Académique Documents
Professionnel Documents
Culture Documents
SAS 73 al 81
Diciembre de 1995
CONTENIDO
Introducción
Resumen
Elemento de una Estructura de Control Interno
Definición de Control Interno
Relación entre Objetivos y Componentes
Objetivo de la Información Financiera
Operaciones y Cumplimiento de Objetivos
Salvaguarda de Activos
Aplicación de Componentes a una Auditoría de Estados Financieros
Limitaciones de una Estructura de Control Interno de Una Entidad
Consideraciones a la Estructura de Control Interno en la Planeación de una Auditoría
Entendimiento de la Estructura de Control Interno
Ambiente de Control
Entendimiento del Ambiente de Control
Valoración del Riesgo
Actividades de Control
Entendimiento de los Procedimiento de Control
Información y Comunicación
Entendimiento del Sistema de Contabilidad
Vigilancia
Aplicación a Entidades Pequeñas y de Mediano Tamaño
Apéndice
Componentes del Control Interno
Ambiente de Control
Aplicación a Entidades Pequeñas y de Mediano Tamaño
Valoración del Riesgo
Aplicación a Entidades Pequeñas y de Mediano Tamaño
Actividades de Control
Aplicación a Entidades Pequeñas y de Mediano Tamaño
Información y Comunicación
Aplicación a Entidades Pequeñas y de Mediano Tamaño
Vigilancia
Aplicación a Entidades Pequeñas y de Mediano Tamaño
Apéndice A
Corrección a las "Responsabilidades y Funciones del Auditor Independiente".
Distinción entre Responsabilidades del Auditor y la Gerencia
Apéndice B
Corrección a los Informes sobre el Proceso de Operaciones para las Organizaciones de Servicio
Apéndice C
Corrección a la Comunicación del Control Interno de Asuntos Relativos Encontrados en una Auditoría
1. Esta corrección revisa la definición y descripción del control interno contenida en la SAS No. 55,
Evaluación de la estructura del control interno en una Auditoría de Estados Financieros, para reconocer la
definición y descripción contenida en el Control Interno - Marco Integrado, publicado por el Comité de la
Organización de Patrocinio de la Comisión de Marcas (informe de COSO). El Consejo de Normas de
Auditoría (ASB) creé que el informe de (COSO, está teniendo una rápida aceptación para el control interno
entre las organizaciones de control interno de los Estados Unidos y su aceptación y uso continuaría creciendo.
Por lo tanto, el ASB creé que es apropiado revisar la SAS No. 55, para reconocer la definición y descripción
del control interno contenida en el informe de COSO, para proporcionar adecuadamente y en tiempo, una guía
útil a los auditores. La nueva redacción está mostrada en letras negrillas. Además, conforma los cambios al
título, de los párrafos del 3 hasta el 5, y 23 hasta el 65 de la SAS No. 55, conforme al cambio de terminología,
como sigue (a) elementos por componentes, (b) control de procedimientos por control de actividades, (c)
estructura de Control interno por control interno, y (d) políticas y procedimientos por controles (diferente a
aquellas por control de actividades) así como los números de párrafos en la referencia cruzada. Los
Apéndices A, B, C, y D, de la SAS No. 55, serán eliminados conforme esta corrección. La corrección entra en
vigor para auditorías de estados financieros de períodos que empiezan en o después del 1o. Enero de 1997. La
aplicación anticipada de las previsiones de esta Declaración, es aconsejable.
INTRODUCCIÓN
1. Esta Declaración proporciona una guía sobre la consideración de los auditores independientes sobre
la estructura el control interno de una entidad, en una auditoría de estados financieros de acuerdo con normas
de auditoría generalmente aceptadas. 1 Lo define como control interno,1 describe los elementos objetivos y
componentes de una estructura de control interno, y explica como un auditor deberá considerar la estructura
de control interno en la planeación y desarrollo de una auditoría. En particular esta Declaración
proporciona una guía para implantar la segunda norma del campo del trabajo 2: "Un suficiente
entendimiento del control interno, tendrá al planear la auditoría y para determinar la naturaleza,
tiempo y extensión de las pruebas a ser desarrolladas".
RESUMEN
2. Una Estructura de control interno de una entidad, para los propósitos de esta Declaración, consiste de
tres elementos: el ambiente de control interno, el sistema contable y los procedimientos de control. En todas
las auditorías, el auditor deberá obtener un suficiente entendimiento de cada uno de los tres elementos del
control interno, suficiente para planear la auditoría en el desarrollo de los procedimientos para entender el
diseño de los controles importantes en una auditoría de estados financieros, políticas y procedimientos
importantes para la planeación de la auditoría y si han sido puestos en operación.
2. Reemplaza los párrafos del 6 hasta el 22, con los siguientes párrafos del 6 hasta el 40.
e. La vigilancia es un proceso que asegura la calidad del control interno sobre el tiempo.
importante para la organización en general, o para cualquiera de sus unidades de operación o funciones de
negocios. Estas relaciones están representadas en la gráfica que procede al siguiente punto 9.
9. Si bien el control interno de una entidad dirige los objetivos de la misma en las categorías referidas
en el párrafo 6, no todos los objetivos y controles relativos son importantes para una auditoría de estados
financieros de la entidad. Igualmente, sin embargo, el control interno es importante para la entidad en
conjunto o para cualquiera de sus unidades operacionales o funciones de negocios, en el entendimiento de que
la importancia del control interno, para cada una de las unidades operacionales y funciones de negocios de la
entidad, puede no ser necesario.
Objetivos:
Información Financiera.
Operaciones.
Cumplimiento.
Entidad:
Funciones.
Utilidades.
Componentes:
Ambiente de Control.
Valoración del riesgo.
Información y Comunicación.
Vigilancia.
7. 12. Una entidad generalmente tiene una estructura de control interno para políticas y
procedimientos, controles relativos a objetivos que no son importantes para una auditoría y por lo tanto no
necesitan ser considerados. Por ejemplo, controles referentes al políticas y procedimientos cumplimiento
con regulaciones para la salud y seguridad o referentes a la efectividad economía y eficiencia de cierto
proceso de decisión (tal como el precio apropiado para aplicar a sus productos o para efectuar gastos de
ciertas actividades de investigación y desarrollo o de propaganda), si bien es muy importante para la entidad
comúnmente no generalmente relativo a los estados financieros auditados.
SALVAGUARDA DE ACTIVOS
13. El control interno en la salvaguarda de los activos, está en contra de la adquisición no autorizada, uso
o disposición que podrá incluir controles relativos a información financiera y objetivos operacionales. Esta
relación está representada como sigue:
Salvaguarda de Activos:
Información Financiera.
Operaciones.
Cumplimiento.
Funciones.
Utilidades.
Ambiente de Control.
Valoración del riesgo.
Información y Comunicación.
Vigilancia.
En la obtención de un entendimiento de cada uno de los componentes del control interno, para planear la
auditoría, la consideración del auditor para los controles de salvaguarda, es generalmente limitada para
aquellos controles importantes, para la seguridad de la información financiera. Por ejemplo, el uso de un
sistema de caja de seguridad para las cobranzas de efectivo, o la contraseña para el acceso limitado de los
archivos de información de cuentas por cobrar, podría ser importante para una auditoría de estados
financieros. A la inversa, los controles para prevenir el uso excesivo de materiales en la producción
generalmente no es importante para los estados financieros auditados.
El tamaño de la entidad
La organización de la entidad y sus características de propiedad
La naturaleza de los negocios de la entidad
La diversidad y complejidad de las operaciones de la entidad
Los métodos de la entidad para transmitir, procesar, mantener y accesar la información
Requerimientos aplicables legales y regulatorios
de control efectivo, también puede ayudar a mitigar la probabilidad de reducir tales irregularidades.
Por ejemplo, una junta de directores efectiva, un comité de auditoría y una función de auditoría
interna, pueden reprimir a una conducta impropia de la gerencia. En forma alternativa, el ambiente de
control, puede reducir la efectividad de los otros componentes. Por ejemplo, cuando la presencia de los
incentivos de la gerencia, crea un ambiente que pudiera resultar en un importante malentendido de los
estados financieros, la efectividad de las actividades del control, puede ser reducida. Las efectividades
del control interno de una entidad, podrían ser afectadas en forma adversa, por tales factores, como un
cambio en los dueños o en el control, cambios en la gerencia u otros personales, o desarrollos en el
mercado o industria de la entidad.
entendimiento de la vigilancia necesaria para planear una auditoría de una entidad pequeña, no
compleja, puede ser igualmente limitado.
17. 21. Si una política o estructura del control interno un control ha sido implantado en operación y es
diferente de su operación efectiva. En la obtención del conocimiento acerca de, si los controles de las
políticas, procedimientos o registros han sido implantados en operación, el auditor determinará si la entidad
los está usando. La efectividad en la operación, de otro modo, está relacionada como el control de las
políticas, procedimientos o registros fue aplicado, la consistencia con la cual fue aplicado y por quien fue
aplicado. Por ejemplo, un sistema de informe presupuestario, puede proporcionar informes adecuados, pero
los informes pueden no ser analizados y llevados a cabo. Esta Declaración no requiere al auditor el obtener un
conocimiento acerca de la efectivad de la operación, como parte del entendimiento de la estructura de control
interno.
18. 22. El entendimiento del auditor de la estructura de control interno, puede algunas veces tener dudas
acerca de la auditabilidad de los estados financieros de la entidad. Referente a la integridad de la gerencia de
la entidad, podría ser tan seria que le cause al auditor el riesgo que de las malas representaciones de la
gerencia, en los estados financieros, podrían ser tan importantes, que la auditoría no se efectuara. Referente a
la naturaleza y extensión de las representaciones en los libros de la entidad, podría causar al auditor el
concluir que el control interno, es diferente, sin suficiente evidencia competente, disponible para soportar una
opinión sobre los estados financieros.
el control interno, puede ser necesario que dedique más atención a la estructura a los componentes elementos
para tener un entendimiento de ellos para el efectivo diseño de las pruebas sustantivas. Por ejemplo, cuando se
auditen los prestamos adecuados a una institución financiera que utilice informes producidos por la
computadora, el auditor puede estar disponible para diseñar pruebas sustantivas apropiadas, sin conocimiento
de los específicos procedimientos de control, referentes al pago y clasificación de los préstamos.
24. Los párrafos 25 al 40, proporcionan un panorama de los cinco componentes del control interno y el
entendimiento del auditor de tales componentes, para efectos de la auditoría de estados financieros. Un mayor
detalle de lo relacionado con estos componentes, está incluido en el Apéndice A.
AMBIENTE DE CONTROL
25. El ambiente de control establece la forma de una organización, influenciando la conciencia de
control de su gente. Es el fundamento de todos los otros componentes del control interno, proveyendo
disciplina y estructura. Los factores del ambiente de control, incluyen lo siguiente:
a. Valores de integridad y ética
b. Compromisos de competencia
c. Junta de directores o participación del comité de auditoría
d. Filosofía de la gerencia y estilo de operación
e. Estructura organizacional
f. Asignación de autoridad y responsabilidad
g. Políticas y prácticas de recursos humanos
29. Los riesgos importantes que afectan la información financiera, incluyen los eventos externos e
internos, y circunstancias que puedan ocurrir y afecten adversamente a la habilidad de la entidad, para
registrar, procesar, resumir e informar de la información financiera consistente con las aseveraciones de
la gerencia en los estados financieros. 5 Los riesgos podrán surgir o cambiar debido a circunstancias
tales como:
Cambios en el ambiente de operación
Nuevo personal
Sistemas de información nuevos o reorganizados
Crecimiento rápido
Nuevas tecnologías
Nuevas líneas, productos o actividades
Reestructuraciones de la Corporación
Operaciones foráneas
Pronunciamientos contables
30. El auditor deberá obtener un conocimiento suficiente del proceso de valoración de riesgos de la
entidad, para entender como la gerencia considera los riesgos importantes, para los objetivos de la
información financiera y decidir acerca de las acciones para dirigir estos riesgos. Este conocimiento
podría incluir el entendimiento de como la gerencia identifica los riesgos, estima la importancia de los
mismos, valora la probabilidad de su ocurrencia y relaciona los mismos con la información financiera.
31. La valoración de los riesgos de una entidad, difiere de la consideración del auditor del riesgo de
la auditoría, en una auditoría de estados financieros. El propósito de la valoración de los riesgos de una
entidad, es el de identificar, analizar y manejar los riesgos que afecten los objetivos de la misma. En una
auditoría de estados financieros, la valoración inherente del auditor y control del riesgo, para evaluar la
probabilidad de que importantes malentendidos, pudieran ocurrir en los estados financieros.
ACTIVIDADES DE CONTROL
32. Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las
actividades de la gerencia, se estén llevando a cabo. Ellas ayudan a asegurar que las acciones de la
gerencia, son tomadas para dirigir los riesgos, para la realización de los objetivos de la entidad. El
control de actividades tiene varios objetivos y estos son aplicados a varios niveles organizacionales y
funcionales. Generalmente, las actividades de control que pudieran ser importantes para una entidad,
pueden ser catalogadas como políticas y procedimientos que corresponden a lo siguiente:
Desarrollo de revisiones
Procesamiento de información
Controles físicos
Segregación de deberes
INFORMACIÓN Y COMUNICACIÓN
34. El sistema de información importante para los objetivos de la información financiera, los
cuales incluyen el sistema contable, consiste en los métodos y registros establecidos para contabilizar,
procesar, sumarizar e informar de las operaciones de la entidad (así como de los eventos y condiciones)
para mantener la contabilidad, para los relativos activos, pasivos y capital. La cualidad del sistema
generador de información, afecta a la habilidad de la gerencia para tomar decisiones apropiadas, en el
control de las actividades y para preparar informes financieros confiables.
35. La comunicación incluye proporcionar un entendimiento de los papeles individuales y
responsabilidades correspondientes al control interno sobre la información financiera.
VIGILANCIA
37. Una responsabilidad importante de la gerencia, es establecer y mantener el control interno. La
gerencia vigila los controles para considerar si están operando como se estableció y que están
modificados en forma apropiada, para los cambios en las condiciones.
38. La vigilancia es un proceso que valora la calidad del control interno, desarrollado sobre el
tiempo. Esto involucra la valoración del diseño y operación de los controles, sobre unas bases de tiempo
y tomando las necesarias acciones correctivas. Este proceso se completa a través de las continuas
actividades, evaluaciones por separado o por varias combinaciones de ambas. En muchas entidades, los
auditores internos o el personal, desarrollando similares funciones, contribuye a la vigilancia de las
actividades de una entidad. La vigilancia de las actividades puede incluir el uso de información de
comunicaciones de partes externas, tales como reclamaciones de clientes y comentarios en general, que
pueden indicar problemas o áreas importantes con necesidad de mejoría.
39. El auditor deberá tener suficiente conocimiento de los más importantes tipos de actividades
que la entidad usa, para vigilar el control interno sobre la información financiera, incluyendo cómo
estas actividades son usadas para iniciar acciones correctivas. Cuando se obtenga un entendimiento de
las funciones de auditoría interna, el auditor deberá seguir la guía incluida en los párrafos del 4 a 8 de
la SAS No. 65, Consideraciones de los Auditores Sobre la Función de la Auditoría Interna con Respecto a
una Auditoría de Estados Financieros (AICPA, Normas Profesionales, vol. 1, AU sec. 322).
APÉNDICE
AMBIENTE DE CONTROL
2. El ambiente de control establece el modelo de una organización, influenciada por la conciencia
de control de su gente. Es el fundamento de los otros componentes del control interno, proporcionando
disciplina y estructura.
3. El ambiente de control abarca los siguientes factores.
a. Valores de integridad y ética. La eficiencia de los controles no puede estar arriba de los valores
de integridad y ética de la gente que los crea, administra y vigila. Los valores de integridad y
ética son elementos esenciales del ambiente de control, afectando el diseño, administración y
vigilancia de los otros componentes. El comportamiento de integridad y ética son el producto de
la ética de la entidad, como una norma, como ellas son comunicadas y como son reforzadas en la
práctica. Ellas incluyen acciones de la gerencia, para remover o reducir incentivos y tentaciones
que podrían comprometer al personal en actos deshonestos, ilegales o no éticos. Ellas también
incluyen la comunicación de los valores de la entidad y comportamiento estándar del personal a
través de declaraciones de políticas, códigos de conducta y del ejemplo.
b. Compromisos con la competencia. La competencia es el conocimiento y herramientas necesarias
para acomplejar tareas que definen los trabajos individuales. Los compromisos de la
competencia incluyen consideraciones de la gerencia de niveles de competencia para trabajos
particulares y como éstos se transforman en herramientas necesarias y conocimiento.
c. Consejo de directores o participación del comité de auditoría. La conciencia de control de una
entidad, está influenciada en forma importante, por el consejo de directores de la misma o el
financieros. Una vez que los riesgos son identificados, la gerencia considera su importancia, la
probabilidad de su ocurrencia, y cómo deberán ser manejados. La gerencia puede iniciar planes,
programas o acciones para identificar los riesgos específicos o para decidir aceptar un riesgo, por el
costo u otras consideraciones. Los riesgos pueden surgir o cambiar, debido a las circunstancias tales
como las siguientes.
ACTIVIDADES DE CONTROL
8. Las actividades de control son las políticas y procedimientos que ayudan a asegurarse que las
acciones necesarias, serán tomadas para establecer los riesgos y lograr los objetivos de la entidad. El
control de actividades tiene varios objetivos y están aplicados niveles organizacionales y funcionales.
9. Generalmente las actividades de control que pueden ser importantes para una auditoría,
pueden ser categorizadas como políticas y procedimientos que pertenecen a lo siguiente.
INFORMACIÓN Y COMUNICACIÓN
11. El sistema de información importante para los objetivos de información financiera, que incluye
el sistema de contabilidad, consiste en métodos y registros establecidos para la contabilización, proceso,
resumen e informe de las operaciones de la entidad (así como de eventos y condiciones) y para
mantener contablemente los relativos activos, pasivos e inversión de los accionistas. La calidad del
sistema generado de información, afecta la habilidad de la gerencia para la toma de decisiones
apropiadas en el manejo y control de las actividades de la entidad y para preparar informes financieros
confiables.
12. Un sistema de información abarca métodos y registros que:
Identifica y registra todas las operaciones ocurridas.
Describe, sobre bases de tiempo, las operaciones con suficiente detalle, para
permitir una apropiada clasificación de las mismas, para efectos de información
financiera.
Mide el valor de las operaciones de una manera que permita el registro en los
estados financieros en su propia moneda.
Determina el tiempo o período en el cual las operaciones ocurrieron, para el
registro de las mismas en la fecha apropiada.
Presenta correctamente las operaciones en los estados financieros y las
revelaciones relativas.
13. La comunicación incluye el proporcionar un entendimiento de los papeles individuales y
responsabilidades correspondientes al control interno sobre la información financiera. Incluye la
extensión para cualquier persona que entienda como sus actividades en el sistema de información
financiera, se relacionan con el trabajo de otros y el significado de las excepciones de la información y
alto nivel, dentro de la entidad. Unos canales abiertos de comunicación, ayudan a asegurarse de que las
excepciones fueron informadas y corregidas.
14. La comunicación toma tales formas como los manuales de política interna, contabilidad, de
información financiera y de memoranda. La comunicación puede hacerse oralmente y a través de
acciones de la gerencia.
VIGILANCIA
16. La vigilancia es un proceso que valora la calidad del desarrollo del control interno sobre el
tiempo. La valoración involucra el diseño y operación de los controles sobre bases de tiempo y tomando
las necesarias acciones correctivas. Este proceso esta acompañado de actividades continuas de
vigilancia, evaluaciones separadas o una combinación de las dos.
17. Actividades continuas de vigilancia están incluidas dentro de las actividades recurrentes
normales de una entidad e incluyen actividades regulares de gerencia y supervisión. Gerentes de ventas,
compras y producción, a niveles divisionales y de corporación, están de acuerdo con las operaciones y
pueden cuestionar informes que difieran en forma importante del conocimiento de las operaciones.
18. En muchas entidades, los auditores internos o el personal que lleva a cabo funciones similares,
contribuye a la vigilancia de las actividades de la entidad a través de evaluaciones por separado. Ellos
proporcionan regularmente información acerca del funcionamiento del control interno, enfocando una
considerable atención sobre la evaluación del diseño y operación del control interno. Ellos comunican
información de los puntos fuertes, debilidades y recomendaciones para mejorar el control interno.
19. Las actividades de vigilancia pueden incluir el uso de información acerca de comunicaciones de
partes externas. Los clientes implícitamente proporcionan información de su facturación mediante el
pago de sus facturas o aceptando sus cargos. Además, las regulaciones pueden comunicar a la entidad
de asuntos que afectan el funcionamiento del control interno, por ejemplo, comunicaciones referentes a
revisiones de las agencias regulatorias bancarias. Igualmente, pueden considerar las comunicaciones de
los auditores internos, relativas al control interno, en el desarrollo de las actividades de vigilancia.
APÉNDICE A
Correcciones a las "Responsabilidades y Funciones del Auditor
Independiente"
(CORRECCIONES A LA DECLARACIÓN SOBRE NORMAS DE AUDITORÍA NO.
1, AICPA NORMAS PROFESIONALES, VOL. 1, AU SEC. 110.02.)
1. Esta corrección refleja los cambios contenidos en la misma, Evaluación del Control Interno en una
Auditoría de Estados Financieros: Una Corrección a la SAS No. 55. Véanse páginas del 1 y al 20 de esta
Declaración. El nuevo lenguaje está mostrado en letras negrillas. La corrección entra en vigor para auditorías
de estados financieros por períodos que empiezan en o después del 1o. de Enero de 1997. La aplicación
anticipada de las recomendaciones de esta Declaración, es aconsejable.
APÉNDICE B
Corrección a los Informes sobre el Proceso de Operaciones para las
Organizaciones de Servicio
42. Después de obtener una descripción de los controles importantes políticas y procedimientos, el
auditor de servicios deberá determinar si la descripción proporciona suficiente información a los auditores
usuarios, para obtener un entendimiento de los aquellos aspectos de los controles de la organización de
servicio políticas y procedimientos que pueden ser importantes para un usuario de la estructura del control
interno de la organización. La descripción deberá contener planteamientos de las características de los
controles de la organización de servicio políticas y procedimientos que pudieran tener un efecto sobre un
usuario de la estructura del control interno de la organización. Tales características son importantes cuando
directamente afectan el servicio proporcionado al usuario de la organización. Ellas pueden incluir controles
dentro del ambiente de control, valoración del riesgo, control de actividades, información y
comunicación, y vigilancia de los componentes del control interno. El ambiente de control puede incluir
prácticas de contratación y áreas importantes de autoridad y responsabilidad. La valoración del riesgo
puede incluir la identificación de los riesgos asociados con el procesamiento específico de las
operaciones. El control de actividades puede incluir políticas y procedimientos sobre la modificación de
los programas de la computadora y son generalmente diseñados para alcanzar objetivos de control
específicos. Los objetivos de control específicos de la organización de servicio, deberán ser establecidos
en la descripción de la misma, de sus políticas y procedimientos. Información y comunicación pueden
incluir los caminos por los cuales el usuario de las operaciones, son iniciadas y procesadas. La vigilancia
puede incluir el involucramiento de los auditores internos. Ellas pueden incluir características
generalmente consideradas- a ser parte del ambiente de control, actividades específicas que pueden
representar al usuario del sistema de contabilidad de la organización o porción del mismo, específicas
políticas y procedimientos diseñados para el control de tales funciones. Los elementos del ambiente de control
pueden incluir prácticas de contratación y de involucramiento de los auditores internos. Los elementos del
sistema de contabilidad, deberán incluir los caminos en los cuales las operaciones del usuario son iniciadas y
procesadas. Las políticas y procedimientos de la estructura de control empleados por la organización de
servicio, tales como políticas procedimientos sobre la modificación de los programas de la computadora,
generalmente son diseñados para alcanzar objetivos de control específicos. Los objetivos de control
específicos de la organización de servicio, deberán ser establecidos en la descripción de las políticas y
procedimientos de la misma.
APÉNDICE C
Corrección a la Comunicación del Control Interno de Asuntos Relativos
Encontrados en una Auditoría
Nota: Las Declaraciones Sobre Normas de Auditoría, son emitidas por el Consejo de Normas de Auditoría, el
cuerpo técnico superior del Instituto, designado para emitir pronunciamientos sobre asuntos de Auditoría. La
Regla 202 del Código de Ética Profesional del Instituto, requiere el cumplimiento de estas normas.