AUDITORÍA DE CONTROL INTERNO

OBJETIVO DEL MÓDULO

 EL OBJETIVO GENERAL DE ESTE MÓDULO ES QUE

LOS PARTICIPANTES CONOZCAN LOS ELEMENTOS
FUNDAMENTALES PARA EFECTUAR UNA
AUDITORÍA DE CONTROL INTERNO, DETECTAR
SUS RIESGOS Y CONOCER EL IMPACTO DE SU
EVALUACIÓN SOBRE LOS PROCEDIMIENTOS
 DEFINICIÓN

La auditoría de control interno tiene como objetivo

evaluar la eficacia, eficiencia y seguridad de los
procedimientos y controles establecidos por la
administración, para el logro de los objetivos de la
entidad y el cumplimiento de las normas legales
internas y externas; y expresar una opinión sobre el
funcionamiento del mismo
OBJETIVOS DEL CONTROL INTERNO

 Salvaguarda o protección de los activos

 Integridad de la información
 Contribución a la eficiencia
 Adhesión a las políticas de la dirección
DEFINICIÓN DE INTEGRIDAD DE LA IFORMACIÓN
 Cualidad de la información que se considera exacta,
completa, homogénea, sólida y coherente con la
intención de los creadores de esos datos.
 Esta cualidad se obtiene cuando se impide eficazmente
la inserción, modificación o destrucción no autorizada,
sea accidental o intencional del contenido de una base
de datos.
 La integridad de los datos es uno de los seis
componentes fundamentales de la seguridad de la
información.
COMPONENTES DEL CONTROL INTERNO

 Ambiente de control
 Evaluación del riesgos
 Actividades de control
 Información y comunicación
 Monitoreo
 AMBIENTE DE CONTROL

Refleja la filosofía, actitud y compromiso

de la gerencia para establecer una
atmósfera positiva para la implantación y
ejecución de operaciones de negocios bien
controladas
 EL AMBIENTE DE CONTROL ABARCA:
 La filosofía y estilo de operación de la gerencia
 Las políticas y prácticas de los recursos humanos
 La estructura organizacional
 La asignación de funciones, autoridad y responsabilidad
 La atención y dirección proporcionada por la junta de
directores
EVALUACIÓN DE RIESGOS

Implica la identificación y análisis

de los riesgos importantes
derivados de fuentes externas e
internas, para el logro de los
objetivos de una organización
 TIPOS DE ACTIVIDADES DE
CONTROL
 Revisiones a alto nivel
 Actividades de dirección
 Procesos de información
 Controles físicos
 Segregación de funciones
 Indicadores de desempeño
 INFORMACION Y COMUNICACIÓN

La información y comunicación
oportuna, adecuada, exacta,
razonable, amigable, actual,
constituyen la base para la
toma de decisiones correctas.
 MONITOREO

Son los procedimientos y métodos

establecidos por la compañía para
asegurarse que se ejecutan todas
las acciones correctas
 RESULTADOS DE LA EVALUACIÓN DE LOS
COMPONENTES DEL CONTROL INTERNO
El conocimiento y evaluación del ambiente de
control, evaluación de los riesgos, actividades
de control, información y comunicación, y
monitoreo permiten concluir sobre:
Efectividad

Alcance del control

Roles y responsabilidades
RIESGOS EN EL SISTEMA DE CONTROL
INTERNO
 Definición del riesgo
 Identificación de los riesgos
 Evaluación y análisis del riesgo
 Niveles del riesgo
 Riesgo de auditoria
 Riesgo en sistemas computarizados
RIESGO
Es la posibilidad de que
un hecho ocurra en el
futuro, dependiendo de
factores de azar, de
personas o situaciones
que no se pueden
controlar
 IDENTIFICACIÓN DEL RIESGO
Implica obtener previamente el conocimiento
de los objetivos de la entidad:
Operaciones

Reporte de información
Cumplimiento de leyes y
regulaciones
EVALUACIÓN Y ANÁLISIS DEL RIESGO

Materialidad

Probabilidad
ACTITUDES DE LOS ADMINISTRADORES
FRENTE AL RIESGO
 Evitar los riesgos
 Prevenir los riesgos

 Protegerse de los riesgos

 Aceptar los riesgos.

 Retener los riesgos.
 Transferir los riesgos.
 EVITAR LOS RIESGOS
Para evitar un riesgo se parte del
principio de que su probabilidad es alta y
representa un alto peligro para la
organización, por que podría traer
consecuencias muy graves en caso de la
ocurrencia del siniestro
 EVITAR LOS RIESGOS
Algunas formas de evitar un riesgo es no
emprendiendo un nuevo proyecto evaluado
como no viable, eliminando la actividad que
genera un riesgo o sustituyéndola por otra que
no sea tan peligrosa o que no produzca tantas
perdidas, como la suspensión de alguna línea
de producción, negocio, mercado objetivo,
canal de distribución o medio de transporte.
 PREVENIR LOS RIESGOS

Cuando hablamos de la medida de prevenir

estamos hablando de establecer
anticipadamente políticas, normas,
controles y procedimientos que lleven a que
el evento generador del riesgo no ocurra o
disminuya su probabilidad de ocurrencia.
 PREVENIR LOS RIESGOS
Existen muchas formas de prevención , pero las
más utilizadas son:
Inspecciones y pruebas de seguridad.
 Entrenamiento.
 Inversión en información.
 Diversificación.
 Disminución del nivel de exposición.
 Mantenimiento preventivo.
 Medicina preventiva.
PROTEGERSE DE LOS RIESGOS
Al hablar de proteger estamos pensando en
medidas que actúan, en el momento de
presentarse el riesgo, sobre el recurso
amenazado, por ejemplo los equipos
de protección, como los cascos o las gafas,
disminuyen el impacto del riesgo de accidente
sobre los obreros de una construcción.
 PROTEGERSE DE LOS RIESGOS

Las medidas de protección de mayor

aplicación son:
• Sistemas automáticos de protección.
• Equipo de protección personal.
• Plan de emergencia.
• Plan de contingencia.
 ACEPTAR LOS RIESGOS

 Significa asumir un riesgo y las

consecuencias que este atraiga en el
momento que se presente.
 Los riesgos se aceptan cuando la
frecuencia es baja e impacto leve, y no,
pones en peligro la estabilidad de la
organización.
 RETENER LOS RIESGOS
Estos se retienen cuando en forma
planeada se crea un fondo entre
otras cosas para responder ante
las posibles pérdidas causadas por
su ocurrencia.
 TRANSFERIR LOS RIESGOS
El transferir un riesgo se da cuando se
traspasa el riesgo a otra compañía, ya sea
por medio de un contrato de outsourcing,
o una póliza de seguro.
Un modo habitual de transferir el riesgo
es cubrirlo mediante un seguro.
 TRANSFERIR LOS RIESGOS
La opción de transferir los riesgos tiene sus ventajas y desventajas.
Ventajas:
 Mas sencilla de implementar.
 Mas económica, ya que nos evitamos la adopción de
inversiones, contratación de personal, etc. necesarios si
decidiéramos gestionar el riesgo.
Desventajas:
 Es una medida paliativa que únicamente se podrá aplicar
cuando ya se ha producido el daño y que solo permitirá
recuperar los aspectos económicos.
La adopción de un seguro forma parte, por lo tanto, de la
estrategia de continuidad de negocio.
PASOS PARA EVALUAR Y CONTROLAR
LOS RIESGOS
 Determinar los riesgos
 Crear un equipo de trabajo
 Crear una metodología
 Diseñar los sistemas de información
necesarios para evaluar el riesgo
 Diseñar controles
 NIVELES DEL RIESGO
Anivel de compañía:
Internos
Externos
 A nivel de actividad:
Internos
Externos
 RIESGO DE AUDITORÍA

 Riesgo inherente

 Riesgo de control

 Riesgo de detección
 FACTORES QUE DETERMINAN EL
RIESGO INHERENTE
Implica obtener previamente el
conocimiento de los objetivos de la
entidad:
Operaciones

Reporte de información

Cumplimiento de leyes y regulaciones

FACTORES DEL RIESGO DE CONTROL

 Ambiente de control
 Evaluación de los riesgos
 Actividades de control
 Información y comunicación
 Monitoreo
 FACTORES QUE DETERMINAN EL
RIESGO DE DETECCIÓN
 La ineficiencia de un procedimiento de
auditoría aplicado
 La inadecuada aplicación de un
procedimiento de auditoría
 La inadecuada definición del alcance y
oportunidad de un procedimiento de
auditoría
 RIEGOS EN LOS SITEMAS DE INFORMACIÓN
COMPUTADORIZADOS
Riesgos de aplicación:
Acceso a funciones de procesamiento
Ingreso de datos
Items rechazados
Procesamiento
Riesgos generales:
Estructura del departamento de sistemas
Cambios a los programas
Acceso general
Continuidad de las operaciones
 EVALUACIÓN DEL

SISTEMA DE CONTROL

INTERNO
 ASPECTOS DE LA EVALUACIÓN DEL
SISTEMA DE CONTROL INTERNO

 Confianza en los  Procedimientos de

controles auditoría
 Categorías de los  Documentación
controles  Conclusiones sobre
 Evaluación e la evaluación del
identificación de control interno
controles claves
CONFIANZA EN LOS CONTROLES

Es necesario comprender,
evaluar y obtener evidencia
sobre la efectividad de
cualquier control en el cual
se desea confiar, para
determinar la naturaleza,
alcance y oportunidad de
los procedimientos de
auditoría
CONFIANZA EN LOS CONTROLES

TRABAJO DEL AUDITORÍA

AUDITOR INTERNA
Identificar los Evaluar su trabajo,
controles en los para definir si se
cuales podrá confiar confiará en él.
 FACTORES PARA EVALUAR LA LABOR DE
AUDITORÍA INTERNA
 Independencia
 Competencia y experiencia
 Preparación de papeles de
trabajo
 Seguimiento e implantación de
las recomendaciones surgidas
de sus informes
CATEGORÍAS DE LOS CONTROLES
 AMBIENTE DE CONTROL

 CONTROLES DIRECTOS

 CONTROLES GENERALES
 AMBIENTE DE CONTROL

AMBIENTE DE CONTROL AUSENCIA DE UN

BUENO: AMBIENTE DE CONTROL
BUENO

Menos evidencia de
La confianza en los
auditoría, para
controles
satisfacerse sobre
posiblemente no
la efectividad de los
podrá ser justificada
controles
 CONTROLES DIRECTOS
Proporcionan satisfacción de
auditoría directa con respecto a las
afirmaciones de los estados
financieros. Evitan o detectan
errores o irregularidades en los
estados financieros
CLASIFICACIÓN DE LOS CONTROLES
DIRECTOS
 Controles gerenciales e
independientes
 Controles de procesamiento y
funciones de procesamiento
computarizadas
 Controles para salvaguarda de activos
CONTROLES GERENCIALES E INDEPENDIENTES
SON APLICADOS A LOS RESULTADOS DE LAS
TRANSACCIONES Y PUEDEN SER:

 Revisión, análisis y seguimiento de la

información financiera
 Comparación de la información financiera
con presupuestos e información de años
anteriores
 Conciliación de la aplicación de las cuentas
por cobrar con los registros contables
 CONTROLES DE PROCESAMIENTO Y
FUNCIONES DE PROCESAMIENTO
COMPUTARIZADAS

Son incorporados a los sistemas

para que un aspecto del
procesamiento sea controlado
por un paso posterior de dicho
proceso
 TIPOS DE RIESGOS DE SISTEMAS
COMPUTARIZADOS
 Revelación incorrecta de la información
 Error
 Fraude
 Interrupción de operaciones debido a fallas en
el hardware o software
 Planeación inefectiva
 Riesgos relacionados con las operaciones de
computación del usuario final
 CONTROLES PARA SALVAGUARDA
DE ACTIVOS

Se refiere principalmente
a la custodia de activos
e incluyen controles y
medidas de seguridad
físicas.
 CONTROLES GENERALES
 Contribuyen significativamente a la
efectividad de los controles directos
individuales
 No proporcionan satisfacción directa
con respecto a las aserciones de los
estados financieros
CLASIFICACIÓN DE LOS CONTROLES
GENERALES

 Segregación de funciones
incompatibles
 Controles generales del
departamento de
sistemas
 SEGREGACIÓN DE FUNCIONES
Separar las siguientes Por ejemplo:
funciones: El empleado
•Iniciar transacciones responsable del
•Registrar transacciones procesamiento de
facturas no debe ser
•Custodia de los activos responsable también
del procesamiento
de los registros
contables.
 OBJETIVOS DE LOS CONTROLES DEL
DEPARTAMENTO DE SISTEMAS
 Conocer que existen diferentes
clasificaciones de control
 Identificar algunos controles que podrían
reducir los riesgos del departamento y de
aplicación a un nivel aceptable
 Reconocer las características que requieren
mayor control a nivel del departamento
CONTROLES SEGÚN EL RIESGO
 Acceso a funciones de procesamiento:
• Segregación de funciones
• Medios de control de acceso
 Ingreso de datos
• Controles de edición y validación
• Controles de lote
• Doble digitación de campos críticos

 Items rechazados o en suspenso

• Controles programados
• Controles del usuario
EVALUACIÓN E IDENTIFICACIÓN DE LOS
CONTROLES CLAVE

Los controles claves son

evaluados para decidir si
son confiables como
fuente de satisfacción de
auditoría y en que grado
se puede confiar en ellos
 FACTORES A TENER EN CUENTA PARA LA
EVALUACIÓN DE LOS CONTROLES CLAVE

Identificarlos controles clave

potenciales
Reevaluación del riesgo de control

Evaluación de debilidades
 CARACTERÍSTICAS DE UN CONTROL
CLAVE POTENCIAL

 Proporcionar
satisfacción de auditoría
relevante
 Proporcionar
satisfacción de modo
más eficiente que otros
procedimientos
 IDENTIFICACIÓN DEL CONTROL CLAVE
 Cuáles son los controles que se relacionan
con los riesgos inherentes y pueden
proporcionar satisfacción sobre las aserciones
 El impacto del ambiente de control
 El impacto de los controles generales
 la eficiencia de confiar en los controles como
fuente de satisfacción de auditoría
REEVALUACIÓN DEL RIESGO DE CONTROL
En la planeación estratégica se realiza
una evaluación preliminar de la
efectividad de los sistemas de la
compañía, luego puede ser necesario
modificar la evaluación preliminar del
riesgo de control
 MODIFICAR LA EVALUACIÓN PRELIMINAR
DEL RIESGO DE CONTROL IMPLICA
 Considerar el posible efecto del ambiente de
control en la confiabilidad de los sistemas de
control
 Considerar los tipos de errores o
irregularidades que podrían ocurrir
 Considerar si los sistemas de control deberían
evitar o detectar estos tipos de errores o
irregularidades (continúa)
MODIFICAR LA EVAUACIÓN PRELIMINAR
DEL RIESGO DE CONTROL IMPLICA
 Identificar los puntos débiles y fuertes de los
sistemas de control
 Considerar el impacto de los controles
generales en los controles directos de los
sistemas
 Evaluar el riesgo de control para las
aserciones individuales
 Evaluar las debilidades identificadas en los
sistemas
EVALUACIÓN DE LAS DEBILIDADES
Representan deficiencias
en los sistemas de
control de la compañía
que permiten que
ocurran errores o
irregularidades
 LA EVALUACIÓN DE LAS DEBILIDADES
IMPLICA
 La
posible existencia de otros controles que
compensan la debilidad

 El
impacto de las debilidades sobre la
conveniencia de conveniencia de confiar en los
controles clave

 El
alcance del error que pasaría inadvertido
como resultado de esta debilidad
 PROCEDIMIENTOS DE AUDITORÍA
 Indagaciones y manifestaciones del
personal de la compañía
 Observación
 Procedimientos de diagnóstico
 Actualizaciones de sistemas
 Técnicas de datos de prueba
 Pruebas detalladas de transacciones y
saldos
Caso de estudio No 1
La compañía Colombiana S.A, se dedica a la exploración de yacimientos
petrolíferos ubicados en las cuencas marinas. Para el desarrollo de sus actividades
cuenta con un stock de materiales (principalmente tubos de acero con y sin costura)
que se utilizan en las etapas de perforación.
La experiencia como auditores de la sociedad indica que históricamente los montos
invertidos en el stock de materiales son de significativos con respecto al total del
activo.
Por otra parte la industria del petróleo a nivel mundial está afectada por cambios
significativos en el precio del producto, que afectan los precios de todos los
insumos y materiales empleados en la actividad, originados en situaciones
económicas y/o políticas.
Los materiales cuyo número alcanza aproximadamente a los 17.000 items, se
encuentran almacenados en diversos depósitos ubicados en la costa sur del país.
Como resultado de los inventarios físicos practicados por el personal de auditoría
interna dos años atrás, se detectaron faltantes de materiales significativos.

Factores de riesgo Clasificación del Riesgo Afirmación afectada

Caso de estudio No 2.
La compañía Colombiana S.A. elabora azúcar a partir de las cañas compradas a los
productores cañeros. Debido a la difícil situación económica por la que atraviesa, ha decidido
financiar sus compras de caña a través de pago en especie, es decir paga 1.000 toneladas de
caña con 501 toneladas de azúcar.
Su conocimiento de la industria le permite saber que el precio del azúcar está muy
influenciado por problemas políticos y económicos regionales.
La sociedad emplea el criterio de valuar a reposición sus existencias de productos terminados.
Adicionalmente usted sabe que la sociedad no efectúa inventarios físicos de sus existencias de
productos terminados. En los años anteriores se han practicado recuentos físicos por parte del
equipo de auditoría, en los cuales se detectaron algunos problemas de control de
documentación de despacho.
Factores de riesgo Clasificación del Riesgo Afirmación afectada
Caso de estudio No 3.
La compañía Colombiana S.A. está atravesando una grave crisis de ventas
debido a la recesión que afecta a la industria en general. Los inventarios de
producto terminado superan las existencias presupuestadas, ya que por
problemas gremiales no se pudo vender la producción.
Por otra parte, el inventario de insumos utilizados en la producción, alrededor
de 5.000 artículos distintos, se encuentra por debajo de los límites normales, ya
que se produjeron demoras en las entregas por parte del proveedor.
En el año anterior la gerencia de la compañía Colombiana S.A., decidió reducir
las actividades de la planta industrial No 2, ubicada en el interior del país, allí
actualmente sólo se produce uno de los tres tipos de baterías que se fabricaba
normalmente.

Factores de riesgo Clasificación del Riesgo Afirmación afectada

 SOLUCIÓN SUGERIDA EJERCICIO NO 1
Afirmació
Clasificación n
Factores de riesgo del riesgo afectada Componente
Veracidad
Montos significativos Inherente Valuación Existencias
Fluctuaciones
significativas en los
precios de los Veracidad
materiales. Inherente valuación Existencias
Existe,
Número de items Veracidad
significativo Inherente valuación Existencias
 SOLUCIÓN SUGERIDA
Factores de Clasificación Afirmación
riesgo del riesgo afectada Componente
Seguridad
física
inadecuada Control Existe Existencias

Procedimientos
para la toma de
inventarios
físicos
inadecuados Control Existe Existencias
Ajustes
significativos
por faltantes Control Existe Existencias
 DOCUMENTO DE LA EVUALUACIÓN
DEL CONTROL INTERNO

El auditor debe
preparar y mantener
los papeles de
trabajo, como
evidencia del trabajo
realizado
 CONCLUSIONES SOBRE LA EVALUACIÓN
DEL CONTROL INTERNO

El auditor emitirá sus

conclusiones acerca de los
hallazgos obtenidos en el trabajo
de auditoría a través de un
informe
 LOS INFORMES PUEDEN SER:

 Sobre recomendaciones
y/o irregularidades

 Sobre la evaluación del

sistema de control
interno.