Gua de Auditora

Fase III: Evaluacin de los

Procesos Clave
2015



Tabla de contenido

Conceptos Fundamentales ................................................................................................................. 3

Metodologa para la Evaluacin de los Procesos ............................................................................... 11

www.auditool.org 2


1. Conceptos Fundamentales
NIA 330. Respuestas del auditor a los Riesgos Evaluados

Objetivo

De acuerdo con la NIA 330 El objetivo del auditor es obtener suficiente evidencia apropiada de
auditora respecto a los riesgos evaluados de representacin errnea de importancia relativa,
mediante la planeacin e implementacin de respuestas apropiadas a dichos riesgos
Definiciones

La NIA 330 define los siguientes trminos:

a) Procedimiento Sustantivo: Un procedimiento de auditora diseado para detectar

representaciones errneas de importancia relativa a nivel de aseveracin. Los
procedimientos sustantivos comprenden:
Pruebas de detalles (de clases de transacciones, saldos de cuentas, y revelaciones); y
Procedimientos analticos sustantivos

b) Pruebas de controles. Un procedimiento de auditora diseado para evaluar la efectividad

operativa de los controles para prevenir, o detectar y corregir, representaciones errneas
de importancia relativa a nivel de aseveracin.
Durante el proceso de una auditora de estados financieros, el auditor debe evaluar y disear
los procedimientos que den respuesta a los riesgos significativos identificados de errores en
su auditora, que afecten a los estados financieros auditados en su conjunto, o bien, a una
aseveracin en especfico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y
evaluado que, en caso de ocurrir, afectara a los estados financieros o a una aseveracin, de
manera significativa. Por lo tanto, en opinin del auditor, se requiere de una respuesta
adecuada en su auditora, mediante la aplicacin de procedimientos especficos.
En el trabajo realizado en la planeacin de auditora, el auditor identific:

Transacciones significativas y los procesos que las inician, procesan y registran

Riesgos de negocio que tienen implicaciones significativas en los estados financieros
Riesgos de fraude

Para cada uno de estos tres puntos, auditor deber entender los procesos que los
administran, identificar riesgos a nivel de procesos relacionados con la informacin
financiera, identificar los controles relevantes que mitigan los riesgos a nivel de procesos y
evaluar el diseo, la implementacin y efectividad de cada control seleccionado.

www.auditool.org 3


Respuestas a los riesgos identificados

El auditor puede identificar riesgos ya sea a niveles globales o de aseveracin; los primeros,
estn relacionados con los estados financieros, y los segundos, a errores de aseveracin o a una
cuenta en especfico.
Respuestas a riesgos identificados a nivel global

Cuando se identifica y determina la existencia de riesgos a nivel global, el auditor debe disear
procedimientos de auditora que respondan a ellos; asimismo, debe documentar el resultado del
diseo y las conclusiones de los procedimientos ejecutados. Algunos ejemplos de respuestas a
los riesgos globales son los siguientes:

Enfatizar al equipo de auditora la necesidad de mantener el escepticismo profesional, as

como el incorporar elementos de impredecibilidad en la seleccin de los procedimientos de
auditora que se vayan a realizar.
Asignar personal con ms experiencia o con habilidades especiales en la industria, usar
expertos, dar mayor supervisin, etctera.
Si se determinan debilidades en el entorno de control, el auditor puede responder de la
siguiente manera: Realizando cambios generales en la naturaleza, oportunidad y alcance
de los procedimientos de auditora; por ejemplo, se pueden efectuar procedimientos al final
del ejercicio.
y no en una fecha intermedia, buscando evidencia de auditora ms amplia, mediante
procedimientos sustantivos, incrementando el nmero de localidades que se han de incluir
en el alcance de la auditora, etctera.
Un entorno de control efectivo, permite al auditor tener ms confianza en el control interno
y en la confiabilidad de la evidencia de auditora generada dentro de la entidad y, con ello,
realizar algunos procedimientos de auditora en una fecha intermedia ms que al final del
ejercicio.

www.auditool.org 4


Respuestas a riesgos identificados a nivel de aseveracin

A nivel de aseveracin, para cada clase de transaccin, saldo de la cuenta y revelacin, en el

que se haya determinado un riesgo significativo, el auditor debe disear y realizar
procedimientos de auditora que respondan a los riesgos, considerando lo siguiente:
El riesgo inherente: La posibilidad de que ocurra un error por las caractersticas
particulares de la cuenta (clase y volumen de transacciones, complejidad y/o grado de
subjetividad para la determinacin del saldo o revelacin, etctera).
El riesgo de control: La posibilidad de que un control no funcione o no responda al riesgo
identificado. Si la evaluacin del riesgo considera que el auditor confiar y obtendr
evidencia de auditora para determinar si los controles establecidos para las transacciones
operan eficazmente.
Considerar que a mayor riesgo de error se debe obtener evidencia de auditora ms
persuasiva.
Disear y llevar a cabo procedimientos que respondan a los riesgos de auditora
identificados, y proporcionen un vnculo claro entre los procedimientos adicionales de
auditora del auditor y la evaluacin del riesgo.

Naturaleza

La naturaleza de los procedimientos de auditora se refiere a su propsito (pruebas de controles o

procedimientos sustantivos) y su tipo (inspeccin, observacin, investigacin, confirmacin o
procedimientos analticos).

Los riesgos evaluados por el auditor, pueden afectar tanto a los tipos de procedimientos de
auditora que se realizarn como a la combinacin de stos. Por ejemplo, cuando un riesgo
evaluado es alto, el auditor puede confirmar la integridad de los trminos de un contrato con un
tercero, adems de inspeccionar el documento. Asimismo, ciertos procedimientos de auditora
pueden ser ms apropiados para algunas aseveraciones que otros. Es decir, en relacin con los
ingresos, las pruebas de los controles pueden responder ms al riesgo evaluado de errores de la
aseveracin de integridad, mientras que los procedimientos sustantivos pueden ser los que ms
respondan al riesgo evaluado de errores de la aseveracin de ocurrencia.

Al obtener una evidencia de auditora ms convincente, por medio de una evaluacin de riesgo
ms alta, el auditor podra obtener la que sea ms relevante o fiable (por ejemplo, poner ms
nfasis en obtener evidencia de algn tercero o en insistir en la bsqueda de corroboracin de
varias fuentes independientes).

www.auditool.org 5


Oportunidad

La oportunidad se refiere al momento en el cual se llevan a cabo los procedimientos de auditora.

El auditor puede realizar pruebas de control o procedimientos sustantivos en una fecha

intermedia o al final del ejercicio. Mientras ms alto es el riesgo de errores de importancia
relativa, ms probable es que el auditor pueda decidir qu es ms eficaz, realizar procedimientos
sustantivos ms cerca de, o al final del ejercicio, en lugar de una fecha anticipada, o llevar a cabo
procedimientos de auditora sin anunciar o en momentos no esperados (por ejemplo, llevar a
cabo procedimientos de auditora en localidades seleccionadas sin previo aviso). Esto es de
especial relevancia al considerar la respuesta a los riesgos de fraude.

Por otra parte, llevar a cabo procedimientos de auditora antes del final del ejercicio puede ayudar
al auditor a identificar asuntos importantes en una etapa inicial de la auditora y,
consecuentemente, resolverlos con ayuda de la administracin o desarrollar un enfoque eficaz de
auditora para atender a tales asuntos.

Existen otros factores relevantes que tienen influencia sobre la consideracin del auditor de
cundo aplicar los procedimientos de auditora, por ejemplo, si existe un riesgo de ingresos
sobrevaluados para cumplir con presupuestos de ingresos mediante la emisin de facturas o
contratos ficticios, el auditor debe efectuar la revisin correspondiente al cierre del ejercicio y
confirmar la autenticidad de los documentos.

Alcance

El alcance de un procedimiento de auditora se refiere al tamao de la muestra que quedar

cubierta con ese procedimiento o la cantidad de observaciones de una actividad de control.

El alcance de los procedimientos de auditora que respondan al riesgo evaluado, deben ser
proporcionales al nivel de riesgo; esto es, si aumenta el riesgo de errores de importancia relativa,
el alcance (cantidad de muestras o controles sujetos a los procedimientos diseados) debe
aumentar.

Enfoque de auditora

La evaluacin del auditor a los riesgos identificados al nivel de aseveracin, proporciona una base
para considerar el enfoque de auditora eficaz para disear y llevar a cabo procedimientos que
respondan a los riesgos identificados. Por ejemplo, el auditor puede determinar que los
procedimientos slo estarn basados en la aplicacin de pruebas de la efectividad de los
controles, o que slo es adecuado llevar a cabo procedimientos sustantivos, o un enfoque
combinado que usa pruebas de la eficacia de los controles y procedimientos sustantivos.

www.auditool.org 6


Enfoque de pruebas de controles

Cuando el auditor tenga la expectativa de que los controles operan eficazmente y los
procedimientos sustantivos por s solos no ofrecen evidencia de auditora completa, el auditor
deber disear y realizar pruebas de controles.

Los controles a probar deben ser los que estn adecuadamente diseados para prevenir,
detectar y corregir errores de importancia relativa en una aseveracin; no obstante lo anterior,
existe la posibilidad de que algunos procedimientos no estn diseados como pruebas de
control; adems, es posible que algunos de stos puedan proporcionar evidencia de auditora
sobre la eficacia de los mismos. Por ejemplo, indagar sobre el uso de presupuestos por la
administracin; la observacin comparativa de los gastos mensuales presupuestados y reales de
la administracin, y la inspeccin de informes pertinentes a la investigacin de variaciones entre
las cantidades presupuestadas y las reales.

En ciertos casos, podra resultar imposible para el auditor disear procedimientos sustantivos
eficaces que por s mismos proporcionen suficiente evidencia de auditora adecuada al nivel de
aseveracin. Esto puede ocurrir cuando una entidad procesa su informacin, usando Tecnologas
de Informacin (TI) y mantiene documentacin slo en ese medio. En este caso, es
imprescindible que el auditor efectu pruebas al medio ambiente tecnolgico, incluyendo pruebas
de cambios a programas y pruebas de acceso.

Naturaleza, alcance y oportunidad de las pruebas de controles

Para el diseo y ejecucin de las pruebas de control, el auditor debe indagar respecto a:

Cmo se aplicaron los controles.

Frecuencia con que se aplican.
Quin o por cul medio (manual o sistematizado) fueron aplicados.

La indagacin en s no es suficiente para obtener suficiente evidencia de la eficacia operativa de

los controles; por lo mismo, se debe combinar con otros procedimientos, por ejemplo, con la
observacin, inspeccin o re-ejecucin.

Cuando el auditor planea tener evidencia ms contundente sobre la eficacia operativa de los
controles, el auditor debe aumentar sus alcances en las pruebas de control, para lo cual debe
considerar la frecuencia en que se ejecuta el control, el perodo en que estuvo vigente, la evidencia
de que el control fue ejecutado, etctera.

En el caso de los controles automatizados, debido a la continuidad inherente en que stos son
ejecutados, no es necesario aumentar el nmero de pruebas a menos de que existan cambios en
los programas (tablas, archivos u otros datos permanentes). Asimismo, se debe considerar que, en
caso de que existan cambios a los programas, stos no se realizan sin estar sujetos a los controles
de cambios adecuados, y que se use la versin autorizada del programa. Del mismo modo, otros
controles generales relevantes son eficaces (control de accesos).

www.auditool.org 7


La prueba de la eficacia operativa de los controles durante el perodo intermedio debe considerar
la obtencin de evidencia de auditora de cambios efectuados en los controles realizados en fecha
posterior al perodo intermedio; adems, evaluar la importancia de los riesgos evaluados, el grado
de evidencia que se obtuvo en el perodo intermedio, la duracin del perodo restante y el grado
en que el auditor pretende reducir an ms los procedimientos sustantivos, con base en la
dependencia de los controles.

Decisin de dejar de probar controles o, en su caso, rotar los controles a ser probados, con
base en los resultados de las pruebas de auditoras anteriores

Es posible usar la evidencia de auditora de las pruebas de controles efectuadas en auditoras

anteriores, para decidir la estrategia a seguir en la auditora actual, para lo cual se debe considerar
lo siguiente:

La eficacia de otros elementos del control interno, incluyendo el ambiente de control, el

monitoreo de los controles por la entidad y el proceso de evaluacin del riesgo por la
entidad.
Los riesgos que se originan de las caractersticas del control, incluyendo si los controles
son manuales o automatizados. En el caso de estos ltimos, la eficacia de los controles
generales relacionados con la TI.
La eficacia del control y su aplicacin por la entidad, incluyendo la naturaleza y alcance de
las desviaciones en la aplicacin del control observadas en auditoras anteriores o la falta de
un cambio en un control en particular, y si ha habido cambios de personal que afecten, de
manera significativa, la aplicacin del control.
Investigar si hubo cambios importantes en los controles relevantes; en su caso, el auditor
deber probar los controles en la auditora actual. Los cambios pueden afectar la relevancia
de la evidencia de auditora obtenida en auditoras previas, de modo tal que pueda no
haber ya una base para una confiabilidad continua.

Si no ha habido tales cambios, el auditor deber probar los controles al menos una vez cada tres
auditoras, y deber probar algunos controles en cada auditora para evitar probar todos los
controles sobre los cuales el auditor planea confiar en un slo perodo de auditora, sin probar los
controles en los siguientes dos perodos. Para que el auditor pueda rotar los controles probados en
perodos anteriores, debe cumplirse con lo siguiente:

Que no hayan sido modificados desde que se probaron la ltima vez.

Que no sean controles que mitiguen un riesgo importante relacionado con un asunto de
juicio profesional.

www.auditool.org 8


Existen situaciones que no permiten utilizar la evidencia de las pruebas de control efectuadas en
perodos anteriores, estas situaciones son:

Un entorno de control dbil.

Monitoreo dbil de los controles.
Un elemento manual importante en los controles relevantes.
Cambios de personal que afectan de modo importante la aplicacin del control.
Controles generales de TI dbiles.

Cuando el auditor planea confiar en los controles sobre riesgos que el auditor ha determinado
como importantes, el auditor probar dichos controles en el perodo actual.

Evaluacin de los controles

La evaluacin de los controles consta de tres pasos:

1. Evaluacin de la implementacin.
2. Evaluacin del diseo de los controles relevantes.
3. Evaluacin de la efectividad de los controles relevantes.

1. Evaluacin de la implementacin

La evaluacin de la implementacin hace referencia verificar que los controles que fueron
identificados durante el entendimiento del proceso, realmente existen. Para esta primera
evaluacin normalmente se toma una transaccin y se verifica desde su inicio hasta su registro
en los estados financieros.

2. Evaluacin del diseo de los controles relevantes

Para los controles seleccionados, se debe obtener evidencia valida y suficiente que le permita al
auditor evaluar si stos estn debidamente diseados para prevenir, detectar y corregir un error
e irregularidad significativos en los estados financieros.

Los procedimientos que efectuamos en esta evaluacin se basan en la revisin de documentos

(Manuales de procedimientos, polticas, organigramas, documentos que entran y salen del
proceso entre otros), indagaciones con los dueos y clientes del proceso y la experiencia de
aos anteriores.

Durante la prueba del diseo, consideramos:

La forma cmo est estructurado el control

La forma cmo se desempea
Los riesgos que ayuda a mitigar
La frecuencia con la que es ejecutado
La competencia de las personas que lo ejecutan

www.auditool.org 9


En el caso que el auditor determine que el control no est adecuadamente diseado deber
emitir la respectiva recomendacin y proceder a identificar otro control para verificar su diseo.

Evaluando la eficacia operativa de controles

La evaluacin de la eficacia es la verificacin que realiza el auditor al funcionamiento del control.

Ejemplo: Un control de conciliacin puede estar bien diseado, pero no es ejecutado de forma
oportuna, por lo tanto no es eficaz.

Cuando se detectan desviaciones de los controles sobre los cuales el auditor piensa confiar,
deber hacer indagaciones especficas para entender las causas y sus posibles consecuencias,
para determinar si:

Las pruebas de controles realizadas ofrecen una base adecuada para confiar en los
controles.
Se requieren pruebas de controles adicionales.
Los posibles riesgos de errores de importancia relativa deben ser tratados mediante
procedimientos sustantivos.

Las desviaciones en los controles prescritos pueden ser causadas por factores como cambios en
el personal clave, fluctuaciones estacionales importantes en el volumen de transacciones y error
humano. La tasa de desviacin detectada, especialmente en comparacin con la tasa esperada,
podra indicar que no se puede confiar en el control para reducir el riesgo a nivel de aseveracin
al nivel evaluado por el auditor.

Procedimientos sustantivos

El auditor deber disear y realizar procedimientos sustantivos para cada clase de transaccin
importante, saldo de la cuenta, independientemente de los riesgos evaluados, para lo que
puede considerar la aplicacin, slo, de procedimientos sustantivos analticos, o pruebas de
detalles o una combinacin de procedimientos sustantivos analticos y de pruebas de detalles.

Si se decide por efectuar procedimientos sustantivos en una fecha intermedia, el auditor cubrir
el perodo restante realizando procedimientos sustantivos combinados con pruebas de
controles para cubrir el perodo en cuestin; o si el auditor determina que es suficiente,
nicamente aplicar procedimientos sustantivos adicionales, que ofrezcan una base razonable
para ampliar las conclusiones de auditora de la fecha intermedia al final del ejercicio.

Si se detectan errores inesperados cuando el auditor evala los riesgos de error de importancia
relativa a una fecha intermedia, ste deber determinar si la evaluacin de riesgo relativa y la
naturaleza, oportunidad o alcance planeado de los procedimientos sustantivos, que cubren el
perodo restante, requieren de alguna modificacin que podra incluir la ampliacin o
modificacin de los procedimientos efectuados.

www.auditool.org 10


Documentacin

El auditor debe asegurarse de contar, como mnimo, con la siguiente documentacin:

Respuestas globales para manejar los riesgos identificados de errores de importancia

relativa al nivel de estado financiero y la naturaleza, oportunidad y alcance de los
procedimientos adicionales de auditora.
La vinculacin de los procedimientos aplicados con los riesgos evaluados a nivel de
aseveracin.
El resultado de los procedimientos de auditora aplicados e incluir las conclusiones cuando
stos no sean claros.

Si el auditor planea usar la evidencia de auditora sobre la eficacia operativa de los controles
obtenida en auditoras anteriores, deber documentar las conclusiones sobre la confiabilidad en
los mismos, los cuales fueron probados en una auditora anterior.

www.auditool.org 11


2. Metodologa para la evaluacin de los procesos

En el trabajo realizado en la planeacin de auditora, identificamos:

Transacciones significativas y los procesos que las inician, procesan y registran.

Riesgos de negocio que tienen implicaciones significativas en los estados financieros.
Riesgos de fraude.

Para cada uno de estos tres puntos, el auditor debe entrar a evaluar los procesos que los
administran.

2.1 Evaluacin de Procesos que Administran Transacciones Significativas

Iniciaremos con los procesos que inician, procesan y registran las transacciones significativas.
Recordemos, una transaccin significativa se refiere a los movimientos contables reflejados en los
estados financieros que surgen por intercambio de valor entre la entidad y un ente externo.
Ejemplo, ventas.

Para un mejor entendimiento las clasificamos y agrupamos por procesos:

Proceso que administra las Cuentas afectadas en los

transacciones significativas estados financieros

Proceso de ventas, cuentas por cobrar y
recaudos
Proceso de compras, cuentas por pagar y
pagos
Proceso de administracin de inventarios
y propiedad, planta y equipo
Proceso de nmina
Ventas, Cuentas por Cobrar, Impuestos
y Disponible
Inventarios, Gastos, Cuentas por
pagar, impuestos y Disponible
Inventarios, costo de ventas, propiedad, planta
y equipo y depreciacin.
Gastos de personal, nmina por
pagar, impuestos y disponible

Las siguientes son las fuentes en donde el Auditor puede encontrar informacin para
documentar los procesos:

- Organigramas que identifiquen los puestos y responsabilidades

- Entrevistas con los dueos de los procesos
- Manuales de procedimientos
- Polticas relacionadas con el proceso
- Observacin de las actividades del proceso

www.auditool.org 12


- Inspeccin de informacin producida por el proceso

- Informes de auditoras internas y/o externas (ayuda a que el Auditor identifique debilidades
y riesgos del proceso)
- Revisin de las cartas de recomendaciones del Auditor del ao anterior

Para el logro de nuestro anlisis de los procesos, consideraremos el desarrollo de las siguientes
actividades, as:

a. Entendimiento del proceso

b. Identificacin de los riesgos y controles del proceso
c. Seleccin de los controles relevantes a los que se les realizarn las pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas de auditora relativas a la eficacia operativa de controles

a. Entendimiento del proceso

Es indispensable que el Auditor entienda y documente las actividades que inician, procesan y
registran las transacciones significativas. Ejemplo:

Transaccin significativa:

Proceso de ventas, cuentas por cobrar y recaudos

Actividades (Cada actividad se debe describir de forma resumida)

- Recibo de la orden del cliente

- Extraccin de los artculos del inventario
- Se enva la mercanca al cliente y se genera el informe de ventas
- Se factura al cliente
- Se registran los asientos en el mayor general

b. Identificacin de los riesgos y controles del proceso

Del buen entendimiento del proceso depender la identificacin de riesgos y los controles que
los mitigan. En la identificacin de riesgos es importante que considere los factores que pueden
incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la
obtencin de objetivos, complejidad de una actividad, distribucin geogrfica de las actividades,
entre otras.

www.auditool.org 13


Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de

los procesos:

La vinculacin de personal, no competitivo frente a los retos de la organizacin, as como

la falta de efectividad de mtodos de entrenamiento y motivacin que puedan influir en el
nivel de conciencia del auto-control en la entidad
Fallas en el procesamiento de los sistemas de informacin, que afectan las operaciones de
la entidad
Cambios en las responsabilidades asignadas de la administracin, que afecten la
ejecucin de algunos controles
Indebida aplicacin de las polticas de la organizacin.

Ejemplos de riesgos de procesos:

Transaccin significativa:

Proceso de ventas, cuentas por cobrar y recaudos

Riesgos

Que se efecten ventas a clientes ficticios

Que se registren ventas y no se enve la mercanca
Que se enve la mercanca y no se registre el ingreso.
Que las transacciones se registren en un monto incorrecto.
Que las transacciones no se clasifiquen correctamente.

Cuando hemos identificado los riesgos del proceso, procedemos a identificar los controles que los
mitigan. La forma ms fcil de identificar si se trata de un control es verificar si lo que se est
evaluando corresponde a revisin, verificacin, aseguramiento a travs de sistemas,
reconciliacin, contraseas, reportes de error, mapeo de cuentas, etc.

Identificacin de Controles

Los controles se clasifican en tres tipos:

Automtico: lo realiza de principio a fin un sistema de informacin.

Semiautomtico: es ejecutado de manera parcial por una persona, pero con la colaboracin de
un sistema de informacin.

Manual: lo ejerce en su totalidad una persona, sin la colaboracin de un sistema de informacin.

www.auditool.org 14


Los controles pueden ser preventivos, detectivos o correctivos:

Control Preventivo: Su objetivo es anticiparse a los eventos no deseados, actuando sobre las
causas del riesgo, as como evitando la generacin de errores o eventos fraudulentos.

Control Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, as como
advierte sobre la presencia de riesgos.

Control Correctivo: Se orienta a la implementacin de las acciones correctivas una vez se ha

identificado un evento no deseado. Su implementacin se realiza cuando los controles
preventivos y detectivos no han funcionado, lo cual representa que su implementacin sea ms
costosa, pues actan cuando ya se han materializado eventos de prdida para la organizacin.

Los siguientes son los tipos de controles ms comunes:

Categora de Tipo de
Descripcin Ejemplos
Control Control

La aprobacin de
Aprobacin manual
transacciones ejecutadas de
designada
Autorizacin Manual acuerdo con las polticas y los
Lmites de Autorizacin
procedimientos generales o
Documentacin Soporte
especficos de la gerencia.
Revisar todas las
ediciones hechas por
Revisar reportes del sistema
Reportes de empleados a archivos
para monitorear errores o
Excepcin / maestros.
Manual entradas y seguimiento a su
Edicin Revisar ventas que
resolucin.
excedan el lmite de
crdito de los clientes.

Anlisis de Presupuesto
Indicadores Anlisis de interrelaciones, vs real
Clave de tendencias, y revisin de Reportes Gerenciales
Desempeo Manual desempeo de indicadores Mtricas y anlisis de
tendencias

Involucramiento de la Revisin por un segundo

gerencia en revisin de empleado o gerente
Revisin
transacciones y supervisin Inclusin en la
Gerencial Manual
de staff. informacin a Junta

Comparacin de diferentes Reconciliacin de

grupos de datos, destacar Bancos
Reconciliacin
diferencias y su Reconciliacin estado
Manual
correspondiente seguimiento. de proveedores.

www.auditool.org 15


Categora de Tipo de
Descripcin Ejemplos
Control Control
El Procesador de
Separacin de funciones y facturas de gastos es
responsabilidades para diferente al de pagos.
Segregacin de
Manual autorizacin de transacciones, El aprobador de trminos
Funciones
registro de transacciones, y de Crdito es diferente
mantenimiento de custodia. del aprobador de nuevos
clientes.
Grupo de Switches para
asegurar los datos contra Grupos de Autorizacin
Configuracin y procesamiento Facturas asignadas al
Mapeo de Automtico inadecuado.Switches libro mayor solo si esta
Cuentas. relacionados direccionamiento tiene un nmero de
de transacciones al libro proyecto asignado
mayor.

Transferencia de datos de una Auxiliares a Libro Mayor

Interface Automtico
base de datos a otra. Nmina a Libro Mayor

Derechos de acceso
otorgados a un usuario El acceso al sistema de
Acceso al
Automtico individual dentro de un nmina est limitado a
Sistema
ambiente de procesamiento empleados de nmina.
de IT.

c. Seleccin de los controles relevantes a los que se les realizarn las pruebas

Para el desarrollo de las pruebas a los controles se debern identificar los controles relevantes,
esta seleccin se deber hacer teniendo en cuenta que el conjunto de los controles
seleccionados permiten prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del
proceso, como de la auditora aplicada. Teniendo en cuenta que las compaas normalmente
cuentan con un gran nmero de controles, nosotros procedemos a seleccionar los controles que
consideramos tienen las siguientes caractersticas:

Los ms eficientes de probar.

Los que mitigan ms nmero de riesgos.
Los que cubren un mayor nmero de aseveraciones.
Si se trata de un cliente recurrente se debe tener en cuenta la evaluacin de los aos
anteriores.

www.auditool.org 16


d. Evaluacin de los controles

Verificacin de la implementacin:

Antes de iniciar la evaluacin de los controles seleccionados, debemos verificar que el proceso
funciona de acuerdo con lo documentado por nosotros, teniendo presente de verificar que
TODOS los controles con los que cuenta el proceso realmente existen, para esto tomamos una
transaccin y efectuamos el recorrido desde su inicio hasta su registro en los estados
financieros, verificando la existencia de los controles. En este paso nicamente inspeccionamos
la existencia de los controles.

Ejemplos:

Para el proceso de ventas, cuentas por cobrar y recaudos, tomamos un pedido de un cliente y
verificamos todo el proceso desde el recibo de la orden del cliente hasta su registro en el libro
mayor y posteriormente desde el recibo del pago de la factura hasta su registro en el libro
mayor, observando la existencia de los controles de autorizacin, revisin, conciliacin,
segregacin de funciones, etc.

Documentacin: El auditor debe dejar evidencia de la existencia de cada control, documentando

en que soportes verific la existencia del control. Ejemplo. Se verific la autorizacin del pedido
por parte del departamento de cartera en la orden de compra Nmero 2214 del 20 de agosto de
2009. Finalizado esto procedemos a realizar las actualizaciones respectivas. Ej. Identificamos
que ciertos controles no se estn ejecutando entonces los eliminamos de nuestra
documentacin y emitimos una carta de recomendaciones si lo consideramos necesario.

Los controles identificados en el punto c (Seleccin de los controles relevantes a los que se les
realizarn las pruebas), los probamos as:

Verificacin del diseo:

Documentamos y evaluamos los siguientes aspectos con el propsito de concluir sobre el

adecuado diseo:

Cmo se ejecuta
Con qu frecuencia
La competencia, es decir la experiencia de la persona que lo desempea (si es un
control manual)
Enfoque del control (prevencin, deteccin o correccin)
Si su aplicacin requiere un componente de sistemas
Riesgos que contribuye a mitigar

www.auditool.org 17


Esta documentacin se hace para verificar si el esquema del control establecido dentro del
proceso es realmente efectivo para prevenir, detectar o corregir un error relevante en el desarrollo
del proceso.

Los resultados de estas pruebas de diseo se utilizan como una evaluacin preliminar del riesgo
de que ocurran errores e irregularidades significativas, con relacin a los objetivos de la auditora
relacionados.

Dentro de las pruebas que se utilizan para evaluar dentro de la auditora el diseo de los controles
tenemos:

Inspeccin u observacin de documentos y registros.

Indagacin con el personal adecuado de la entidad.
La experiencia previa con la entidad.

Si se concluye por medio de la prueba de diseo, que el control aplicado no es el apropiado, se

debe tomar otro control para someter a la prueba, as como recomendar la evaluacin del diseo
del control que no paso las pruebas.

Verificacin de la eficacia operativa:

La probamos mediante una muestra determinada con base en la frecuencia del control y la
calificacin del riesgo inherente e igualmente concluimos sobre la misma.

El objetivo de aplicar la prueba de operacin de los controles es comprobar cmo se aplicaron los
controles, el grado de consistencia con que se aplicaron durante el perodo y quienes lo
aplicaron.

Para demostrar la eficacia operativa se considera:

Las tcnicas que se usan para obtener evidencia de auditora.

La naturaleza de las pruebas.
El alcance de las pruebas.
El momento oportuno de las pruebas, es decir evidencia de que se efectu regular y
debidamente durante todo el ao.

Se utilizan diferentes tcnicas, que permiten verificar en el desarrollo de la auditora, la eficacia

de la operacin de los controles que son:

Observacin: Se observa el desempeo del control, un ejemplo es observa el conteo del

inventario fsico

Indagacin: Se les solicita a varias personas informadas y competentes, que nos

proporcione informacin acerca del funcionamiento del control.

www.auditool.org 18


Inspeccin: Se analizan los registros o documentos que soporten el funcionamiento

del control. Por ejemplo se inspecciona la conciliacin bancaria, con respecto a
evidencia de un desempeo eficaz.

Repeticin: Se puede repetir el funcionamiento de un control para determinar que se

desempea correctamente. Por ejemplo se puede repetir el anlisis del archivo de crdito.

Evaluacin de Conocimientos: El auditor combina tcnicas de indagacin, inspeccin

y repeticin que le permitan comprobar los conocimientos de los individuos sobre un
tema o su competencia para el desempeo de un control.

Indagacin Corroborativa: El auditor corrobora el desempeo de un control por medio de

confirmacin con otros miembros de la organizacin, es decir se confirma la validez y
consistencia de la aplicacin del control, como una prueba de eficacia operativa.

Indagacin del Sistema: El auditor prueba que los controles automatizados dentro de una
aplicacin de Tecnologa de la Informacin, funcionan segn lo esperado. Dentro de estos
ejemplos tenemos:

Que el sistema logre identificar correctamente una excepcin predefinida, en

donde la excepcin puede estar relacionada con los principios de integridad y/o
exactitud de un insumo y procesamiento y producto de la aplicacin.
Que la configuracin de acceso dentro de la aplicacin se encuentre estructurada
de tal forma que distribuya las obligaciones a los usuarios, as como la autorizacin
de transacciones, segn el perfil asignado a cada usuario.

En todos los casos, es importante mencionar que las pruebas de diseo, y eficacia operativa
deben ser realizadas en orden. Por ejemplo, si se concluye que un control no est
adecuadamente diseado no se deben hacer las pruebas de eficacia y si est bien diseado
pero la implementacin no es adecuada, no se debe hacer la prueba de eficacia operativa.

Las debilidades detectadas en la evaluacin del diseo y la efectividad de los controles las
debemos informar a la gerencia.

2.2. Evaluacin de Procesos que Administran Riesgos de Negocio y/o Fraude

Los riesgos de negocio son aquellos riesgos que pueden llegar a impedir que la compaa
cumpla con sus objetivos y se generan en tres ambientes:

a) Ambiente externo de la organizacin

b) Ambiente de la industria de la organizacin
c) Ambiente interno de la organizacin

www.auditool.org 19


Los riesgos identificados se califican segn su probabilidad de ocurrencia y su impacto en los

estados financieros y se deben seleccionar los riesgos significativos
Para cada uno de los riesgos significativos se debe identificar la respuesta que tiene la
administracin de la compaa para mitigarlos. Las acciones que puede tomar la compaa para
mitigar los riesgos pueden ser:

a) Aceptar el riesgo (asume el impacto)

b) Intentar reducir el riesgo (implementa controles)
c) Transferir el riesgo (utiliza seguros)
d) Evitar el riesgo (se retira del ambiente que le genera el riesgo)

Existen dos objetivos a los que el auditor debe apuntar cuando se audita un proceso que
administra un riesgo de negocio:

a) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que la compaa
cuenta con procedimientos adecuados para mitigar los riesgos de negocio.
b) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que los estados
financieros reflejan el impacto de los riesgos de negocio. (*)
(*) Las implicaciones de los riesgos de negocio en los estados financieros estn
relacionadas con estimaciones en los estados financieros, revelaciones y/o una
calificacin de la opinin del Auditor.

Para el logro de estos objetivos, el auditor debe seguir los siguientes pasos:
a. Entendimiento del proceso
b. Identificacin de los riesgos y controles del proceso
c. Seleccin de los controles relevantes a los que se les realizarn las pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas de auditora relativas a la eficacia operativa de controles

a) Entendimiento del proceso

Se debe comprender la forma como la gerencia de la compaa administra este riesgo. Los
esfuerzos se deben enfocar principalmente a entender las actividades que permiten mitigar el
riesgo.

www.auditool.org 20


b) Identificacin de los riesgos y controles del proceso

Una forma sencilla para identificar riesgos de procesos es preguntar: Qu puede impedir que el
proceso logre sus objetivos?
Pueden existir casos en donde la administracin de la Compaa no cuente con controles que
mitiguen los riesgos o los controles identificados no sean efectivos, casos en los cuales se debe
emitir nuestra carta de recomendaciones y/o calificar la opinin del Auditor si no se llegare a tener
evidencia suficiente y apropiada de auditora mediante otros procedimientos. Adicionalmente, se
debe identificar las implicaciones del riesgo en los estados financieros. Ejemplo, provisiones de
cuentas por cobrar.

c) Seleccin de los controles relevantes a los que se les realizarn las pruebas

Para el desarrollo de las pruebas a los controles se debern identificar los controles relevantes.
Esta seleccin se deber hacer teniendo en cuenta que el conjunto de los controles
seleccionados permitan prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del
proceso. Teniendo en cuenta que las compaas normalmente cuentan con un gran nmero de
controles, se seleccionan los controles que tengan las siguientes caractersticas:

Los ms eficientes de probar

Los que mitigan ms nmero de riesgos.
Si se trata de un cliente recurrente se debe tener en cuenta la evaluacin de los aos
anteriores.

d) Evaluacin de los controles

Se debe verificar el diseo y la efectividad del control de acuerdo con lo comentado en

transacciones significativas.

Ejemplo de cmo auditar los procesos que administran riesgos de negocio

Los ejemplos aqu enunciados no pretenden abarcar todas las situaciones, simplemente
queremos que sirvan de gua para facilitar el trabajo del auditor.

Caso ficticio:

Objeto de la Compaa Auditada: Compaa dedicada a la venta de puertas y ventanas.

Clientes: El 40% de las ventas son a crdito y se realizan a proyectos de construccin y el 60%
se realizan de contado y al detal.

Situacin actual del mercado: En el anlisis de las fuerzas externas observamos que la economa
entr en recesin lo que afectar el sector de la construccin.

www.auditool.org 21


Riesgo de negocio

Ventas a clientes insolventes:

Debido a la situacin de recesin por la que atraviesa la economa el sector de la construccin

se ver afectado al no poder vender sus proyectos en los tiempos estimados, lo que puede
afectar a la compaa teniendo en cuenta que el 40% de sus ventas son a crdito y realizadas a
proyectos de construccin.

Proceso que administra el riesgo de negocio

Crditos y Cartera

Objetivos del proceso dirigidos a mitigar el riesgo de negocio

Garantizar que los clientes a los que se los concede crdito sean solventes
Garantizar que la provisin de cartera se ajuste a la realidad.

Actividades dirigidas a mitigar el riesgo de negocio

1. Estudio y aceptacin del crdito de acuerdo con los procedimientos de la compaa

2. Monitoreo del comportamiento de la cartera
3. Monitoreo de los lmites de crdito
4. Monitoreo de la situacin financiera del cliente
5. Anlisis de la cartera mensual para determinar la provisin de cartera.

Riesgos y Controles del proceso

Control Control Control

RIESGOS DEL PROCESO
1 2 3
1) Que el estudio y aceptacin del crdito no se realice de
acuerdo con el manual de procedimientos. X
2) Que no se haga un monitoreo permanente al
comportamiento de la cartera. X
3) Que se sobrepasen los lmites de crdito sin autorizacin. X
4) Que no se haga un monitoreo permanente a la situacin
financiera del cliente X
5) Que la provisin de cartera est subestimada. X

www.auditool.org 22


e) Diseo de las pruebas de auditora relativas a la efectividad de los controles:

Para el caso de que el control mitigue riesgos de fraude o un riesgo inherente alto,
diseamos pruebas con el propsito de identificar si existe o no la evidencia de ejecucin
del mismo.

La periodicidad sugerida ser:

Riesgo Inherente Riesgo inherente

bajo moderado o alto
Frecuencia del control
(Veces a Probar) (Veces a Probar)
Anual Incluyendo la de fin de ao 1 1
Semestral Incluyendo la de fin de ao 1 2
Bimensual Incluyendo la de fin de ao 3 4
Mensual Incluyendo la de fin de ao 3 5
Quincenal 5 8
Semanal 6 10
Diario 25 30
Ms que diario 30 40

4 Evaluacin del Diseo y la Efectividad de los controles:

1) Segregacin de funciones
2) Autorizacin
3) Conciliacin
4) Indicadores Clave de Desempeo
5) Acceso al Sistema, Configuracin y Mapeo de Cuentas

1) Segregacin de Funciones:

La segregacin de funciones es una de las principales actividades de control interno destinada

a prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en
las organizaciones. Su funcin es la de asegurar que un individuo no pueda llevar a cabo
todas las fases de una operacin/transaccin, desde su autorizacin, pasando por la custodia
de activos y el mantenimiento de los registros maestros necesarios. Se dara una adecuada
segregacin de funciones cuando para realizar una accin fraudulenta o irregularidad se
requiera de la confabulacin de dos o ms empleados.

www.auditool.org 23


Evaluacin del diseo del Control Evaluacin de la efectividad del Control

Para determinar un correcto diseo de la Para determinar la efectividad de la

segregacin de funciones debemos segregacin de funciones debemos evaluar
responder a las siguientes preguntas: lo siguiente:

1. Los manuales de procedimientos 1). Inspeccionar el manual de polticas y

definen una adecuada segregacin de
funciones en el proceso que estamos
auditando?
2. Estn definidos los controles de
acceso al sistema que limitan la capacidad
de los individuos de desempear
funciones de autorizacin, custodia de
activos y mantenimiento de los registros
al mismo tiempo?
procedimientos del proceso analizado y
observar que lo relacionado con
segregacin de funciones est claramente
documentado.
2) Mediante la revisin de la estructura del
proceso y la verificacin de los accesos en el
sistema, verificar la adecuada segregacin
de funciones.

3. En qu se basa la asignacin de
responsabilidades?

4. Existen procedimientos de revisin

de la gerencia para garantizar que la
segregacin de funciones sea adecuada?.

2. Control de Autorizacin:

Identificamos dos tipos de autorizaciones:

1) Aprobacin de transacciones ejecutadas de acuerdo con las polticas y los

procedimientos de la Compaa.
2) Autorizacin para el acceso a activos y registros de acuerdo con las polticas y
procedimientos de la Compaa.

www.auditool.org 24


Evaluacin del diseo del Control Evaluacin de la efectividad del Control

Las preguntas / acciones que se han de Para determinar la efectividad del control de
considerar: autorizacin debemos evaluar los siguientes
aspectos teniendo en cuenta la frecuencia del
1. Cmo se efecta la autorizacin control:
(manualmente o en el sistema)?
2. Que evidencia se deja de la 1. Revisar la documentacin que
autorizacin (firma, actas, etc.) evidencie la autorizacin
3. Qu busca prevenir la autorizacin?
2. Si la autorizacin es generada por el
4. Quin realiza la autorizacin?
sistema de informacin, efectuar una revisin
5. Qu parmetros definen si la
del sistema para determinar si el acceso al
autorizacin es apropiada (ejemplo,
sistema prohbe el procesamiento no autorizado
manual de procedimientos)?
6. La autorizacin se realizar de acuerdo
3. Si ocurre la revisin de la gerencia,
con el manual de procedimientos?
considerar usar sus pruebas para obtener
7. Qu niveles de autorizacin existen?
evidencia relacionada con la eficacia del control
8. Se autorizan todas las transacciones?
9. Cmo se anula la autorizacin?
10. Cmo se detecta la anulacin de una
autorizacin?
11. Se deja evidencia de las anulaciones?
12. Existen procedimientos de revisin de la
gerencia que garanticen que la autorizacin
ocurra segn los planes?

3. Control de Conciliacin

El control de conciliacin se refiere a la comparacin de dos grupos de datos cuya fuente es

diferente.

Ejemplos:

Conciliacin bancaria: Se compara el auxiliar de bancos (fuente contabilidad) con el

extracto bancario (fuente banco)
Conciliacin cartera: Se compara el auxiliar de cartera (fuente contabilidad) con el reporte del
sistema de cartera (fuente cartera)

www.auditool.org 25


La conciliacin es un control de doble propsito porque por un lado ayuda a detectar errores o
irregularidades en los estados financieros y adicionalmente le ayuda al auditor a probar la
razonabilidad del saldo de contabilidad.

De la comparacin de los dos grupos de datos pueden surgir diferencias (partidas conciliatorias). El
auditor debe analizar el efecto de estas partidas en los estados financieros y si es necesario
proponer ajustes y/o emitir recomendaciones.

Que nos ayuda a detectar el control de conciliacin:

La conciliacin ayuda a asegurar la integridad, existencia y exactitud de la cuenta probada.

Factores que indican que el control no funciona correctamente:

a) Partidas conciliatorias con antigedad superior a 60 das.

b) Diferencias no identificadas.
c) Partidas conciliatorias falsas (Nos puede indicar que la conciliacin no se ejecuta
correctamente. Normalmente, las partidas falsas se usan para CUADRAR las
conciliaciones).
d) La persona que elabora la conciliacin puede realizar ajustes para modificar alguna de
las dos fuentes.
e) Partidas conciliatorias significativas con efecto en los estados financieros Ejemplo:
Devoluciones y descuentos por contabilizar. Efecto: menor valor del ingreso y la cuenta
por cobrar.
f) La conciliacin no es revisada por un nivel superior de la persona que la prepara.

www.auditool.org 26

Evaluacin del control de conciliacin
A continuacin, mostraremos los parmetros a tener en cuenta en la evaluacin del control de
conciliacin:
Evaluacin del diseo del Control
Para determinar un correcto diseo de
este control debemos responder a las
siguientes preguntas:
1) En qu consiste el proceso
de conciliacin?. Qu fuentes los saldos de las fuentes?
utiliza?
2) Se prepara manualmente o la prepara
el sistema, o una combinacin de ambos?
3) El cliente cmo se asegura que toda la
informacin de base (ej., cuentas bancarias,
cuentas por cobrar, etc.) se ha capturado en
el proceso de conciliacin?
4) Qu busca prevenir o detectar
este control
5) Con qu frecuencia se prepara el
proceso de conciliacin?
6) Quin realiza el proceso de
conciliacin?. La persona que realiza la
conciliacin posee la competencia y el
conocimiento?
7) La persona que prepara la
conciliacin puede realizar ajustes a las
fuentes? (Ver control de segregacin de
funciones)
8) La conciliacin es revisada por un
nivel superior de la persona que la prepara?
La persona que realiza la revisin posee la
9) Qu tipo de evidencia se deja proceso
de conciliacin?
www.auditool.org
Evaluacin de la efectividad del Control
Inspeccionar la conciliacin y determine la
eficacia operativa del control, teniendo en
cuenta los siguientes aspectos bsicos:
1) Los saldos de la conciliacin cruzan con
2) Los soportes de las fuentes son
confiables? Ejemplo: extractos bancarios
originales, auxiliares bajados directamente del
sistema etc.
3) La fecha de preparacin de la
conciliacin es oportuna?
4) Las partidas conciliatorias existen? (esto
lo verificamos con el soporte de la partida
conciliatoria ej: Consignacin en extracto no en
contabilidad revisamos que la partida
conciliatoria efectivamente aparece en el
extracto y no est en el auxiliar del banco).
5) Se observan partidas conciliatorias con
efecto significativo en los estados financieros?
Es necesario ajustarlas al cierre?
6) Se observan partidas conciliatorias con
antigedad superior a 60 das?
7) Qu gestin est realizando la compaa
para ajustar las partidas conciliatorias
significativas y antiguas?
8) Las conciliaciones estn revisadas por un
nivel superior de la persona que las prepara
27


Cuntas conciliaciones debemos probar?

Para el diseo, con una conciliacin es suficiente. Para la efectividad debemos tener en cuenta
la tabla sugerida. Normalmente las conciliaciones son mensuales. Si es una conciliacin
mensual la debemos probar entre 3 y 5 veces al ao dependiendo la calificacin del riesgo
inherente. Para este caso sugerimos probar al precierre y al cierre, el resto, en los meses que
el auditor considere; cuando son varias las conciliaciones Ej. Cinco bancos, debemos probar
el 100% de las conciliaciones las veces sugeridas (entre 3 y 5).

4. Indicador clave de desempeo

Indicadores clave del desempeo se refiere a las medidas cuantitativas, financieras y no

financieras, que la administracin de la Compaa genera para realizar seguimiento al progreso
de sus objetivos.

Como auditores podemos generar valor agregado ayudando a nuestros clientes a encontrar
mejores formas de medicin, monitoreo y control de sus negocios.

Buenas prcticas

En la actualidad existen dos herramientas que son utilizadas por grandes compaas para definir
sus indicadores claves de desempeo, el Balanced Scorecard y Benchmark.

Balanced Scorecard

Es la representacin en una estructura coherente, de la estrategia del negocio a travs de

objetivos claramente encadenados entre s, medidos con los indicadores de desempeo, sujetos
al logro de unos compromisos determinados y respaldados por un conjunto de iniciativas o
proyectos. Los componentes para un buen balanced scorecard son los siguientes:

a. Una cadena de relaciones de causa-efecto que expresen el conjunto de hiptesis de la

estrategia a travs de objetivos estratgicos. Ejemplo de la relacin causa - efecto
(Empleados calificados y motivados (causa), procesos eficientes y efectivos (efecto).
b. Un balance de indicadores de resultados e indicadores gua: Indicadores que reflejen las
cosas que se necesitan "hacer bien" para cumplir con el objetivo.
c. Mediciones que generen e impulsen el cambio: La medicin motiva determinados
comportamientos, asociados tanto al logro como a la comunicacin de los resultados
organizacionales.
d. Alineacin de iniciativas o proyectos con las estrategias a travs de los objetivos
estratgicos: Cada proyecto que exista debe relacionarse directamente con los logros
esperados para los diversos objetivos expresados por sus indicadores.

www.auditool.org 28


Perspectivas del Balanced Scorecard:

1) Perspectiva de innovacin y aprendizaje

En esta perspectiva se analiza la capacidad que tiene la compaa de proporcionar los

recursos y la infraestructura apropiada para permitirle a otros procesos lograr sus objetivos.
Clasifica los activos relativos a la innovacin y aprendizaje en:

Capacidad y competencia de las personas (gestin de los empleados). Incluye indicadores

de satisfaccin de los empleados, productividad, necesidad de formacin...

Sistemas de informacin (sistemas que proveen informacin til para el trabajo).

Indicadores: bases de datos estratgicos, software propio, etc...

Cultura-clima-motivacin para el aprendizaje y la accin. Indicadores: iniciativa de las

personas y equipos, la capacidad de trabajar en equipo, el alineamiento con la visin de la
empresa.

Perspectiva interna de negocios

Analiza la adecuacin de los procesos internos de la empresa de cara a la obtencin de la

satisfaccin del cliente y conseguir altos niveles de rendimiento financiero. Para alcanzar este
objetivo se propone un anlisis de los procesos internos desde una perspectiva de negocio y
una predeterminacin de los procesos clave a travs de la cadena de valor. Se distinguen
cuatro tipos de procesos:

Procesos de Operaciones. Desarrollados a travs de los anlisis de calidad y reingeniera.

Los indicadores son los relativos a costos, calidad, tiempos o flexibilidad de los procesos.
Procesos de Gestin de Clientes. Indicadores: Seleccin de clientes, captacin de clientes,
retencin y crecimiento de clientes.
Procesos de Innovacin. Ejemplo de indicadores: % de productos nuevos, % productos
patentados, introduccin de nuevos productos en relacin a la competencia...
Procesos relacionados con el Medio Ambiente y la Comunidad. Indicadores tpicos de
Gestin Ambiental, Seguridad e Higiene y Responsabilidad Social Corporativa.

2) Perspectiva del cliente

Para lograr el desempeo financiero que una empresa desea, es fundamental que posea
clientes leales y satisfechos, con ese objetivo en esta perspectiva se miden las relaciones con
los clientes y las expectativas que los mismos tienen sobre los negocios. Adems, en esta
perspectiva se toman en cuenta los principales elementos que generan valor para los clientes,
para poder as centrarse en los procesos que para ellos son ms importantes y que ms los
satisfacen.

www.auditool.org 29


Algunos Indicadores para medir la perspectiva del cliente son:

Participacin del mercado

Adquisicin de clientes
Retencin de clientes
Satisfaccin del cliente

3) Perspectiva Financiera

La perspectiva financiera tiene como objetivo el responder a las expectativas de los accionistas.
Esta perspectiva est particularmente centrada en la creacin de valor para el accionista, con
altos ndices de rendimiento y garanta de crecimiento y mantenimiento del negocio. Esto
requerir definir objetivos e indicadores que permitan responder a las expectativas del accionista
en cuanto a los parmetros financieros de: Rentabilidad, crecimiento, y valor al accionista.
Algunos indicadores tpicos de esta perspectiva son:

Valor Econmico Agregado (EVA)

Retorno sobre Capital Empleado (ROCE)
Margen de Operacin
Ingresos, Rotacin de Activos
Presupuesto

BENCHMARK

El Benchmark es un proceso continuo de medir productos, servicios y prcticas contra

competidores ms duros o aquellas compaas reconocidas como lderes en la industria.

El objetivo del Benchmark es construir sobre las ideas de otros para mejorar la actuacin futura
de la Compaa. La expectativa es que con esta comparacin de los procesos y las prcticas
pueden conseguirse mejoras mayores.

No debe considerarse hacer Benchmark externo que hasta que se hayan analizado sus
rendimientos internos y se ha establecido completamente un sistema eficaz de medida interior.

Que nos ayuda a detectar el control Indicador Clave de Desempeo:

Un Indicador Clave de Desempeo le puede ayudar al auditor a asegurar la integridad y existencia

de la cuenta probada o a medir la gestin en la administracin de los riesgos de negocio.

Ejemplos: Presupuesto de ventas, una variacin importante entre las ventas presupuestadas y las
ventas reales nos puede dar indicios de sobrestimacin de ingresos.

Un indicador de cartera por edades nos puede dar indicios de la gestin de cobro realizada por la
compaa.

www.auditool.org 30


Factores que indican que el control no funciona correctamente:

Las bases sobre las cuales se prepara el indicador no son confiables. Ejemplo, un
presupuesto de ventas que se hace con base en el incremento del PAAG sin tener en
cuenta otros factores como, situacin actual del mercado, nuevos productos, nuevos
competidores etc.
La persona que prepara el indicador clave es la misma que evala el resultado
(Segregacin de funciones)
El indicador clave no es revisado por un nivel superior de la persona que lo prepara

A continuacin, mostraremos los parmetros a tener en cuenta en la evaluacin del control de

indicador clave de desempeo:

Evaluacin del diseo del Control Evaluacin de la efectividad del Control

Para determinar un correcto diseo de este Inspeccionar la conciliacin y determine la
control debemos responder a las siguientes eficacia operativa del control, teniendo en
preguntas: cuenta los siguientes aspectos bsicos:

1) En qu consiste el Indicador Clave de 1) Inspeccionar la documentacin del

Desempeo?
2) Cmo se elabora? Sobre qu bases?
Son confiables las bases? Se prepara
manualmente o la prepara el sistema, o una
combinacin de ambos?
3) Cmo se establecen las bases de
referencia con que se compara el indicador
clave de desempeo (p.ej., presupuestos,
promedios de la industria, etc.)?
indicador clave del desempeo tomando en
consideracin:
2) La base de comparacin es la aprobada
por el nivel superior? Ejemplo: Presupuesto
aprobado por la junta directiva.
La fecha de preparacin es oportuna?-
Estn documentadas las explicaciones de
las fluctuaciones extraordinarias?
Comprobar que coincida con los libros /
registros que estemos auditando.

4) Cul es el objetivo de Indicador? 3) Verificar lo adecuado del seguimiento

5) Con qu frecuencia se prepara 4) Usar la tcnica corroborativa de

este indicador?
6) Quin elabora el indicador? La persona
que elabora el indicador posee la competencia
y el conocimiento?
7) El indicador es revisado por un nivel
superior de la persona que la prepara? La
persona que realiza la revisin posee la
competencia y el conocimiento?
indagacin con otras personas que realizan el
seguimiento
5) Usar la tcnica corroborativa de
indagacin con otras personas que realizan el
seguimiento
6) Usar la tcnica corroborativa de
indagacin con otras personas que realizan el
seguimiento

7) Usar la tcnica corroborativa de

indagacin con otras personas que realizan el
seguimiento

www.auditool.org 31


Evaluacin del diseo del Control Evaluacin de la efectividad del Control

8) Qu medida se toma si la fluctuacin 8) Usar la tcnica corroborativa de

esperada del revisor no guarda proporcin con
la fluctuacin real en el anlisis de indicadores
clave del desempeo? Resulta oportuna esa
medida?
indagacin con otras personas que realizan el
seguimiento
9) Analizar este indicador e identificar
posibles riesgos.

10) Documentar nombres, fechas, resumen de

la entrevista y la medida de seguimiento
tomada.

5. Controles de un sistema de informacin

En los sistemas de informacin identificamos dos tipos de controles clave que pueden ser
evaluados por el Auditor:

1) Acceso al Sistema
2) Configuracin y Mapeo de Cuentas.

1) Acceso al sistema

Se refiere a la capacidad que tienen los usuarios de acceder al sistema de informacin de

acuerdo con las funciones asignadas.

Buenas prcticas:

El acceso a la aplicacin requiere de una autorizacin por parte de un nivel superior.

El acceso a la aplicacin se determina teniendo en cuenta una adecuada segregacin de
funciones (el control asegura que un individuo no pueda llevar a cabo todas las fases de
una operacin/transaccin, desde su autorizacin, pasando por la custodia de activos y el
mantenimiento de los registros maestros necesarios).
Existe un proceso de verificacin permanente por parte de la administracin de la
Compaa en donde se revisa que nicamente ingresan a la aplicacin las personas
autorizadas. En caso de existir excepciones se les realiza un adecuado seguimiento de la
causa y el efecto.
La aplicacin debe estar configurada de tal forma que le solicite al usuario cambiar su
contrasea de acceso peridicamente y no debe permitir que se reemplace por
contraseas usadas anteriormente.
La aplicacin debe estar configurada de tal forma que a ms de tres intentos fallidos para
ingresar a la aplicacin, el usuario es bloqueado y esta situacin se le informa al
administrador del sistema para que investigue la causa y el efecto.

www.auditool.org 32

Los manuales de procedimientos definen la forma como se estructuran los accesos al
sistema, las personas autorizadas para definir esta estructura y los procedimientos de
monitoreo para su cumplimiento.
Evaluacin del control:
Evaluacin del diseo del Control
Para determinar un correcto diseo de este control
debemos responder a las siguientes preguntas:
1. En qu consiste el control de acceso al
sistema?
2. Cmo se estableci ?
(funciones, responsabilidades, etc)
3. Los manuales de procedimientos definen la
forma como se estructuran los accesos al sistema
y las personas autorizadas para definir esta
estructura? Evidenciar.
4. La forma como est estructurado el control y
las autorizaciones para el acceso y modificaciones
estn de acuerdo con el manual de
procedimientos?
5. Quines son las personas autorizadas para
realizar los cambios de configuracin de accesos al
sistema? Tienen la experiencia y el
conocimiento? Se deja evidencia de la
autorizacin del cambio?
www.auditool.org
Evaluacin de la efectividad del Control
Inspeccione el control de acceso al sistema
y determine la eficacia operativa del
control, teniendo en cuenta los siguientes
aspectos bsicos:
1. Verifique en el sistema que los niveles
de acceso estn de acuerdo con lo
autorizado por la administracin.
2. Solicite a Recursos Humanos el
reporte del personal que ha ingresado
durante el ao en curso y con apoyo
del administrador del sistema
seleccione aquellos que tienen acceso
a la aplicacin que estamos
auditando. Verifique que los accesos
fueron aprobados por los niveles
adecuados.
3. Solicite a Recursos Humanos el reporte
del personal que se ha retirado de la
compaa durante el ao en curso y
con apoyo del administrador del
sistema seleccione aquellos con acceso
a la aplicacin que estamos auditando.
Verifique que los retiros de personal
fueron informados por el rea de
Recursos Humanos y autorizados por
los niveles adecuados. Adicionalmente,
verifique que estas personas fueron
dadas de baja de la aplicacin.
33


Evaluacin del diseo del Control Evaluacin de la efectividad del Control

6. Tiene en cuenta una adecuada segregacin de 4. Solicite al administrador de sistemas la

funciones este control? (Ver control de segregacin de relacin de cambios de perfiles ocurridos
funciones Boletn No 14) durante el ao y verifique fueron
autorizadas por los niveles adecuados.
7. Existen restricciones relacionadas con cambios a la Los cambios afectan la segregacin de
configuracin del sistema? Identifica algn riesgo funciones?
importante?
5. Verifique que otros usuarios no
8. La administracin de la compaa monitorea que el autorizados tengan acceso al mdulo que
acceso al sistema se est realizando de acuerdo con lo se est verificando.
establecido en sus manuales de procedimientos?
Cmo lo hace? Est documentado y, si es as, puedo
ver una copia? Quin es responsable y qu
calificaciones tiene?

9. Existe un proceso de verificacin permanente por

parte de la administracin de la Compaa en donde se
revisa que nicamente ingresan a la aplicacin las
personas autorizadas? En caso de existir excepciones
se les realiza un adecuado seguimiento de la causa y el
efecto?

2) Configuracin y mapeo del sistema

Definiciones:

n Configuracin del sistema: Es la forma como est parametrizado un sistema de

informacin contable. Ejemplos: lmites de cupos de crdito, autorizaciones, lmites
para realizar desembolsos, lmites de acceso, etc.
n Mapeo de cuentas: Se refiere a la forma como estn direccionadas las entradas de
informacin a una cuenta contable especifica.

Es importante que el Auditor identifique los cambios en la configuracin y mapeo del sistema,
con el fin de evaluar si fueron implementados de forma adecuada.

En caso de no tener un apoyo de especialistas en tecnologa, como Revisores Fiscales

(contadores) podemos obtener evidencia suficiente y adecuada que nos permita concluir que
los cambios a los sistemas de informacin fueron solicitados, autorizados, realizados,
probados e implementados para el logro de los objetivos de control de la aplicacin de la
gerencia.

www.auditool.org 34


Riesgos que se pueden generar

Un mapeo herrado puede no mostrar las cuentas en los estados financieros o puede
que se muestren de forma herrada Ejemplo: Un gasto se registra como activo, un pasivo
como un ingreso etc.
Los controles de configuracin pueden desactivar las caractersticas de control de
seguridad. Por ejemplo, el hecho de no asignar cupos de crdito a los clientes,
desactivar la segregacin de funciones, etc.

Evaluacin del control

Evaluacin del diseo del Control Evaluacin de la efectividad del Control

Para determinar un correcto diseo de este En caso de identificar cambios realizados

control debemos responder a las siguientes a la configuracin y mapeo del sistema
preguntas: dentro del ao auditado, debemos
verificar:
1. Cmo se realiza la configuracin del sistema?
2. Quin la realiza? n Revisar la documentacin del
3. Se efectuaron pruebas del establecimiento cambio
del diseo inicial? Si fue as, estn n Verificar que se realiz de acuerdo
documentadas? Puedo ver evidencia? con el manual de procedimientos
4. Quien revisa y autoriza los cambios a n Verificar que el cambio fue revisado y
la configuracin del sistema autorizado por un nivel superior.
n Verificar el cambio en el sistema.
5. Existen restricciones relacionadas con
cambios a la configuracin del sistema?
Identifica algn riesgo importante?
6. Se han realizado cambios a la configuracin
del sistema en el ltimo ao existe
documentacin y puedo verla?
7. Qu existe que garantice la integridad de la
informacin?
8. Qu prcticas se observan para comprobar
los cambios a la configuracin?. Tienen
procedimientos documentados?. Puedo
verlos?

Fuente: Normas Internacionales de Auditora emitidas por la IFAC www.ifac.org

Instituto Mexicano de Contadores Pblicos - www.imcp.org.mx

www.auditool.org 35