos
1. Controles de entrada.
Asegurar que toda la información que
valla a ser procesada por el
computador esté completa y correcta y
que existan controles adecuados para
el manejo de información rechazada
(revisión, corrección, previsión y
oportuna reentrada en PED)
2. Controles de proceso.
Asegurar la exactitud del proceso de lainformación por el computador.
3. Autorización y controles de salida.
Asegurar que toda la información que seprocesa está debidamente autorizada y queexistan controles sobre el acceso alcomputador ya sea para obtenerinformación o para modificarla por algunatransacción.
4. Establecimiento de huellas.
Asegurar lo adecuado de las huellas
o pistas en la transformación de la
información.
Proceso electrónico de datos en un
centro de computo externo
Cuando el PED se realice en un centro
de cómputo externo , la
revisión, estudio y evaluación del
control interno deberá dirigirse
principalmente a los siguientes
aspectos:
1. Selección del centro de computo.
Debe de seleccionarse un centro de
cómputo que asegure la obtención
de información confiable y oportuna
, vigilándose aspectos como:
seguridad en el manejo de datos y
archivos, organización, capacidad
instalada y soporte técnico.
2. Contrato de servicio.
El contrato con el centro de cómputo debe
contener los términos en que el servicio será
prestado.
3. Control de datos.
Es necesario que toda la información enviada, ya
sea a través de unidades de proceso o bien
físicamente se someta a un control que asegure
que se incluyen todos los datos…
4. Personal.
• La relación con el centro de cómputo, así como el
envío de la documentación, recepción y revisión de
la información debe estar asignada a personal
competente.
5. Otros controles.
• En general la empresa que contrate servicio de
PED a través de un centro de computo externo
debe asegurarse que reúna los controles
comentados (generales y de aplicación o
específicos).
PROCEDIMIENTOS DE AUDITORIA
En términos generales, se señalan tres fases, las
cuales se observarán considerando:
• 1. Características del PED.
• 2. La importancia de la aplicaciones.
• 3. El grado de transformación de la información.
• 4. El grado de confianza que el auditor debe
depositar en los sistemas de control interno
integrado al PED.
LAS FASES SON LAS SIGUIENTES:
1ra. Estudio preliminar
Obligatorio y necesario efectuar en
todas las empresas que usen en
alguna forma el PED para la
obtención de su información
financiera.
2da. Ampliación del estudio del control interno.
De aplicación obligatoria cuando
en el estudio preliminar se ha
determinado que se tienen
aplicaciones de importancia para
la obtención de la información
financiera.
3ra. Pruebas a los controles del PED.
De aplicación obligatoria cuando la importancia
de los sistemas sujetos a procesos sea tal en
cuanto a las transformaciones de información y al
grado de confianza que el auditor depositará en el
control interno, que el efectuar pruebas de
cumplimiento a los controles PED, limita el alcance
de trabajo del auditor al no obtener la necesaria
evidencia suficiente y competente.
Es importante señalar que desde la
primera fase, se requiere de
experiencia en auditoria en PED por
parte del auditor y conforme se vaya
pasando a las siguientes fases, se
requerirá de mayor capacitación.
Objetivos de los
Procedimientos
Los objetivos en la primera fase, son
los siguientes:
1. Determinar las principales aplicaciones y su
efecto en la información financiera.
2. Conocer las características del equipo de
PED.
3. Concluir sobre el efecto del PED en la
información financiera y, en su caso, pasar a la
segunda fase. Desde luego, esta decisión debe
estar basada en lo anotado en las
características PED, importancia de las
aplicaciones, grado de transformación de la
información y el grado de confianza a depositar
en el control interno y al resultado esperado en
las pruebas sustantivas.
Los objetivos de la segunda
fase, aplicación del estudio del control
interno son los siguientes:
1. Evaluar la organización del
centro de cómputo y los controles
generales establecidos.
2. Conocer las características de las aplicaciones
de su impacto en la información financiera y
evaluar los controles de aplicación o específicos
inherentes a las mismas, considerando el grado
de transformación de la información y el
volumen de operaciones que dependen del
PED, a efecto de poder juzgar si se deben
efectuar pruebas de cumplimiento de los
controles del PED (tercera fase).
3. Formarse un juicio sobre la eficacia del control
interno existente en PED que permita
determinar la naturaleza, el alcance y
oportunidad de los procedimientos de
auditoria, tanto de cumplimiento como
sustantivos.
4. Concluir sobre los resultados obtenidos y, en su
caso, pasar a la tercera fase, considerando que
el no probar los controles de PED resultaría una
limitación importante en el alcance de la
auditoria, pues el auditor no obtendrá la
necesaria evidencia suficiente y competente.
• El objetivo de la TERCERA FASE-
pruebas a los controles de PED- es
verificar los controles específicos de
las aplicaciones mediante pruebas de
cumplimiento.
Procedimientos Recomendados
Primera Fase- Estudio Preliminar
El estudio preliminar está enfocado a
determinar la importancia que el PED
tiene en la información financiera y al
conocimiento general del equipo.
Descripción de las Aplicaciones
Conocer y documentar en papeles de
trabajo, las principales aplicaciones
(Facturación, cuentas por
cobrar, inventarios, contabilidad
general, nominas, etc.), volúmenes de
operación, objetivos del sistema y sus
aplicaciones, teleprocesos, identificando los
principales controles de aplicación específicos
en la entrada, proceso y salida de la información
que se obtiene y procesa a través del PED.
Y su repercusión en los estados
financieros. El uso de diagramas de flujo
facilitará la descripción de los sistemas, la
identificación de controles importantes y la
evaluación de la eficiencia de control
interno y del impacto que pueden tener en
la información financiera cuando los
controles lucen débiles.
Estudio General del Equipo de
Cómputo
Descripción de la unidad central de
proceso y de las unidades
periféricas, incluyendo datos tales como
capacidad de memoria, sistema
operativo, base de
datos, comunicaciones, capacidad en
dispositivos
electromagnéticos, dispositivos de entrada
y salida, teleprocesos, pantallas
remotas, modelo, antigüedad.
SEGUNDA FASE-Ampliación del estudio
del Control Interno
La ampliación del estudio del CI está
enfocada a conocer con más detalle
las características de los sistemas
(programas) y de las aplicaciones y
de formarse un juicio sobre la
eficiencia de los controles internos.
Análisis de la Organización del
Centro de Cómputo
Cerciorarse que no exista incompatibilidad
de funciones (por ejemplo, que el
programador no sea el operador), que se
tenga un buen soporte técnico, que
existan líneas de autoridad definidas, que
haya una planeación a corto y la largo
plazo, y en general que se cuenten con
políticas definidas y acordes a la
importancia del departamento y equipo.
Análisis de los Sistemas
(Programas)
Verificar que el
análisis, diseño, programación, prueba de
datos y mantenimiento de los sistemas
esté documentado y de acuerdo a los
estándares establecidos, juzgando a su
vez, lo apropiado de dichos estándares y
del flujo de la deficiencia.
Evaluación de los Controles sobre el
Proceso de las Aplicaciones
Verificar que la información
procesada esté sujeta a controles
que aseguren que dicha
información es válida y completa
y que no se procesa información
errónea y duplicada.
Revisión de los Estudios de Viabilidad
Conocer si la selección del
equipo fue hecha en forma
cuidadosa y si responde a las
necesidades particulares de la
empresa.
Determinación de la Existencia de
Manuales Operativos
Comprobar que existan manuales
actualizados de operación del
equipo y de los sistemas en
operación y de que exista una
historia de los cambios en los
manuales, sus causas etc.
Determinación de la existencia de
Manuales para los Usuarios
Verificar la existencia de
manuales actualizados para los
usuarios.
Evaluación de los Controles sobre
las Bitácoras
Verificar que exista una bitácora del
centro de cómputo, donde se registren los
tiempos de proceso, cambios de
programas, descomposturas, mantenimien
to, operadores, etc. Y que exista
supervisión adecuada y oportuna de esta
bitácora.
Evaluación de los Controles contra
Contingencias
Cerciorarse de que existe un plan para
evitar contingencias, y que cuando éstas
sucedan, que existan controles que
aseguren una continuidad razonable en el
proceso de la información.
Determinación de las Existencias de
Planes Contra Fallas
Investigar si en caso de fallas, se
cuenta con un equipo de soporte
y procedimientos de reinicio.
Documentación de las Características
de los Sistemas (Programas)
Comprobar que la documentación que
soporta los sistemas (programas) estén de
acuerdo con los estándares
establecidos, que se encuentren
completos y que existe evidencia y
autorización de los cambios efectuados.
Evaluación de los Controles para la
Protección de sistemas (Programas)
Verificar que copias actualizadas de
la documentación de los sistemas
(programas) estén debidamente
protegidos.
Documentación de los Controles
para la Protección de los archivos
Cerciorarse de que existan copias
actualizadas de los archivos maestros y
de las transacciones, conservándose por
un tiempo razonable en un lugar
seguro, tanto en un edificio distinto al del
centro de cómputo, como una copia en el
mismo centro.
Determinación de los Elementos de
Seguridad Física
Comprobar la seguridad física del centro de
cómputo y determinar si el equipo está en un
lugar que asegure la separación de funciones
entre el personal y el acceso restringido al área
y que se cuente con extintores, detectores de
humo y medidas razonables contra posibles
sabotajes y cobertura adecuada de seguros
mediante una evaluación profesional de los
riesgos a que está sujeto tanto el equipo como
la información.
Evaluación de la Función de Auditoría
Interna en el PED
Evaluar el trabajo de Auditoría interna
y revisar sus reportes.
Determinación de los Controles
cuando existe un centro de Cómputo
externo:
a) Revisión del contrato para comprobar que es
adecuado a las circunstancias de la empresa y
que se está cumpliendo con las condiciones
estipuladas así como si existe una revisión
periódica del mismo par adecuarlo a las
necesidades de la empresa.
b) Recabar informes sobre el soporte
técnico y la solvencia del centro de
cómputo, con objeto de evaluar la
confiabilidad e investigar sobre las
alternativas que se ofrecen en caso de
que el centro no pueda procesar la
información.
c) Verificar el flujo de la información del y al
centro del cómputo y de los informes
obtenidos, así como la actualización de
los archivos maestros y de transacciones
y de la seguridad e los mismos.
d) Verificar los procedimientos que ha
seguido la empresa para asegurarse de la
validez de la información.
e) Evaluar la necesidad de que el auditor
efectúe una revisión directa al centro de
cómputo, cuando las aplicaciones son de
importancia.
TERCERA FASE- Pruebas a los
Controles de PED
Están enfocadas a que el auditor obtenga la
evidencia de que los sistemas PED funcionan
como los determinó en la fase II. Es importante
mencionar que a partir de esta fase es
imprescindible que el auditor tenga la debida
especialización y conocimiento del PED, que le
permitan juzgar sobre los controles establecidos
y efectuar pruebas de cumplimiento y
sustantivas.
Análisis de los Sistemas
• Determinar los procedimientos de auditoría para
lograr un conocimiento detallado de los
sistemas (programas) selecciones para prueba.
• Este conocimiento se logró en la fase II
mediante el estudio y evaluación de los
sistemas (programas) a través de los diagramas
de flujo de datos que describen los controles
existentes en la entrada, proceso y salida de la
información, así como a través de entrevistas.
Evaluación de los Controles de
Aplicación o Específicos
• Evaluación de que los controles de aplicación o
específicos sean los adecuados, lo cual se debe
efectuar a través de pruebas de seguimiento o
de reestructuración de la información para
verificar que dichos controles funcionan
satisfactoriamente, tal como el auditor los
conoció en las anteriores fases.
Determinación y Desarrollo de las
pruebas de Auditoría
Seleccionar las pruebas de cumplimiento para
probar los controles de aplicación o específicos
establecidos en los sistemas (programas)
Evaluación de las pruebas de
Cumplimiento
Evaluar los resultado s de las pruebas de
cumplimiento y determinar si éstos
cumplieron con los resultados esperados y
por lo tanto, confirmar si los controles
funcionan como el auditor los conoció en
las fases anteriores.
En caso de que existan deficiencias o
desviaciones no esperadas, estas
deberán ser evaluadas para definir como
su efecto trascendió a la información
financiera y en su caso, necesariamente
ampliar los procedimientos sustantivos de
auditoría hasta llegar a una conclusión.
TERCERA FASE ALTERNA
• Pruebas a los controles PED para incrementar
la eficiencia en los resultados de Auditoría.
• Las pruebas a los controles PED para
incrementar la eficiencia en los resultados de
auditoría (optativa) está enfocada en que el
auditor logre alcances más amplios y precisos.
Utilización del Computador para
lograr pruebas de Auditoría más
Efectivas
Definir si fuera el caso, de que aún cuando se
tuviera la certeza de obtener la necesaria
evidencia suficiente y competente por otros
medios (básicamente por el resultado esperado
de sus pruebas sustantivas tradicionales y por
que las aplicaciones son sencillas y la
transformación de la información es
básicamente para formular compilaciones)
Pudiera decidir llevar a cabo pruebas de
cumplimiento y/o sustantivas, usando el
computador para lograr pruebas de Auditoría
más efectivas, extensas, precisas y con un
menor esfuerzo de tiempo en el trabajo de la
Auditoría.
Vigencia
Las disposiciones contenidas en este
boletín son de observancia obligatoria y
han sido aprobadas de acuerdo con los
estatutos del Instituto Mexicano de
Contadores Públicos, A.C.
IMPORTANCIA RELATIVA Y RIESGO
EN AUDITORIA
BOLETÍN 3030
Generalidades
• Desde que nuestra profesión se formalizó con la
adopción de las normas de auditoria
generalmente aceptadas, quedó establecido
que no es necesario examinar todas y cada una
de las partidas que integran los diferentes
rubros o áreas de los estados financieros.
• Al mismo tiempo, se ha aceptado que el énfasis
de auditoría debe darse en relación
directa, tanto a la importancia relativa de las
partidas, como al riesgo probable de que dichas
partidas tengan errores.
Objetivo
Definir los conceptos de:
• Importancia relativa
• Riesgo de auditoria
Y explicar el efecto que tiene la
planeación, desarrollo y evaluación de
resultados en una auditoria de estados
financieros
Error
Se refiere a fallas involuntarias en la información
financiera, tales como:
a) Errores aritméticos que los empleados cometen en
los registros y en la información contable.
b) Equivocaciones en la aplicación de las Normas de
información financiera.
c) Falta de criterio o mala interpretación de los
hechos existentes a la fecha en que se preparan
los estados financieros, por parte del
empleado, funcionario o encargado de ello.
Importancia relativa
• Representa el importe acumulado de los errores
y desviaciones de las NIF, que podrían contener
los estados financieros sin que, a juicio del
auditor y a la luz de las circunstancias
existentes, sea probable que se afecte el juicio o
decisiones de las personas que confían en la
información contenida en dichos estados.
Se debe juzgar el efecto cuantificado en relación
con los estados financieros tomados en
conjunto; sin embargo, también se deben
considerar algunos aspectos cualitativos tales
como:
• Una revelación o presentación inadecuada
• La importancia de un rubro especifico para la
empresa en particular
• El hecho de que el error o desviación afecte
varios rubros de los estados financieros
• Etcétera.
• El auditor debe establecer el límite de la
importancia relativa basado en su juicio
profesional, considerando las necesidades o
expectativas de un usuario normal y razonable
de los estados financieros auditados.
Riesgo de auditoria
• Representa la posibilidad de que el auditor
pueda dar una opción sin
salvedades, sobre unos estados
financieros que contengan errores y
desviaciones de las NIF, en exceso a la
importancia relativa.
Esta integrado por el efecto combinado de los tres
diferentes riesgos que se explican a
continuación.
• Riesgo inherente: representa el riesgo de que
ocurran errores importantes en un rubro
especifico de los estados financieros, o en un
tipo especifico de negocio, en función de las
características o particularidades de dicho
rubro(cuenta, saldo o grupo de transacciones) o
negocio, sin considerar el efecto de los
procedimientos de control interno que pudieran
existir.
• Riesgo de control: representa el riesgo de
que los errores importantes (que excedan
a la importancia relativa al agregarse a
otros errores) que pudieran existir en un
rubro especifico de los estados
financieros, no sean prevenidos o
detectados oportunamente por el sistema
de control interno contable en vigor.
• Riesgo de detección: representa el riesgo
de que los procedimientos aplicados por el
auditor no detecten los posibles errores
importantes que hayan escapado a los
procedimientos de control interno.
• Como lo señala el boletín 3070, consideraciones
sobre fraude que deben hacerse en una
auditoria de estados financieros, es
responsabilidad de la administración el
establecimiento de los mecanismos de control
necesarios para prevenir el riesgo de
fraude, asimismo, el auditor es responsable de
evaluar dichos controles y diseñar los
procedimientos de auditoria necesarios para
mitigar dicho riesgo al emitir su opinión sobre
los estados financieros tomados en conjunto
• El riesgo de fraude esta íntimamente
relacionado con los tres factores mencionados
anteriormente. Así, el riesgo inherente de una
cuenta y las características propias de la
misma, determinara su propensión al fraude; en
cuanto al riesgo de control es responsabilidad
de la administración el diseño, implementación y
mantenimiento de los controles internos
necesarios para mitigar la posibilidad de fraude.
Aplicación de los conceptos de
importancia relativa y riesgo de
auditoria
• La determinación de la naturaleza, alcance y
oportunidad de los procedimientos de
auditoria, asi como la evaluación del resultado
de dichos procedimientos, deben basarse, entre
otros aspectos, en los conceptos de importancia
relativa y riesgo de auditoria.
El auditor debe considerar los conceptos de
importancia relativa y riesgo de auditoria en
ambas fases:
• Al planear la auditoria y diseñar los
procedimientos de auditoria
• Evaluar si los estados financieros tomados en
su conjunto están presentados razonablemente
en todos los aspectos importantes, de acuerdo
con las NIF.
• En la fase de planeación el auditor
considera estos conceptos para
asegurarse de que obtendrá la evidencia
suficiente y competente que le servirá
para que, en la fase de evaluación de
resultados, pueda juzgar si, en su
opinión, los estados financieros están
presentados razonablemente de acuerdo
con las NIF.
La planeación de la auditoria
• Como ya se indico, los conceptos de
importancia relativa y riesgo de auditoria
adquieran una relevancia especial en la fase de
planeación y diseño de los procedimientos a
aplicar ya que, de no considerarse estos
conceptos en forma adecuada,
• el auditor puede llegar a la etapa final de su
trabajo y encontrar que no tiene la evidencia
suficiente y competente que le permita soportar
su opinión, o lo que es peor, se puede
materializar el riesgo de emitir una opinión sin
salvedades sobre estados financieros que
contengan errores o desviaciones de las NIF, en
exceso a la importancia relativa.
La importancia relativa en la
planeación de la auditoria
• En la etapa de planeación el auditor
generalmente debe establecer el nivel de
importancia relativa sobre unos estados
financieros que aun no se han preparado.
Hay que recordar que las etapas de
planeación normalmente se llevan a cabo
varios meses antes del cierre del ejercicio.
• Al nivel de importancia relativa que se determina
en estas condiciones se le puede
denominar, para efectos prácticos, importancia
relativa de planeación.
• Al determinar la importancia relativa de
planeación, el auditor debe aplicar su criterio y
experiencia para elegir los mejores elementos
disponibles como pueden ser estados
financieros a una fecha inmediata, estados
financieros auditados de años anteriores.
• El auditor considera la importancia relativa
de planeación al diseñar los
procedimientos de auditoria para cada
cuenta o grupo de transacciones. Los
procedimientos de auditoria se diseñan
específicamente para detectar errores
que, en combinación con las que puedan
existir en otras áreas.
El riesgo de auditoria en la etapa de
planeación
• Debe considerarse por el auditor al nivel de los estados financieros tomados en conjunto.
• Se considera el riesgo de auditoria al nivel de los estados financieros durante la etapa de planeación.
• Durante la planeación se deberá evaluar el riesgo de un error importante. En entendimiento del auditor del control interno pudiera aumentar o mitigar la preocupación del auditor acerca del riesgo de errores importantes.
• Al considerar el riesgo de auditoria, el
auditor deberá evaluar específicamente el
riesgo de errores importantes de los
estados financieros debido a un fraude.
La evaluación de los resultados
• Puede ir cambiando durante el curso de la
misma. Por ejemplo, en la base de planeación el
auditor puede estimar que los riesgos
inherentes y de control son bajos. Sin
embargo, después de aplicar los procedimientos
de auditoria, puede concluir que dichos riesgos
eran en realidad medios o altos.
• En este caso, tendrá que ampliar el alcance de
sus procedimientos, o llevar a cabo
procedimientos adicionales, que le permitan
reducir el riesgo de detección y asi poder
alcanzar el nivel de riesgo de auditoria planeado
originalmente.
Vigencia
• Entró en vigor a partir de las auditorias que se
inicien el o después del 1 de julio de 2004.