Normas Internacionales de Auditora *

Control Interno
400. EVALUACIN DE RIESGO Y CONTROL INTERNO
Introduccin

El propsito de esta Norma Internacional de Auditora es establecer normas y proporcionar lineamientos para obtener una comprensin de los sistemas de contabilidad y de control interno sobre el riesgo de auditora y sus componentes: riesgo inherente, riesgo de control y riesgo de deteccin. El auditor deber obtener una comprensin de los sistemas de contabilidad y de control interno suficiente para planear la auditora y desarrollar un enfoque de auditora efectivo. El auditor deber usar juicio profesional para evaluar el riesgo de auditora y disear los procedimientos de auditora para asegurar que el riesgo se reduce a un nivel aceptablemente bajo. Riesgo inherente Al desarrollar el plan global de auditora, el auditor debera evaluar el riesgo inherente a nivel de estado financiero. Al desarrollar el programa de auditora, el auditor debera relacionar dicha evaluacin a nivel de aseveracin de saldos de cuenta y clases de transacciones de importancia relativa, o asumir que el riesgo inherente es alto para la aseveracin. Sistemas de contabilidad y de control interno
Los controles internos relacionados con el sistema de contabilidad estn dirigidos a lograr objetivos como:

Las transacciones son ejecutadas de acuerdo con la autorizacin general o especfica de la administracin. Todas las transacciones y otros eventos son prontamente registrados en el monto correcto, en las cuentas apropiadas y en el perodo contable apropiado. El acceso a activos y registros es permitido slo de acuerdo con la autorizacin de la administracin. Los activos registrados son comparados con los activos existentes a intervalos razonables y se toma la accin apropiada respecto de

cualquier diferencia.
Comprensin de los sistemas de contabilidad y control interno

Al obtener una comprensin de los sistemas de contabilidad y de control interno para planear la auditora, el auditor obtiene un conocimiento del diseo de los sistemas de contabilidad y de control interno, y de su operacin.
Sistema de contabilidad

El auditor debera obtener una comprensin del sistema de contabilidad suficiente para identificar y entender: (a) las principales clases de transacciones en las operaciones de la entidad; (b) cmo se inician dichas transacciones; (c) registros contables importantes, documentos de soporte y cuentas en los estados financieros; y (d) el proceso contable y de informes financieros, desde el inicio de transacciones importantes y otros eventos hasta su inclusin en los estados financieros.
Ambiente de control

El auditor debera obtener una comprensin del ambiente de control suficiente para evaluar las actitudes, conciencia y acciones de directores y administracin, respecto de los controles internos y su importancia en la entidad.
Procedimientos de control

El auditor debera obtener una comprensin de los procedimientos de control suficiente para desarrollar el plan de auditora. Al obtener esta comprensin el auditor considerara el conocimiento sobre la presencia o ausencia de procedimientos de control obtenido de la comprensin del ambiente de control y del sistema de contabilidad para determinar si es necesaria alguna comprensin adicional sobre los procedimientos de control. Riesgo de Control
Evaluacin preliminar del riesgo de control

La evaluacin preliminar del riesgo de control es el proceso de evaluar la efectividad de los sistemas de contabilidad y de control interno de una entidad para prevenir o detectar y corregir representaciones errneas de importancia relativa. Siempre habr algn riesgo de control a causa de las limitaciones inherentes de cualquier sistema de contabilidad y de control interno. Despus de obtener una comprensin de los sistemas de contabilidad y de control interno, el auditor debera hacer una evaluacin preliminar del riesgo de control, al nivel de aseveracin, para cada saldo de cuenta o clase de transacciones, de importancia relativa. La evaluacin preliminar del riesgo de control para una aseveracin del estado financiero debera ser alta a menos que el auditor: (a) pueda identificar controles internos relevantes a la aseveracin que sea probable que prevengan o detecten y corrijan una representacin errnea de importancia relativa; y (b) planee desempear pruebas de control para soportar la evaluacin.
Documentacin de la comprensin y de la evaluacin del riesgo de control

El auditor debera documentar en los papeles de trabajo de la auditora: (a) la comprensin obtenida de los sistemas de contabilidad y de control interno de la entidad; y (b) la evaluacin del riesgo de control. Cuando el riesgo de control es evaluado como menos que alto, el auditor debera documentar tambin la base para las conclusiones.
Pruebas de control

El auditor debera obtener evidencia de auditora por medio de pruebas de control para soportar cualquiera evaluacin del riesgo de control que sea menos que alto. Mientras mas baja la evaluacin del riesgo de control, ms soporte debera obtener el auditor de que los sistemas de contabilidad y de control interno estn adecuadamente diseados y operando en forma efectiva. Basado en los resultados de las pruebas de control, el auditor debera evaluar si los controles internos estn diseados y operando segn se contempl en la evaluacin preliminar de

riesgo de control. La evaluacin de resultado que el auditor concluya que control necesita ser revisado. En tales naturaleza, oportunidad y alcance de planeados.

desviaciones puede dar como el nivel evaluado de riesgo de casos el auditor modificara la los procedimientos sustantivos

Calidad y oportunidad de la evidencia de auditora

Al determinar la evidencia de auditora apropiada para soportar una conclusin sobre riesgo de control, el auditor puede considerar la evidencia de auditora obtenida en auditoras previas. En un trabajo continuo, el auditor estar consciente de los sistemas de contabilidad y de control interno a travs del trabajo llevado a cabo previamente pero necesitar actualizar el conocimiento adquirido y considerar la necesidad de obtener evidencia de auditora adicional de cualesquier cambios en control. Antes de apoyarse en procedimientos aplicados en auditoras previas, el auditor debera obtener evidencia de auditora que soporte esta confiabilidad. El auditor debera obtener evidencia sobre la naturaleza, oportunidad y alcance de cualesquier cambios en los sistemas de contabilidad y de control interno de la entidad, ya que dichos procedimientos fueron aplicados y debera evaluar su impacto sobre la confianza que intenta depositar en ellos. Mientras ms tiempo haya transcurrido desde que se aplicaron dichos procedimientos, disminuye el nivel de seguridad. El auditor debera considerar si los controles internos estuvieron vigentes a lo largo del periodo. Si se modificaron sustancialmente los controles en varias ocasiones durante el periodo, el auditor debera considerar cada uno separadamente. Una falla en los controles internos por una porcin especfica del periodo requiere consideracin por separado de la naturaleza, oportunidad y alcance de los procedimientos de auditora a ser aplicados a las transacciones y otros eventos de ese periodo. El auditor puede decidir desarrollar algunas pruebas de control durante una visita interina antes del final del periodo. Sin embargo, el auditor no puede confiar en los resultados de dichas pruebas sin considerar la necesidad de obtener evidencia de auditora adicional relacionada con el resto del periodo.
Evaluacin final del riesgo de control

Antes de la conclusin de la auditora, basado en los resultados de los procedimientos sustantivos y de otra evidencia de auditora obtenida por el auditor, el auditor debera considerar si

la evaluacin del riesgo de control fue adecuada. Relacin entre las evaluaciones de riesgos inherente y de control La administracin a menudo reacciona a situaciones de riesgo inherente diseando sistemas de contabilidad y de control interno para prevenir o detectar y corregir representaciones errneas y por lo tanto, en muchos casos, el riesgo inherente y el riesgo de control estn altamente interrelacionados. En estas situaciones, si el auditor se decide a evaluar los riesgos inherente y de control por separado, habra la posibilidad de una evaluacin inapropiada del riesgo. Como resultado, el riesgo de auditora puede ser ms apropiadamente determinado en dichas situaciones haciendo una evaluacin combinada. Riesgo de deteccin El nivel de riesgo de deteccin se relaciona directamente con los procedimientos sustantivos del auditor. La evaluacin del auditor del riesgo de control, junto con la evaluacin del riesgo inherente, influye en la naturaleza, oportunidad y alcance de los procedimientos sustantivos que deben desarrollarse para reducir el riesgo de deteccin, y por tanto el riesgo de auditora, a un nivel aceptablemente bajo. Algn riesgo de deteccin estara siempre presente an si un auditor examinara 100 por ciento del saldo de una cuenta o clase de transacciones porque, por ejemplo, la mayor parte de la evidencia de auditora es persuasiva y no concluyente. El auditor debera considerar los niveles evaluados de riesgos inherentes y de control al determinar la naturaleza, oportunidad y alcance de los procedimientos sustantivos requeridos para reducir el riesgo de auditora a un nivel aceptable. A este respecto, el auditor considerara: (a) la naturaleza de los procedimientos sustantivos, por ejemplo, usar pruebas dirigidas hacia partes independientes fuera de la entidad y no pruebas dirigidas hacia partes o documentacin dentro de la entidad, o usar pruebas de detalles para un objetivo particular de auditora adems de procedimientos analticos; (b) la oportunidad de procedimientos sustantivos, por ejemplo, desarrollndolos al final del periodo y no en una fecha anterior; y (c) el alcance de los procedimientos sustantivos, por ejemplo, usar un tamao mayor de muestra.

Los niveles evaluados de riesgos inherentes y de control no pueden ser suficientemente bajos para eliminar la necesidad para el auditor de desarrollar algn procedimiento sustantivo. Sin importar los niveles evaluados de riesgos inherentes y de control, el auditor debera desarrollar algunos procedimientos sustantivos para los saldos de las cuentas y clases de transacciones importantes. Mientras ms alta sea la evaluacin del riesgo inherente y de control, ms evidencia de auditora debera obtener el auditor del desarrollo de procedimientos sustantivos. Cuando tanto el riesgo inherente como el de control son evaluados como altos, el auditor necesita considerar si los procedimientos sustantivos pueden brindar suficiente evidencia apropiada de auditora para reducir el riesgo de deteccin, y por tanto el riesgo de auditora, a un nivel aceptablemente bajo. Cuando el auditor determina que el riesgo de deteccin respecto de una aseveracin de los estados financieros para el saldo de una cuenta o clase de transacciones de importancia relativa, no puede ser reducido a un nivel aceptablemente bajo, el auditor debera expresar una opinin calificada o una abstencin de opinin. Comunicacin de debilidades Como resultado de obtener una comprensin de los sistemas de contabilidad y de control interno y de las pruebas de control, el auditor puede detectar debilidades en los sistemas. El auditor debera informar a la administracin, tan pronto sea factible y a un apropiado nivel de responsabilidad, sobre las debilidades de importancia en el diseo u operacin de los sistemas de contabilidad y de control interno, que hayan llegado a la atencin del auditor. La comunicacin a la administracin de las debilidades de importancia ordinariamente seria por escrito. Sin embargo, si el auditor juzga que la comunicacin oral es apropiada, dicha comunicacin seria documentada en los papeles de trabajo de la auditora. Es importante indicar en la comunicacin que slo han sido reportadas debilidades que han llegado a la atencin del auditor como un resultado de la auditora y que el examen no ha sido diseado para determinar lo adecuado del control interno para fines de la administracin. Ilustracin de la interrelacin de los componentes del riesgo de auditora

La siguiente tabla muestra como puede variar el nivel aceptable de riesgo de deteccin, basado en evaluaciones de los riesgos inherentes y de control. La evaluacin del auditor del riesgo es: Alta Alta La evaluacin del auditor del riesgo inherente Media Baja Lo baja Media ms Ms baja Media Ms alta Baja Media Ms alta Lo alta ms

Ms baja Media

Las reas en negrilla en esta tabla se refieren al riesgo de deteccin.

Hay una relacin inversa entre el riesgo de deteccin y el nivel combinado de los riesgos inherentes y de control. Por ejemplo, cuando los riesgos inherentes y de control son altos, los niveles aceptables del riesgo de deteccin necesitan ser bajos para reducir el riesgo de auditora a un nivel aceptablemente bajo. Por otra parte, cuando los riesgos inherente y de control son bajos, un auditor puede aceptar un riesgo de deteccin ms alto y an as reducir el riesgo de auditora a un nivel aceptablemente bajo.

Declaraciones Internacionales de Auditora

1008. EVALUACIN DEL RIESGO Y EL CONTROL INTERNO CARACTERSTICAS Y CONSIDERACIONES DEL CIS
Introduccin Un entorno de sistema de informacin de cmputo (CIS) se define en la Norma Internacional de Auditora (NIA) 401 Auditora en un Entorno de Sistemas de Informacin por Computadora, como sigue:

Para los fines de las Normas Internacionales de Auditora, existe un entorno de CIS cuando hay implicada una computadora de cualquier tipo o tamao en el procesamiento por parte de la entidad de informacin

financiera de importancia para la auditora, ya sea que la computadora sea operada por la entidad o por un tercero. La introduccin de todos los controles deseados de CIS puede no ser factible cuando el tamao del negocio es pequeo o cuando se usan microcomputadoras independientemente del tamao del negocio. Tambin, cuando los datos son procesados por un tercero, la consideracin de las caractersticas del entorno de CIS puede variar dependiendo del grado de acceso al procesamiento del tercero. Se han desarrollado una serie de declaraciones internacionales de auditora para suplementar los siguientes prrafos. Esta serie describe diversos entornos de CIS y su efecto sobre los sistemas de contabilidad y de control interno y sobre los procedimientos de auditora. Estructura organizacional
En un entorno de CIS, una entidad establecer una estructura organizacional y procedimientos para administrar las actividades de CIS. Las caractersticas de una estructura organizacional de CIS incluyen:

a. Concentracin de funciones y conocimiento aunque la mayora de los sistemas que emplean mtodos de CIS incluye ciertas operaciones manuales, generalmente el nmero de personas involucradas en el procesamiento de informacin financiera es significativamente reducido. Ms an, cierto personal de procesamiento de datos pueden ser los nicos con un conocimiento detallado de la interrelacin entre las fuente de datos, cmo se procesan, y la distribucin y uso de los datos de salida. Es tambin probable que estn conscientes de cualesquiera debilidades en el control interno y, por lo tanto, pueden estar en posicin de alterar programas o datos mientras estn almacenados o durante el procesamiento. Todava ms, pueden no existir muchos controles convencionales basados en la segregacin adecuada de funciones incompatibles, o en ausencia de controles de acceso u otros, pueden ser menos efectivos. b. concentracin de programas y datosa menudo estn concentrados los datos por transaccin y del archivo maestro, generalmente en forma legible por la mquina, ya sea en una instalacin de computadora localizada centralmente o en un nmero de instalaciones distribuidas por toda una entidad. Es probable que los programas de computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estn almacenados en la misma locacin que los datos. Por lo tanto, en ausencia de controles apropiados, hay un mayor potencial para acceso no autorizado a, y alteracin de, programas y datos.

Naturaleza del procesamiento

El uso de computadoras puede dar como resultado el diseo de sistemas que proporcionen menos evidencia que aquellos que usen procedimientos manuales. Adems, estos sistemas pueden ser accesibles a un mayor nmero de personas. Las caractersticas del sistema que pueden ser resultado de la naturaleza del procesamiento CIS incluyen:

a. Ausencia de documentos de entradalos datos pueden ser alimentados directamente al sistema por computadora sin documentos que los soporten. En algunos sistemas de transaccin en lnea, la evidencia por escrito de la autorizacin de alimentacin de datos individuales (por ej., aprobacin para entrada de pedidos) puede ser reemplazada por otros procedimientos, como controles de autorizacin contenidos en los programas de computadora (por ej., aprobacin del lmite de crdito). b. Falta de rastro visible de transaccionesciertos datos pueden mantenerse en archivos de computadora solamente. En un sistema manual, normalmente es posible seguir una transaccin a travs del sistema examinando los documentos fuente, libros de cuentas, registros, archivos y reportes. En un entorno de CIS, sin embargo, el rastro de la transaccin puede estar parcialmente en forma legible por mquina, y todava ms, puede existir slo por un periodo limitado de tiempo. c. Falta de datos de salida visiblesciertas transacciones o resultados del procesamiento pueden no imprimirse. En un sistema manual, y en algunos sistemas de CIS, es posible normalmente examinar en forma visual los resultados del procesamiento. En otros sistemas de CIS, los resultados del procesamiento no pueden imprimirse, o pueden imprimirse slo datos resumidos. As, la falta de datos de salida visibles puede dar como resultado la necesidad de tener acceso a datos retenidos en archivos legibles slo por computadora. d. Facilidad de acceso a datos y programas de computadorase puede tener acceso a los datos y los programas de computadora, y pueden ser alterados, en la computadora o por medio del uso de equipo de computacin en locaciones remotas. Por lo tanto, en ausencia de controles apropiados, hay un potencial mayor para el acceso no autorizado a, y la alteracin de, datos y programas por personas dentro o fuera de la entidad. Aspectos de diseo y de procedimiento

El desarrollo de sistemas de CIS generalmente dar como resultado el diseo y caractersticas de procedimientos que son diferentes de los que se encuentran en los sistemas manuales. Estos aspectos diferentes de diseo y de procedimiento de los sistemas de CIS incluyen:

a. Consistencia de funcionamiento los sistemas de CIS desempean funciones exactamente como se les programe y son potencialmente ms confiables que los sistemas manuales, previsto que todos los tipos de transaccin y todas las condiciones que puedan ocurrir se anticipen e incorporen en el sistema. Por otra parte, un programa de computadora que no est correctamente programado y probado puede procesar en forma consistente transacciones u otros datos en forma errnea. b. Procedimientos de control programados la naturaleza del procesamiento por computadora permite el diseo de procedimientos de control interno en los programas de computadora. Estos procedimientos pueden ser diseados para proporcionar controles con visibilidad limitada (por ej., se puede dar proteccin de datos contra acceso no autorizado mediante el uso de palabras clave.) Pueden disearse otros procedimientos para uso con intervencin manual, tales como la revisin de informes impresos para reportar excepciones y errores, y verificaciones de racionabilidad y lmites de los datos. e. Actualizacin sencilla de una transaccin en archivos mltiples o de base datosuna entrada sencilla al sistema de contabilidad puede automticamente actualizar todos los registros asociados con la transaccin (por ej., los documentos de embarque de mercancas pueden actualizar las ventas y los archivos de cuentas por cobrar a clientes, as como el archivo de inventario). As, una entrada equivocada en dicho sistema puede crear errores en diversas cuentas financieras. d. Transacciones generadas por sistemas ciertas transacciones pueden iniciarse por el sistema de CIS mismo sin necesidad de un documento de entrada. La autorizacin de dichas transacciones puede no ser evidenciada con documentos de entrada visibles ni documentada en las misma forma que las transacciones que se inician fuera del sistema de CIS (por ej., el inters puede ser calculado y cargado automticamente a los saldos de cuentas de clientes con base en trminos previamente autorizados contenidos en un programa de computadora) e. Vulnerabilidad de datos y medios de almacenamiento de programas grandes volmenes de datos y los programas de computadora usados para procesar dichos datos pueden almacenarse en medios de almacenamiento porttil o fijo, como discos y cintas magnticos. Estos medios son vulnerables al robo, prdida, o destruccin intencional o

accidental. Controles internos en un entorno de CIS

Los controles internos sobre el procesamiento por computadora, que ayudan a lograr los objetivos globales del control interno, incluyen tanto procedimientos manuales como procedimientos integrados en programas de computadora. Dichos procedimientos de control manuales y por computadora comprenden los controles globales que afectan al entorno de CIS (controles generales de CIS) y los controles especficos sobre las aplicaciones contables (controles de aplicacin de CIS).

Controles generales de CIS

El propsito de los controles generales de CIS es establecer un marco de referencia de control global sobre las actividades de CIS y proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno. Los controles generales de CIS pueden incluir:

a. Controles de organizacin y administracindiseados para establecer un marco de referencia organizacional sobre las actividades de CIS, incluyendo: Polticas y procedimientos relativos a funciones de control. Segregacin apropiada de funciones incompatibles (por ej., preparacin de transacciones de entrada, programacin y operaciones de computadora). b. Desarrollo de sistemas de aplicacin y controles de mantenimiento diseados para proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de manera eficiente y autorizada. Tambin estn diseados tpicamente para establecer control sobre: Pruebas, conversin, implementacin y documentacin de sistemas nuevos o revisados. Cambios a sistemas de aplicacin. Acceso a documentacin de sistemas. Adquisicin de sistemas de aplicacin con terceros. c. Controles de operacin de computadorasdiseados para controlar la operacin de los sistemas y proporcionar certeza razonable de que: Los sistemas son usados para propsitos autorizados nicamente.

 El acceso a las operaciones de la computadora es restringido a personal autorizado. Slo se usan programas autorizados. Los errores de procesamiento son detectados y corregidos. d. Controles del software de sistemas diseados para proporcionar certeza razonable de que el software del sistema se adquiere o desarrolla de manera autorizada y eficiente, incluyendo: Autorizacin, aprobacin, pruebas, implementacin y documentacin de software de sistemas nuevos y modificaciones del software de sistemas. Restriccin de acceso a software y documentacin de sistemas al personal autorizado. e. Controles de entrada de datos y de programas diseados para proporcionar razonable certeza de que: Hay establecida una estructura de transacciones que se alimentan al sistema. autorizacin sobre las

El acceso a datos y programas est restringido a personal autorizado.

Hay otras salvaguardas de CIS que contribuyen a la continuidad del procesamiento de CIS. Estas pueden incluir:

Respaldo de datos y programas de computadora en otro sitio. Procedimientos de recuperacin para usarse en caso de robo, prdida o destruccin intencional o accidental. Provisin para procesamiento externo en caso de desastre. Controles de aplicacin de CIS
El propsito de los controles de aplicacin de CIS es establecer procedimientos especficos de control sobre las aplicaciones contables para proporcionar certeza razonable de que todas las transacciones estn autorizadas y registradas y son procesadas completamente, con exactitud y oportunamente. Los controles de aplicacin de CIS incluyen:

A. Controles sobre datos de entradadiseados para proporcionar certeza razonable de que: Las transacciones son autorizadas en forma apropiada antes de ser procesadas por la computadora. Las transacciones son convertidas con exactitud a una forma legible por mquina y registradas en los archivos de datos de la computadora. Las transacciones no estn cambiadas en forma impropia. perdidas, aadidas, duplicadas o

Las transacciones incorrectas son rechazadas, corregidas y, si es necesario, reprocesadas oportunamente. B. Controles sobre el procesamiento y sobre archivos de datos de la computadoradiseados para proporcionar certeza razonable de que: Las transacciones, incluyendo las transacciones generadas por el sistema, son procesadas en forma apropiada por la computadora. Las transacciones no estn perdidas, cambiadas en forma no apropiada. Los errores oportunamente. de procesamiento son aadidas, duplicadas o y corregidos

identificados

C. Controles sobre los datos de salida diseados para proporcionar certeza razonable de que: Los resultados del procesamiento son exactos. El acceso a los datos de salida est restringido a personal autorizado. Los datos de salida se proporcionan al personal autorizado apropiado oportunamente. Revisin de controles de aplicacin de CIS
El auditor deber evaluar cmo afectan los controles generales las aplicaciones de CIS importantes para la auditora. Los controles generales de CIS que se relacionan a algunas o todas las aplicaciones son controles tpicamente interdependientes en cuanto que su operacin es a menudo esencial para la efectividad de los controles de aplicacin de CIS. Consecuentemente, puede ser ms eficiente revisar el diseo de los controles generales antes de revisar los controles de aplicacin.

El control sobre los datos de entrada, procesamiento, archivos de datos y datos de salida puede ejercerse por personal de CIS, por usuarios del sistema, por un grupo de control separado, o puede ser programado en el software de aplicacin. Los controles de aplicacin de CIS que el auditor puede desear probar incluyen:

A. Controles manuales ejercidos por el usuariosi los controles manuales ejercidos por el usuario del sistema de aplicacin tienen la capacidad de dar una certeza razonable de que los datos de salida del sistema son completos, exactos y autorizados, el auditor puede decidir limitar las pruebas de control a estos controles manuales (por ej., los controles manuales ejercidos por el usuario sobre un sistema computarizado de nminas para empleados asalariados podra incluir un total anticipado del control de entradas para los pagos brutos, la comprobacin de los clculos de salida de salarios netos, la aprobacin de pagos y transferencia de fondos, la comparacin con las cifras del registro de nmina, y una rpida conciliacin bancaria). En este caso, el auditor puede desear probar slo los controles manuales ejercidos por el usuario. B. Controles sobre los datos de salida del sistema si, adems de los controles manuales ejercidos por el usuario, los controles que deben probarse usan informacin producida por la computadora o estn contenidos dentro de programas de computadora, puede ser posible probar dichos controles examinando los datos de salida del sistema usando tcnicas de auditora ya sea manuales o con ayuda de computadora. Dichos datos de salida pueden ser en forma de medios magnticos, microfilm o impresos (por ej., el auditor puede probar los controles ejercidos por la entidad sobre la conciliacin de totales de reportes con las cuentas de control del libro mayor y puede realizar pruebas manuales de dichas conciliaciones). Alternativamente, cuando la conciliacin se realiza por computadora, el auditor puede desear probar la conciliacin volviendo a ejecutar el control con el uso de tcnicas de auditora con ayuda de computadora (ver Declaracin Internacional de Auditora Tcnicas de Auditora con Ayuda de Computadora). C. Procedimientos de control programadosen el caso de ciertos sistemas por computadora, el auditor puede encontrar que no sea posible o, en algunos casos, no sea prctico probar los controles examinando slo los controles del usuario o los datos de salida del sistema (por ej., en una aplicacin que no da resultados impresos de aprobaciones crticas o violaciones a las polticas normales, el auditor puede querer probar los procedimientos de control contenidos dentro del programa de aplicacin). El auditor puede considerar llevar a cabo

pruebas de control con el uso de tcnicas de auditora con ayuda de computadora, como prueba de los datos, reprocesamiento de datos de transacciones o, en situaciones inusuales, examinar la codificacin del programa de aplicacin. Evaluacin
Los controles generales de CIS pueden tener un efecto penetrante en el procesamiento de transacciones en los sistemas de aplicacin. Si estos controles no son efectivos, puede haber un riesgo de que pudieran ocurrir representaciones errneas y no ser detectadas en los sistemas de aplicacin. As, las debilidades en los controles generales de CIS pueden imposibilitar la prueba de cienos controles de aplicacin de CIS; sin embargo, los procedimientos manuales ejercidos por los usuarios pueden proporcionar control efectivo al nivel de aplicacin.

Captulo 5: Evaluacin del control interno

Enlaces patrocinadosArbolar

Campamento de actividades nuticas Curso vela en el Mar Menor (Murcia) www.arbolar.com

DOCUMENTACIN DEL CONTROL INTERNO - Narrativas - Cuestionario - Flujogramas - Combinacion EVALUACIN DEL CONTROL INTERNO Evaluamos la efectividad del control interno para proveer una certeza razonable de que se previene o se detectan y se corrigen errores e irregularidades. Limitaciones intrnsecas del control interno 1- Restricciones de recursos y la necesidad de considerar el costo del control interno en relacin con los beneficios anticipados. 2- Los lmites del juicio humano y fallos humanos tales como simples errores o equivocaciones por descuidos, distraccin, errores o malentendidos de las instrucciones. 3- La capacidad de la gerencia para desviar el control interno 4- La posibilidades de que exista colusin entre dos o mas personas dentro o fuera de la entidad 5- La realidad de que pueden ocurrir interrupciones. EVALUACIN DE RIESGO DE CONTROL

- Bajo El control interno es efectivo ( previene, detecta y corrige los errores)

nCircle: Seguridad y manejo de vulnerabilidades. Ms informacin: www.ncircle.com/vulnerabilidadeEnlaces patrocinados

- Moderado El control interno es moderadamente efectivo ( nfasis en prevencin o deteccin y corrige los errores significativos) - Alto El control interno es inefectivo ( no previene no detecta ni corrige los errores significativos) Debemos probar el control interno a fin de corrobar nuestra evaluacin preliminar del mismo. - Pruebas de cumplimiento de detalle - Prueba de cumplimiento por indagacin y observacin ( memorandm) Para qu evaluar el control interno? Se evala el control interno para determinar si podemos confiar en el con el objeto de modificar nuestras pruebas sustantivas: Alcance ( nmero de prueba) Oportunidad ( fecha de la prueba) Naturaleza ( clase de la prueba) CONTROL INTERNO SUSTANTIVAS VS PRUEBAS

BAJO ( EXELENTE CONTROL) PRUEBA SUSTANTIVA, MENORES PRUEBAS, ANTICIPO DE PRUEBA MODERADO( BUEN CONTROL) MODERADAS PRUEBAS ANTICIPO DE PRUEBA ALTO ( CONTROL POCO EFECTIVO) MAYORES PRUEBA, PRUEBA AL CIERRE

Uso de la Evaluacin de Riesgos

en la Planificacin de Auditoras de TI
(1)

Seleccin de una Metodologa de Evaluacin de Riesgos

Existen numerosas metodologas de evaluacin de riesgos informatizadas y no informatizadas disponibles para el rea de Auditora Interna. stas varan desde las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor, hasta los clculos complejos y aparentemente cientficos que suministran una clasificacin numrica de riesgo. El Auditor Interno debe tener en cuenta el grado de complejidad y detalle apropiados para la organizacin auditada. Todas las metodologas de evaluacin de riesgos dependen de juicios subjetivos en algn momento del proceso (por ej., para asignar ponderaciones a los diversos parmetros). El rea de Auditora Interna debe identificar las decisiones subjetivas requeridas a fin de utilizar una metodologa especfica y considerar si estos juicios pueden emitirse y validarse con un grado de exactitud apropiado. Al decidir cul es la metodologa de evaluacin de riesgos ms apropiada, el rea de Auditora Interna debe tener en cuenta:

El tipo de informacin que debe recopilarse (algunos sistemas utilizan el efecto financiero como nica medida esto no siempre resulta adecuado para las auditoras de TI). El costo del software u otras licencias requeridas para utilizar la metodologa. El grado de disponibilidad de la informacin requerida. La cantidad de informacin adicional que debe recopilarse antes de poder obtener una salida confiable, y el costo de recopilar dicha informacin (incluyendo el tiempo que debe dedicarse a esa tarea). Las opiniones de otros usuarios de la metodologa y sus puntos de vista sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus auditoras. La buena disposicin de la gerencia para aceptar la metodologa como medio para determinar el tipo y nivel de trabajo de auditora a realizar.

No puede esperarse que una metodologa de evaluacin de riesgos determinada resulte apropiada en todas las situaciones. Las condiciones que inciden en el desarrollo de las auditoras pueden modificarse con el tiempo. Peridicamente, el rea de Auditora Interna debe realizar una nueva evaluacin de la idoneidad de las metodologas de evaluacin de riesgos seleccionadas.

Uso de la Evaluacin de Riesgos

El Auditor Interno debe utilizar las tcnicas de evaluacin de riesgos seleccionadas al desarrollar el plan global de auditora y al planificar las auditoras especficas. La evaluacin de riesgos, en combinacin con otras tcnicas de auditora, debe tenerse en cuenta al tomar decisiones de planificacin relacionadas con:

La naturaleza, el alcance y la oportunidad de los procedimientos de auditora. Las reas o funciones de negocio a auditar. El tiempo y los recursos a asignar a cada una de las auditoras.

El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar su nivel global:

Riesgo inherente Riesgo de control Riesgo de deteccin

Riesgo inherente

El riesgo inherente es la tendencia de un rea de Tecnologa de Informacin a cometer un error que podra ser material, en forma individual o en combinacin con otros, suponiendo la inexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, o aun su divulgacin, a travs de las deficiencias en la seguridad del sistema operativo podran tener como resultado una desventaja competitiva o informacin de gestin falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un anlisis adecuado demuestra que no se utiliza con propsitos crticos de negocio. El riesgo inherente para la mayora de las reas de auditora de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran nmero de usuarios. Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles generales de TI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor Interno est relacionada exclusivamente con controles generales. En lo que respecta a los controles generales de TI, el Auditor Interno debe tener en cuenta lo siguiente, al nivel apropiado para el rea de auditora en cuestin:

La integridad, experiencia y conocimiento de la Gerencia de TI.

Los cambios en la Gerencia de TI. La presin ejercida sobre la Gerencia de TI, que puede predisponerla a ocultar o distorsionar informacin (por ej., prdida de datos en grandes proyectos crticos de negocios, actividades de hackers, etc.). La naturaleza del negocio y de los sistemas de la organizacin (por ej., la posibilidad de ejercer el comercio electrnico, la complejidad de los sistemas, la falta de sistemas integrados, etc.). Los factores que afectan el rendimiento de la organizacin en general (por ej., cambios tecnolgicos, disponibilidad del personal de TI, etc.). El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integracin de la cadena de suministro, la tercerizacin de los procesos de TI, las alianzas estratgicas de negocio y el acceso directo de los clientes).

Al nivel de los controles detallados de TI, el Auditor Interno debe tener en cuenta, en el nivel apropiado para el rea de auditora en cuestin:

Los hallazgos y fecha de auditoras anteriores en el rea. La complejidad de los sistemas involucrados. El nivel de intervencin manual requerida. La propensin a la prdida o apropiacin indebida de los bienes controlados por el sistema (por ej., inventario, nmina, etc.). La probabilidad de que se produzcan picos de actividad en ciertos momentos del perodo de auditora. Las actividades que no estn comprendidas en la rutina de procesamiento de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.). La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicacin de los controles de TI.

Riesgo de Control

Es el riesgo por el que un error, que podra cometerse en un rea de auditora -y que podra ser material, individualmente o en combinacin con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es normalmente alto debido a que las actividades que requieren investigacin a menudo se pierden con facilidad por el volumen de informacin registrada. El riesgo de control asociado a los procedimientos computarizados de validacin de datos es normalmente bajo puesto que los procesos se aplican con regularidad. El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos que

los controles internos pertinentes:

Se identifiquen Se consideren eficaces Se prueben y confirmen como adecuadamente operativos (pruebas de cumplimiento)

Riesgo de Deteccin

Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno no detectan un error que podra ser material, individualmente o en combinacin con otros. Por ejemplo, el riesgo de deteccin asociado a la identificacin de violaciones de la seguridad en un sistema de aplicacin es normalmente alto, debido a que en el transcurso de la auditora, los registros de todo su perodo no se encuentran disponibles. El riesgo de deteccin asociado con la identificacin de la falta de planes de recuperacin ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad. Al determinar el nivel de pruebas sustantivas requeridas, el Auditor Interno debe tener en cuenta:

La evaluacin del riesgo inherente. La conclusin sobre riesgos de control a la que se llega luego de las pruebas de cumplimiento.

Cuanto ms exhaustiva es la evaluacin del riesgo inherente y de control, mayor es la evidencia de auditora que debera obtener el Auditor Interno mediante la ejecucin de los procedimientos sustantivos de auditora.

Documentacin

El rea de Auditora Interna deber documentar la tcnica o metodologa de evaluacin de riesgos utilizada en una auditora. Normalmente, la documentacin deber incluir:

Una descripcin de la metodologa de evaluacin de riesgos utilizada. La identificacin de exposiciones significativas y los riesgos correspondientes. Los riesgos y exposiciones que la auditora se propone abordar. La evidencia de auditora utilizada para respaldar la evaluacin de riesgos del Auditor Interno.

En resumen, el nivel de trabajo de auditora requerido para lograr un objetivo de auditora especfico resulta de una decisin subjetiva del Auditor Interno. Uno de los aspectos de esta decisin es el riesgo de llegar a una conclusin incorrecta basada en los hallazgos de auditora (riesgo de auditora). El otro es el riesgo de cometer errores en el rea auditada (riesgo de error). El Auditor Interno debe tener en cuenta las normas profesionales al determinar cmo implementar la evaluacin de riesgos mencionada, as como tambin, utilizar el juicio profesional en su aplicacin y estar preparado para justificar cualquier desviacin respecto de ellas.