Informacin y Comunicacin

Informacin y comunicacin es el proceso de capturar e intercambiar informacin

que se necesita para ejecutar, administrar y controlar las operaciones de la
empresa.
La calidad del sistema de comunicacin e informacin de la compaa afecta la
habilidad de la gerencia para tomar las decisiones acertadas para controlar las
actividades de la compaa y preparar reportes financieros confiables.
Informacin y comunicacin abarcan la captura y la emisin de informacin al
personal adecuado para que ste pueda cumplir con sus responsabilidades,
incluyendo una comprensin de las funciones y responsabilidades individuales que
ataen al control interno sobre reportes de informacin financiera.
Para entender la informacin y comunicacin a nivel de empresa, el equipo a
cargo del proyecto considera factores tales como:

Informacin
1. Si el sistema de informacin provee a la gerencia los informes necesarios
sobre el desempeo de la empresa en relacin con los objetivos
establecidos, incluyendo informacin relevante tanto externa como interna.
2. Si la informacin se provee a las personas adecuadas con suficiente detalle
y anticipacin para que puedan desempear sus responsabilidades
eficientemente y con eficacia
3. Hasta qu grado los sistemas de informacin son desarrollados o
modificados con base en un plan estratgico que est inter-relacionado con
el sistema general de informacin de la empresa, que permita el logro de
los objetivos a nivel de empresa y de proceso/aplicacin
4. Si la gerencia de la empresa asigna los recursos humanos y financieros
adecuados para desarrollar los sistemas de informacin que sean
necesarios
5. Cmo asegura y monitorea la gerencia la participacin de usuarios en el
desarrollo (incluyendo modificaciones) y pruebas de programas
6. Si se ha establecido un plan de recuperacin en caso de desastre para
todos los centros principales de datos

Comunicacin

1. Si la gerencia comunica de manera eficaz las funciones y responsabilidades

de control del personal
2. Si se han establecido canales de comunicacin para las personas que
tienen que reportar hechos sospechosos
3. La idoneidad de la comunicacin a travs de la empresa para
facilitar el desempeo de obligaciones por parte del personal
4. Si la gerencia toma oportuna y apropiada accin de seguimiento en relacin
con las comunicaciones de clientes, proveedores, mediadores y otras
partes externas
5. Si la empresa est sujeta a requisitos de monitoreo y cumplimiento
impuestos por organismos reguladores
6. El alcance de notificacin a terceros fuera de la empresa (tales como
clientes y proveedores) sobre las polticas y normas de tica de la empresa.

Actividades de Control
Las actividades de control son polticas y procedimientos que ayudan a asegurar
que las instrucciones de la gerencia sean cumplidas. Ayudan a asegurar que se
toman las acciones necesarias para tratar los riesgos en el logro de los
objetivos de la empresa. Las actividades de control, automatizadas o manuales,
tienen varios objetivos y se aplican a varios niveles organizacionales y funcionales.
Para comprender las actividades de control a nivel de empresa, el equipo a cargo
del proyecto toma en cuenta factores tales como:
1. Si existen las polticas y los procedimientos que se requieren respecto a
cada actividad de la empresa.
2. Si los controles se aplican con la extensin que requiere cada poltica.
3. Si la gerencia tiene objetivos claros en trminos de presupuesto, utilidades,
otras metas financieras y de operacin y estos objetivos son expresados
con claridad y comunicados a toda la organizacin, y son monitoreados
continuamente.
4. Si hay sistemas establecidos de informacin y de planeacin para
identificar variaciones en el desempeo planeado y comunicar tales
variaciones a nivel apropiado de gerencia.
5. Grado en que las funciones estn segregadas entre diferentes personas de
tal manera que se reduce el riesgo de fraude o de otros actos impropios.

6. Grado en que las funciones estn divididas lgicamente por medio de

aplicaciones de tecnologa de informacin (IT).
7. Si se hacen comparaciones peridicas de los importes registrados en el
sistema contable con los activos fsicos.
8. Si existen salvaguardias adecuadas para evitar el acceso no autorizado o
la destruccin de documentos, registros y activos.
9. Si se han establecido polticas para controlar el acceso a archivos de datos
y programas.
10. Si se usa algn software de seguridad de acceso, de sistema operativo, y/o
de aplicaciones para controlar el acceso a datos y programas.
11. Si hay sistemas establecidos de informacin y de planeacin para identificar
variaciones en el desempeo planeado y comunicar tales variaciones a
nivel apropiado de gerencia.
12. Grado en que las funciones estn segregadas entre diferentes personas de
tal manera que se reduce el riesgo de fraude o de otros actos impropios.
13. Grado en que las funciones estn divididas lgicamente por medio de
aplicaciones de tecnologa de informacin (IT).
14. Si se hacen comparaciones peridicas de los importes registrados en el
sistema contable con los activos fsicos.
15. Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la
destruccin de documentos, registros y activos.
16. Si se han establecido polticas para controlar el acceso a archivos de datos
y programas.
17. Si se usa algn software de seguridad de acceso, de sistema operativo, y/o
de aplicaciones para controlar el acceso a datos y programas.
18. Si existe una funcin establecida de seguridad de informacin con la
responsabilidad de monitorear el cumplimiento con las polticas y
procedimientos de seguridad de informacin.

Monitoreo
Una importante responsabilidad de la gerencia es el establecimiento y
mantenimiento del control interno. La gerencia monitorea los controles para
cerciorarse de que funcionen conforme a lo diseado, y si se han modificado para

adaptarlos a condiciones cambiantes. Monitoreo es un proceso de evaluacin para

determinar la calidad del control interno a travs del tiempo, considerando si los
controles estn operando para lo que fueron diseados y asegurando que son
modificados apropiadamente por condiciones cambiantes. Esto implica evaluar el
diseo y la operacin de los controles con regularidad, tomando las acciones
correctivas necesarias. Este proceso se logra mediante actividades sobre la
marcha y evaluaciones separadas, o combinaciones de ambas.
Para comprender el proceso de monitoreo a nivel de empresa, el equipo a cargo
del proyecto debe tener presente factores tales como:
1. Si se llevan a cabo evaluaciones peridicas del control Interno
2. Grado en que el personal, en el desarrollo de sus funciones regulares,
obtiene evidencia de que el sistema de control interno contina funcionando
3. Grado en que las comunicaciones de partes externas corroboran la
informacin generada internamente o indican problemas
4. Si la gerencia sigue las recomendaciones que le hacen los auditores
internos y los auditores independientes
5. Enfoque de la gerencia para corregir oportunamente las condiciones
informales conocidas
6. Enfoque de la gerencia para manejar los reportes y recomendaciones
provenientes de autoridades reguladoras
7. Existencia de una funcin de la auditora interna que la gerencia usa para
ayudarse en el monitoreo, la cual incluye factores tales como:

Independencia (autoridad y relaciones de reporte)

Lneas de reporte (se reporta directamente a la junta directiva y/o al comit

de auditora, o se tiene acceso ilimitado a la junta directiva y/o al comit de
auditora)

Idoneidad en la asignacin de personal, entrenamiento y existencia de

destrezas especializadas de acuerdo con el entorno (e.g., uso de auditores
de sistemas de informacin experimentados, adiestrados en entornos
complejos y altamente automatizados)

Cumplimiento con las normas profesionales aplicables

Alcance de actividades (un balance entre auditorias financieras y

operacionales, cobertura y rotacin de operaciones descentralizadas)

Idoneidad de la planeacin, evaluacin de riesgos y documentacin del

trabajo ejecutado y las conclusiones alcanzadas

Inexistencia de responsabilidades operativas

El equipo a cargo del proyecto debe evaluar si el sistema de control interno est
sujeto a auto-monitoreo y si incluye mecanismos apropiados para asegurar que
cualesquier deficiencias observadas son corregidas. En el caso de que los
mtodos de auto-monitoreo y correccin de deficiencias sean evaluados como
inadecuados, el equipo debe proponer recomendaciones especficas para mejorar
el sistema.

5. Entender y Evaluar el Control Interno en Procesos y

Transacciones
1. Identificar y Evaluar las Clases Mayores de Transacciones
2. Otras Consideraciones de Control
3. Efectos de la Tecnologa de Informacin
Despus de terminar una evaluacin de control interno a nivel de empresa, el
sistema de contabilidad de una organizacin se convierte en el foco primario para
la evaluacin del control interno sobre la informacin financiera. Para este
propsito, el sistema de contabilidad est representado por los procesos que son
bsicos para la informacin financiera de la Compaa (i.e., los procesos de
negocios y/o actividades contables).

Determinar las Cuentas Significativas

El punto de partida para identificar cuales son los procesos importantes,
que empieza con la identificacin de las cuentas o grupos de cuentas significativas
a nivel de revelacin en los rubros o las notas de los estados financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia
que pueden tener un efecto material sobre los estados financieros u otros
asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios
los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio
de la empresa con sus clientes, accionistas o el pblico si estos asuntos
quedaran sin ser detectados.
La importancia de una cuenta son su tamao y composicin, y su susceptibilidad a
manipulacin o prdida; su naturaleza; el volumen de la actividad, tamao,
complejidad y homogeneidad de las transacciones individuales procesadas a
travs de la cuenta y la subjetividad en la determinacin del saldo de la cuenta
(i.e., el alcance en que la cuenta es afectada por juicios).

Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta
o grupo de cuentas tambin es algo que se debe tener presente. Generalmente,
una empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de
crecimiento, mercados, productos, personal, tecnologa) tendr ms situaciones
de incertidumbre y de riesgo que compaas con estabilidad.

1. Identificar y Evaluar las Clases Mayores de Transacciones

Identificar las cuentas significativas
El punto de partida para identificar cules son los procesos importantes,
que empieza con la identificacin de las cuentas o grupos de cuentas significativas
a nivel de revelacin en los rubros o las notas de los estados financieros.
Una cuenta o un grupo de cuentas es clave si existieran errores de importancia
que pueden tener un efecto material sobre los estados financieros u otros
asuntos legales, conflicto de intereses o beneficios no autorizados a funcionarios
los cuales, aunque no sean materiales, pueden afectar adversamente el prestigio
de la empresa con sus clientes, accionistas o el pblico si estos asuntos
quedaran sin ser detectados.
La importancia de una cuenta son su tamao y composicin, y su susceptibilidad a
manipulacin o prdida; su naturaleza; el volumen de la actividad, tamao,
complejidad y homogeneidad de las transacciones individuales procesadas a
travs de la cuenta.
Los cambios que ocurran en las actividades del negocio y su efecto en una cuenta
o grupo de cuentas tambin es algo que se debe tener presente. Generalmente,
una empresa en que tienen lugar muchos cambios (por ejemplo, su tasa de
crecimiento, mercados, productos, personal, tecnologa) tendr ms situaciones
de incertidumbre y de riesgo que compaas con estabilidad.

Identificar y evaluar transacciones importantes

Esta identificacin representa el enlace entre la identificacin de cuentas o grupo
de cuentas significativas y la comprensin y evaluacin de los procesos y
controles relacionados.
Las transacciones mayores incluyen todas las clases de transacciones que
afectan en forma material las cuentas o grupos de cuentas significativas, sea
directamente a travs de asientos en el mayor general, o indirectamente mediante
la creacin de derechos u obligaciones que no pueden ser registrados en el libro
mayor.
Los procesos comprenden clases de transacciones que pueden calificarse como:

a. rutinarias,
b. no rutinarias o
c. de estimacin
Es importante distinguir entre estas clases mayores de transacciones porque los
componentes y riesgos en cada clase son diferentes y, como resultado, la
probabilidad de errores de importancia que surgen de los procesos
correspondientes tambin difiere.

Transacciones Rutinarias
Son los datos financieros registrados en los libros y los registros o datos no
financieros usados para administrar el negocio.
Por ejemplo, una empresa podra tener las siguientes transacciones rutinarias:
Ventas y cuentas por cobrar

Ingresos en efectivo

Compras y cuentas por pagar

Egresos en efectivo

Nmina

Inventarios y costo de ventas

Algunas empresas tendrn ms de un solo proceso para transacciones similares.

Por ejemplo, puede haber procesos separados para ventas domsticas y de
exportacin; la nmina puede ser diferente para aquellos con salario fijo y los que
ganan en base a horas trabajadas.

Transacciones No Rutinarias
Estas son transacciones que se llevan en forma peridica, generalmente en
conjunto con los estados financieros. Cualquier clase mayor de transacciones que
no cumpla fcilmente con la definicin de transaccin rutinaria o transaccin de
estimacin se puede ver como transaccin no rutinaria. Transacciones tpicas no
rutinarias incluyen:

Clculo del gasto por impuesto sobre la renta

Conteo y valuacin de inventarios

Determinacin de gastos pagados por adelantado

Transacciones de Estimacin
Estas son transacciones que reflejan los numerosos juicios, decisiones y
alternativas en la preparacin de estados financieros (Ej: Estimacin para cuentas
por cobrar).
Es importante tener presente que las transacciones rutinarias generalmente estn
sujetas a un sistema de control ms formal, debido a que hay mayor objetividad en
los datos y en el volumen de informacin procesada.
Por el contrario, debido a que las transacciones no rutinarias y las de estimacin
frecuentemente son ms subjetivas o menos frecuentes, sus controles son menos
formales. En consecuencia, el riesgo de errores potenciales puede ser mayor.

Entender el Flujo de Transacciones

Una vez identificado las principales clases de transacciones, es necesario obtener
detalle de los procesos para comprender el flujo de cada clase mayor de
transacciones.
El objetivo de este paso es la identificacin de los registros, documentos y
procedimientos bsicos en uso para identificar en dnde pueden ocurrir errores.
La mayora de los procesos involucran una serie de actividades tales como la
validacin y edicin de entrada de datos, clculos, actualizacin de archivos
maestros y de transacciones y resumen e informacin de datos.
Los procedimientos de proceso ms importantes y que son necesarios para
efectos de identificar dnde pueden ocurrir errores son las actividades que se
requieren para iniciar; registrar; procesar o reportar las clases mayores de
transacciones. Estos incluyen procedimientos para corregir y reprocesar
transacciones previamente rechazadas y procedimientos para corregir
transacciones errneas mediante asientos de ajuste.
Debemos comprender el flujo y la naturaleza de la informacin; analizar los tipos
de errores que pueden ocurrir en la iniciacin, registro, proceso y reporte de las
transacciones y considerar las polticas y procedimientos de control interno
relevantes.
Si bien la documentacin de la comprensin y evaluacin variar segn la
categora de la transaccin, Ej: usar papeles de trabajo para documentar procesos
para transacciones rutinarias y memorandos para documentar procesos para
transacciones no rutinarias y de estimacin, los objetivos de registrar informacin
contable son consistentes.

Proceso de Reporte de Informacin Financiera

Se debe incluir en su comprensin y evaluacin del control interno el proceso para
producir reportes financieros. La comprensin de los procesos significativos de la
empresa y su interrelacin con el proceso especfico de producir informacin
financiera proporcionar una base para conocer la informacin requerida para el
proceso de informacin financiera. Tpicamente ste incluir:
a. Los procedimientos para registrar los totales de las transacciones en el
mayor general.
b. Los procedimientos para iniciar, registrar y procesar asientos de diario en el
mayor general.
c. Otros procedimientos usados para registrar ajustes recurrentes y norecurrentes en los estados financieros y reclasificaciones.
d. Procedimientos para preparar proyectos de estados financieros y notas a
los estados financieros.
e. Preparacin del anlisis de la gerencia en cuanto a logros
financieros y operativos del negocio.

Evaluar los Controles Diseados

Pruebas de controles
El auditor deber disear y desempear pruebas de controles para obtener
suficiente evidencia apropiada de auditora en cuanto a la efectividad operativa de
los controles relevantes si:
a. La evaluacin del auditor de los riesgos de representacin errnea de
importancia relativa a nivel aseveracin incluye una expectativa de que los
controles estn operando de manera efectiva (es decir, el auditor piensa
apoyarse en la efectividad operativa de los controles para determinar la
naturaleza, oportunidad y extensin de los procedimientos sustantivos);
b. Los procedimientos sustantivos solos no pueden proporcionar suficiente
evidencia apropiada de auditora a nivel aseveracin.
Al disear y desempear las pruebas de controles, el auditor deber
obtener evidencia de auditora ms persuasiva, mientras mayor sea el grado de
dependencia del auditor de la efectividad de un control.

Naturaleza y extensin de las pruebas de controles

Al disear y desempear las pruebas de controles, el auditor deber:

a) Desempear otros procedimientos de auditora en combinacin con la
investigacin, para obtener evidencia de auditora sobre la efectividad operativa de
los controles, incluyendo:
i) Cmo se aplicaron los controles en momentos relevantes durante el periodo bajo
auditora;
ii) La consistencia con que se aplicaron; y iii) Por quin y por qu medios se
aplicaron.
b) Determinar si los controles por probar dependen de otros controles (controles
indirectos) y, de ser as, si es necesario obtener evidencia de auditora que soporte
la operacin efectiva de dichos controles indirectos.

Oportunidad de las pruebas de controles

El auditor deber poner a prueba los controles por el tiempo particular, o durante el
perodo, por el cual piensa el auditor apoyarse en dichos controles, para dar una
base apropiada para el soporte pensado por el auditor.
Si el auditor obtiene evidencia de auditora sobre la efectividad operativa de los
controles durante un periodo provisional, el auditor deber:
a. Obtener evidencia de auditora sobre cambios importantes a dichos
controles posteriores al periodo provisional; y
b. Determinar la evidencia adicional de auditora que se debe obtener por el
perodo restante

Uso de evidencia de auditora obtenida en auditoras previas

Al determinar si es apropiado usar evidencia de auditora sobre la efectividad
operativa de los controles obtenida en auditoras previas, y, si es as, la duracin
del periodo que puede pasar antes de volver a someter a prueba un control, el
auditor deber considerar lo siguiente:
a. La efectividad de otros elementos de control interno, incluyendo el entorno
del control, el monitoreo de controles por la entidad, y el proceso de
evaluacin del riesgo de la entidad;
b. Los riesgos que se originen de las caractersticas del control, incluyendo si
es manual o automatizado;
c. La efectividad de los controles generales de TI;

d. La efectividad del control y su aplicacin por la entidad, incluyendo la

naturaleza y extensin de las desviaciones en la aplicacin del control que
se observaron en auditoras previas, y si ha habido cambios de personal
que afecten de manera importante la aplicacin del control;
e. Si la falta de un cambio de un control particular plantea un riesgo debido a
las circunstancias cambiantes; y Los riesgos de representacin errnea de
importancia relativa y el grado de dependencia del control
f. Los riesgos de representacin errnea de importancia relativa y el grado de
dependencia del control
Si el auditor planea usar evidencia de auditora de una auditora previa sobre la
efectividad operativa de controles especficos, el auditor deber establecer la
relevancia continua de dicha evidencia, obteniendo evidencia de auditora sobre si
han ocurrido cambios importantes en dichos controles posteriores a la auditora
previa.
La efectividad de otros elementos de control interno, incluyendo el entorno del
control, el monitoreo de controles por la entidad, y el proceso de evaluacin del
riesgo de la entidad; Los riesgos que se originen de las caractersticas del control,
incluyendo si es manual o automatizado; La efectividad de los controles generales
de TI; La efectividad del control y su aplicacin por la entidad, incluyendo la
naturaleza y extensin de las desviaciones en la aplicacin del control que se
observaron en auditoras previas, y si ha habido cambios de personal que afecten
de manera importante la aplicacin del control; Si la falta de un cambio de un
control particular plantea un riesgo debido a las circunstancias cambiantes; y Los
riesgos de representacin errnea de importancia relativa y el grado de
dependencia del control.
a. Si ha habido cambios que afecten la relevancia continua de la evidencia de
auditora de la auditora previa, el auditor deber someter a prueba los
controles en la auditora.
b. Si no ha habido esos cambios, el auditor deber poner a prueba los
controles cuando menos una vez cada tercer auditora, y deber poner a
prueba algunos controles cada auditora, para evitar la posibilidad de poner
a prueba todos los controles sobre los que piensa apoyarse el auditor en un
solo periodo de auditora, sin poner a prueba controles en los dos periodos
de auditora posteriores.

Controles sobre riesgos importantes

Si el auditor planea apoyarse en los controles sobre un riesgo que el auditor ha
determinado que es un riesgo importante, el auditor deber poner a prueba esos
controles en el periodo actual.

Evaluacin de la efectividad operativa de los controles

Cuando evala la efectividad operativa de los controles relevantes, el auditor
deber evaluar si las representaciones errneas que se han detectado con
procedimientos sustantivos indican que los controles no estn operando de
manera efectiva. Sin embargo, la ausencia de representaciones errneas
detectadas con procedimientos sustantivos, no da evidencia de auditora de que
son efectivos los controles relacionados con la aseveracin que se pone a prueba.
Si se detectan desviaciones de los controles en los que el auditor piensa
apoyarse, el auditor deber hacer investigaciones especficas para entender estos
asuntos y sus consecuencias potenciales, y deber determinar si:
a. Las pruebas de controles que se han desempeado proporcionan una base
apropiada para confiar en los controles;
b. Son necesarias pruebas adicionales de controles; o
c. Necesitan tratarse los riesgos potenciales de representacin errnea
usando procedimientos sustantivos.
La determinacin si los controles tal como fueron diseados, son eficaces, deben
probarse mediante las pruebas de auditora. Al hacer esta evaluacin, el auditor
debe considerar:
a. Caractersticas de las cuentas relacionadas (tamao, susceptibilidad a
errores o manipulacin).
b. Eficacia del control interno a nivel de empresa.
c. Conclusiones relacionadas con los procesos de tecnologa de informacin
(IT).
d. El diseo de control implementado por la empresa.
e. Riesgos del control.
f. Polticas y procedimientos en relacin con autorizacin, custodia de activos,
control confiable de los activos y segregacin de funciones.
Determinar si los controles logran un objetivo especfico (e.g., con respecto a los
objetivos de reporte de informacin financiera o cules errores de importancia no
ocurren) requiere con frecuencia de juicio considerable.

La pregunta clave es si los controles esenciales podran prevenir y/o detectar un

error material relacionado con cada una de las aseveraciones pertinentes en los
estados financieros.
Si los controles existentes no son eficaces para ese propsito (o no hay controles),
podra ser necesario establecer controles adicionales ya sean programados o
manuales. Sin embargo, antes de instalar procedimientos nuevos, la
empresa debera llevar a cabo un estudio de costo-beneficio.

Determinar Si los Controles Funcionan Tal Como se Disearon

La gerencia debe tener una seguridad razonable que los controles funcionan tal
como se disearon.
Un paso inicial en ese proceso es que el auditor ejecute el recorrido de una
transaccin para verificar que lo que l entiende sobre el funcionamiento deseado
del proceso y de sus controles es correcto.
Despus que este recorrido ha sido ejecutado, puede comenzar la prueba de la
eficacia de los controles.
Las pruebas para verificar si los controles funcionan tal como se disearon,
pueden hacerse mediante:
a. Indagacin a las personas responsables del control y
b. Examen de la evidencia (e.g. revisin de las conciliaciones bancarias) de
que el control fue ejecutado y fue eficaz.
c. Analizar una transaccin y repite la operacin (por ejemplo los clculos en
una factura usada como muestra).
d. En otros casos se puede obtener una seguridad del buen funcionamiento de un
control, observando a los empleados mientras llevan a cabo sus funciones, y
mediante entrevistas con el personal para determinar si entienden lo que deben
hacer si se identifica un error durante la ejecucin de sus funciones.
En los casos de transacciones procesadas por el sistema IT, adems de seguir el
flujo fsico de documentos y formas, el auditor tambin sigue el flujo de datos y de
informacin de archivos a travs de procesos automatizados en la aplicacin (a
nivel de sistema y no a nivel de lgica detallada).
Esto puede involucrar procedimientos tales como preguntas a personal
independiente pero con conocimiento de la materia, revisin de manuales
de usuario, observacin de un usuario cuando procesa transacciones en una

terminal, en el caso de una aplicacin on line, y revisin de documentacin tal

como reportes de salida (output).
Al concluir esta tarea, el auditor debe documentar si los controles manuales y
programados funcionan conforme a lo diseado e incluir cualesquier otros
comentarios pertinentes que puedan ayudar al auditor para evaluar procesos
claves.
En un ambiente de negocio dinmico, los controles requieren una modificacin
cada cierto tiempo. Ciertos sistemas pueden requerir mejoras en sus controles
para responder a nuevos productos en el mercado o debido a riesgos emergentes.
La automatizacin de algunos controles manuales puede mejorar la eficiencia y el
cumplimiento con las polticas de la gerencia. En otras reas la evaluacin puede
indicar controles redundantes u otros procedimientos que ya no son necesarios.
En tales casos la compaa puede mantener un nivel aceptable de controles y
mejorar sus resultados mediante los cambios apropiados.
En el caso de que se identifiquen reas en donde los controles son insuficientes
para producir una seguridad razonable de que el riesgo de errores disminuye a un
nivel aceptable, el equipo a cargo del proyecto debe recomendar mejoras. En
todas las recomendaciones hay que tener presente el concepto de seguridad
razonable.
Tanto los textos de auditora como el informe COSO enfatizan en que el control
interno no tiene que estar completamente libre de riesgos si la eliminacin total de
stos tuviese un costo superior al beneficio esperado. Por lo tanto, cuando el
revisor o el equipo a cargo del proyecto identifican un riesgo, es necesario tomar
una decisin de costo-beneficio respecto a si los costos de instalacin y
mantenimiento de un control que reduzca o elimine el riesgo exceden los
beneficios esperados. Generalmente, los controles solamente pueden reducir, no
eliminar por completo, un riesgo. Adems, se pueden usar los anlisis de costobeneficio para determinar si los controles existentes deben conservarse.
Todos los aspectos de control interno estn sujetos al juicio procedimientos
rutinarios (e.g., comparando facturas con reportes de recibo) Monitoreo peridico
(e.g., pruebas de controles, verificacin de porciones del sistema, actualizacin de
estudios anteriores sobre costo-beneficio). Esto incluye decisiones sobre el tipo de
monitoreo (e.g., por auditores internos) y la frecuencia del monitoreo (e.g.,
trimestral, anual, etc.)

Documentacin relacionada con:

Transacciones

Sistema de control

Actividades de monitoreo

Decisiones costo-beneficio

Polticas y prcticas para reportar:

Funcionamiento inadecuado de controles o controles circunvenidos

Cambios en las circunstancias que originan riesgos adicionales o nuevos, o

reducen o eliminan riesgos existentes

Polticas y prcticas para tomar oportunamente acciones correctivas

En muchos casos, o posiblemente en la mayora de ellos, un anlisis formal de

costo- beneficio sera difcil o costoso e innecesario. Por ejemplo, las personas
que efectan el anlisis, despus del segundo paso pueden reconocer que el
costo exceder los beneficios. Por otra parte, quienes llevan a cabo el anlisis
pueden llegar a la conclusin de que el costo de reducir el riesgo ser mnimo y
que puede ser prctico instalar el control.
Sin embargo, en aquellos casos donde tiene sentido un anlisis formal de costobeneficio, puede ser til tomar en consideracin lo siguiente:
1. Listar todas las alternativas razonables (incluyendo controles) que puedan
adoptarse para reducir o eliminar los riesgos y si stas no han sido
identificadas listar todos los riesgos que podran ser reducidos o
eliminados con cada alternativa.
2. Listar o identificar las partidas relevantes de costo a incurrir en cada
alternativa.
3. Determinar los costos y riesgos que son cuantificables.
4. Cuantificar esos costos y riesgos.
5. Estimar la probabilidad de que una prdida ocurrir por falta de corregir la
debilidad, y con qu frecuencia puede ocurrir ese evento.
6. Para estimar en cada alternativa la probabilidad (si existe) de que pueda
ocurrir una prdida si el control es instalado, y con cuanta frecuencia podra
ocurrir (si es el caso).
7. Desarrollar la mejor estimacin de los beneficios que podra haber al
eliminar o reducir el riesgo (e.g.,, multiplicando en cada alternativa el riesgo
cuantificado por la reduccin en la probabilidad de que una prdida pudiera
ocurrir y luego por la reduccin en la frecuencia de ocurrencias).

8. Decidir si los costos por corregir la debilidad podran exceder los beneficios,
o viceversa, con base en una comparacin de costos (cuantificables y no
cuantificables) con los beneficios (cuantificables y no cuantificables).

Monitoreo
Finalmente, como se mencion anteriormente, el control interno debera ser auto
monitoreable y autocorregible. Quiere decir que una empresa debe establecer
mecanismos para monitorear continuamente y mantener el sistema de
control interno y tomar la accin correctiva oportunamente, cuando sea necesario.
Generalmente, La responsabilidad para convertir el sistema de control interno en
auto-monitoreable y autocorregible no debe ser asignada exclusivamente a un
solo grupo. En un sentido amplio, el sistema de control interno es integral
y completo. Involucra a personal de toda la organizacin, incluyendo a muchas
personas que no se consideran con responsabilidades contables o de control.

Fuentes para documentar procesos

Las siguientes son las fuentes en donde el Auditor puede encontrar informacin
para documentar los procesos:

Organigramas que identifiquen los puestos y responsabilidades

Entrevistas con los dueos de los procesos

Manuales de procedimientos

Polticas relacionadas con el proceso

Observacin de las actividades del proceso

Inspeccin de informacin producida por el proceso

Informes de auditoras internas y/o externas (ayuda a que el Auditor

identifique debilidades y riesgos del proceso)

Revisin de las cartas de recomendaciones del Auditor del ao anterior

Evaluar el proceso y transaccin

Para el logro de nuestro anlisis de los procesos, consideraremos el desarrollo de
las siguientes actividades, as:
a. Entendimiento del proceso

b. Identificacin de los riesgos y controles del proceso

c. Seleccin de los controles relevantes a los que se les realizarn las
pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas de auditora relativas a la eficacia operativa de
controles.
a. Entendimiento del proceso
Es indispensable que el Auditor entienda y documente las actividades que inician,
procesan y registran las transacciones significativas. Ejemplo:
b. Identificacin de los riesgos y controles del proceso
Del buen entendimiento del proceso depender la identificacin de riesgos y los
controles que los mitigan. En la identificacin de riesgos es importante que
considere los factores que pueden incrementar los riesgos, tales como la calidad
del personal, experiencias pasadas en la obtencin de objetivos, complejidad de
una actividad, distribucin geogrfica de las actividades, entre otras.
Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los
riesgos de los procesos:
La vinculacin de personal, no competitivo frente a los retos de la organizacin,
as como la falta de efectividad de mtodos de entrenamiento y motivacin que
puedan influir en el nivel de conciencia del auto-control en la entidad operaciones
de la entidad.
Fallas en el procesamiento de los sistemas de informacin, que afectan las
operaciones de identidad.
Cambios en las responsabilidades asignadas de la administracin, que afecten la
ejecucin de algunos controles.

Identificacin de Controles
Los controles se clasifican en tres tipos:

Automtico: lo realiza de principio a fin un sistema de informacin.

Semiautomtico: es ejecutado de manera parcial por una persona, pero con

la colaboracin de un sistema de informacin.

Manual: lo ejerce en su totalidad una persona, sin la colaboracin de un

sistema de informacin.

Los controles pueden ser preventivos, detectivos o correctivos:

Control Preventivo: Su objetivo es anticiparse a los eventos no deseados,
actuando sobre las causas del riesgo, as como evitando la generacin de errores
o eventos fraudulentos.
Control Detectivo: Identifica todos aquellos eventos en el momento en que
ocurren, as como advierte sobre la presencia de riesgos.
Control Correctivo: Se orienta a la implementacin de las acciones correctivas una
vez se ha identificado un evento no deseado. Su implementacin se realiza
cuando los controles preventivos y detectivos no han funcionado, lo cual
representa que su implementacin sea ms costosa, pues actan cuando ya se
han materializado eventos de prdida para la organizacin.

2. Otras Consideraciones de Control

Las polticas y procedimientos en relacin con autorizacin, salvaguardia de
activos, responsabilidad sobre activos y segregacin de funciones son
establecidos por la gerencia para poder proveer una seguridad razonable de que:
a. Los activos son adquiridos, custodiados y usados, y los pasivos son
incurridos y liberados conforme a las decisiones de la gerencia.
b. La informacin financiera es mantenida correctamente en los libros y
registros con respecto a activos y pasivos resultantes de dichas decisiones.
Estas polticas y procedimientos son parte integral de un sistema de control interno
y se relacionan bsicamente con el control de la gerencia sobre la disposicin de
los activos y pasivos de la empresa y, nicamente de manera indirecta, con
los controles sobre el procesamiento de datos, los cuales se ocupan con la
contabilizacin correcta, puntual y completa de las transacciones. Sin embargo, la
ausencia de dichos controles podra incrementar el riesgo de errores de
importancia en la informacin financiera incluida en los libros y registros de la
empresa.
En vista de que las polticas y procedimientos frecuentemente toman la forma de
controles, la ausencia de polticas y procedimientos adecuados sobre cualquiera
de estas reas puede afectar la forma en que el equipo a cargo del proyecto
juzgue la eficacia de controles especficos sobre los procesos.

Autorizacin: Los niveles general y especfico de autorizacin y aprobacin y los

procedimientos diseados para asegurar que las transacciones y actividades se
ejecutan de conformidad con las intenciones de la gerencia.
Salvaguardia de los activos: Restricciones, diseadas para evitar la prdida de
activos, al acceso y uso de activos y registros, incluyendo el acceso fsico y
acceso indirecto mediante la preparacin y procesamiento de datos que autoricen
o faciliten el uso o disposicin de activos

Responsabilidad sobre activos:

Procedimientos para comparar los activos registrados con los activos en existencia
fsica y para tomar las acciones apropiadas cuando se identifican diferencias.
Tales procedimientos ayudan a establecer una seguridad razonable de que se
siguen los procedimientos relativos a autorizacin de uso y acceso a los activos.
Segregacin de funciones: La prevencin que una sola persona lleve a cabo
funciones que no son compatibles o que una aplicacin de Tecnologa de
Informacin permita acceso inapropiado o excesivo de los usuarios a las
funciones. Por ejemplo, si una persona est en posicin de cometer errores y a la
vez esconderlos dentro del curso normal de sus propias funciones.

3. Efectos de la Tecnologa de Informacin

En ms aplicaciones complejas automatizadas, los controles identificados por la
gerencia muchas veces pueden involucrar tecnologa de informacin (IT). Los
controles de IT incluyen controles de aplicacin y controles generales de IT. Estos
controles ayudan a proveer una seguridad razonable de que las transacciones son
vlidas y estn debidamente autorizadas y procesadas de manera completa y
precisa para dar confiabilidad.

Controles de Aplicacin
Los controles de aplicacin corresponden al procesamiento de transacciones
individuales y pueden consistir en procedimientos programados (e.g., programas
especficos para procesar o editar una transaccin) o controles no programados
(e.g., balanceo manual de informacin producida por IT). Existen frecuentemente
controles programados, que pueden ser procedimientos de control programados
(e.g., editar, comparar o conciliar) o procesos de IT (e.g., clculos, asientos on
line o interfaces automticas entre sistemas) en los cuales la gerencia
confa para asegurar la exactitud e integridad de la informacin generada por las
aplicaciones automatizadas. Por ejemplo, para asegurar que los precios en todas
las facturas a los clientes son correctos, la gerencia puede confiar en una
informacin automatizada para identificar transacciones de fijacin de precios que
no cumplen con los criterios establecidos en combinacin con un software de
control de acceso para restringir el acceso al archivo maestro de precios. En forma

similar, la gerencia puede otorgar confianza a un proceso de IT como la extensin

automatizada de las facturas de venta para asegurarse de que todas las ventas
han sido valuadas apropiadamente.
Se pueden encontrar controles programados a diferentes niveles de
procesamiento de datos. Los siguientes son algunos ejemplos:
Entradas (input): Existen controles para asegurar la validez e integridad de los
datos de entrada (input) (e.g., resumen de las transacciones generadas en las
sucursales). Puede haber varias validaciones para evitar la entrada (input) de
datos errneos.
Procesamiento: Tambin existen controles para proporcionar valuacin y
contabilizacin correctas. Los procesos pueden ejecutar clculos sencillos o
complejos (e.g., de precios de productos, de valuacin de opciones). La
administracin del procesamiento de instrucciones y parmetros tambin
constituye un asunto clave de control.
Salidas (output): Controles especiales pueden estar en funcionamiento cuando las
salidas de datos generan pagos (e.g., la validacin de la identificacin de
proveedores antes de procesar el pago).
Un control programado por si mismo no puede ser suficiente para asegurar que la
aplicacin previene la ocurrencia de errores o para detectar y corregir errores que
hayan ocurrido durante el procesamiento. Sin embargo, un control programado, en
combinacin con controles generales eficaces de IT puede proporcionar el nivel de
control deseado.

Controles Generales de IT
Se refieren a controles fundamentales sobre la adquisicin y mantenimiento de
software de aplicaciones y sistemas, seguridad de accesos y segregacin de
funciones que operan para asegurar la eficacia de los controles programados.
Tpicamente los controles generales de IT estn diseados para asegurar que:
Todos los cambios en las aplicaciones han sido autorizados, sujetos a prueba y
aprobados antes de su implantacin.
nicamente personas y aplicaciones autorizadas tienen acceso a los datos y
solamente para ejecutar funciones definidas especficamente (e.g., indagar,
ejecutar o actualizar).
Si, tomando en consideracin las preguntas sobre lo que pudo fallar, el equipo a
cargo del proyecto determina que la gerencia est otorgando confianza a controles
programados o que el control identificado depende de datos generados por IT,
entonces debe hacerse una segunda pregunta: Cmo sabe la gerencia si

los controles programados operan eficazmente? La respuesta puede ser que: (1)
los procedimientos del usuario verifican la exactitud del procesamiento (e.g.,
recalculando manualmente los clculos complejos, o conciliando los reportes de IT
con los totales de partidas manuales) y/o (2) la gerencia depende de los sistemas
de IT para ejecutar eficazmente el control o producir los datos. En el caso de la
respuesta (2), el efecto de los controles generales de IT (i.e., modificaciones a
programas y/o acceso a archivos de datos, incluyendo los controles generales
dentro de entornos integrados de aplicaciones tales como arreglos clave y
segregacin de funciones entre los usuarios que afectan la aplicacin completa)
debe tomarse en cuenta al hacer la evaluacin preliminar de la eficacia de todos
los controles que dependen del sistema de IT o de datos generados por IT.
Muchas empresas usan organizaciones de servicio externas para procesar
transacciones. En ese caso, adems de evaluar los controles dentro de la
empresa, la gerencia tiene que desarrollar un conocimiento de la importancia que
el procesamiento en la organizacin de servicio tiene para el sistema contable y
los controles de la empresa. Con base en el grado de importancia, la gerencia
puede necesitar hacer una evaluacin de los controles establecidos en la
organizacin de servicio. Con frecuencia el auditor de la organizacin de servicio
prepara un reporte sobre estos controles, el cual ser til para la evaluacin de los
mismos por parte de la gerencia.

Palabras Claves (Passwords)

Generalmente se utilizan para realizar la autenticacin del usuario y sirven para proteger los
datos y aplicaciones. Los controles implementados a travs de la utilizacin de palabras clave
resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar
varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y
probablemente las escriba o elija palabras fcilmente deducibles, con lo que se ve disminuida
la utilidad de esta tcnica.
Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima instancia cada
uno de ellos se romper por este eslabn: la eleccin de passwords dbiles.
Es mi deseo que despus de la lectura del presente quede la idea til de usar passwords seguras
ya que aqu radican entre el 90% y 99% de los problemas de seguridad planteados.

Sincronizacin de passwords: consiste en permitir que un usuario acceda con la misma

password a diferentes sistemas interrelacionados y, su actualizacin automtica en todos
ellos en caso de ser modificada. Podra pensarse que esta es una caracterstica negativa
para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se
podra tener acceso a los mltiples sistemas a los que tiene acceso dicho usuario. Sin
embargo, estudios hechos muestran que las personas normalmente suelen manejar una
sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir
diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un
riesgo an mayor. Para implementar la sincronizacin de passwords entre sistemas es
necesario que todos ellos tengan un alto nivel de seguridad.

Caducidad y control: este mecanismo controla cundo pueden y/o deben cambiar sus
passwords los usuarios. Se define el perodo mnimo que debe pasar para que los usuarios
puedan cambiar sus passwords, y un perodo mximo que puede transcurrir para que
stas caduquen.

Encriptacin
La informacin encriptada solamente puede ser desencriptada por quienes posean la clave
apropiada. La encriptacin puede proveer de una potente medida de control de acceso. Este
tema ser abordado con profundidad en el Captulo sobre Proteccin del presente.

Listas de Control de Accesos

Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el
permiso de acceso a un determinado recurso del sistema, as como la modalidad de acceso
permitido. Este tipo de listas varan considerablemente en su capacidad y flexibilidad.

Lmites sobre la Interfase de Usuario

Esto lmites, generalmente, son utilizados en conjunto con las listas de control de accesos y
restringen a los usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens,
vistas sobre la base de datos y lmites fsicos sobre la interfase de usuario. Por ejemplo los
cajeros automticos donde el usuario slo puede ejecutar ciertas funciones presionando teclas
especficas.

Etiquetas de Seguridad
Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden
utilizarse para varios propsitos como control de accesos, especificacin de medidas de
proteccin, etc. Estas etiquetas no son modificables.