Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
:
Ejercicio auditado: Preparado por:
Revisado por:
En este cuestionario se documentará el entendimiento del control interno de la entidad auditada, mientras que el
conocimiento de la entidad y su entorno se ha documentado en el cuestionario nº1.
1
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
“Es el proceso diseñado, implementado y mantenido por los responsables del gobierno de la
entidad, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los
objetivos de la entidad relativos a:
OBJETIVOS DE LA ENTIDAD
Fiabilidad de la información Eficacia y eficiencia de las Cumplimiento de las
financiera operaciones disposiciones legales y
reglamentarias aplicables
El marco de referencia de la NIA-ES 315 para el entendimiento del control interno se basa en el
análisis de los cinco componentes del control interno, que determina cómo los diferentes
aspectos del control interno afectan a la auditoría.
2.1.- Entendimiento del Entorno de Control de la entidad (Ref.: NIA-ES 315 # 14)
“…El entorno de control, no previene, ni detecta y corrige una incorrección material, sin embargo, puede
influir en la evaluación del auditor de la eficacia de otros componentes del control interno, p .e.: el
seguimiento de controles y el funcionamiento de determinadas actividades de control, y en
consecuencia, en la valoración del auditor de los riesgos de incorrección material…”
En la evaluación del entorno de control han de tenerse en cuenta los siete elementos que son
considerados relevantes por la norma (NIA-ES 315 A70), y cuyo análisis individual permite la
evaluación global del Entorno de control. Documentamos dicha evaluación en el modelo de
documento que se incluye a continuación:
2
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
vigilancia de la
integridad y los
valores éticos.
(A70 (a))
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) El modo (formalmente o de hecho) en que la Dirección comunica su opinión y decisiones a sus empleados sobre
las prácticas empresariales y el comportamiento ético; b) si la Dirección dispone de un código de conducta escrito y
si actúa de un modo acorde con dicho código); c) si existe un canal de denuncias adecuado para manifestar las
conductas inapropiadas y si se tratan adecuadamente las denuncias presentadas; etc.
3
Adjuntar documentación cómo:
1) Código ético y de conducta de la entidad, si existe. Cómo se pone en conocimiento de todos los empleados (a
través de la Intranet, con comunicaciones periódicas por escrito, a través de reuniones presenciales/de formación);
2) Documento firmado por los empleados (realizar una comprobación de una muestra)dónde se ponga de manifiesto
su conocimiento y entendimiento del Código ético y de conducta;
3) Documentación de historial de quejas y denuncias recibidas, y el tratamiento dado a las mismas;…
3
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) El enfoque con el que la Dirección asume y gestiona los riesgos de negocio, si tiene criterios para la identificación
y evaluación de los riesgos (incluido el de fraude); b) las actitudes y actuaciones de la Dirección con respecto a la
información financiera, si es objetiva en relación a las políticas contables; c) como es la actitud de la Dirección
respecto al procesamiento de la información, a las funciones de contabilidad y al personal administrativo/contable;
etc…
3
Adjuntar documentación cómo:
1) Organigrama de la entidad;
2) Actas de las reuniones del Comité de Auditoría, si es que existe;
3) Actas de reuniones del Comité de empresa con la Dirección;…
4
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) Identificar si la estructura organizativa está adaptada a las necesidades de la entidad y si existe un Manual
Interno con los procedimientos formales de aprobación y si están parametrizados en el sistema informático
(usuarios y tareas permitidas a cada uno de ellos); b)analizar si la estructura facilita un marco adecuado para la
planificación, ejecución, control y revisión de las actividades de la entidad para alcanzar sus objetivos; c) si se han
establecidas las áreas clave de autoridad y responsabilidad, así como las líneas apropiadas en las que debe fluir la
información; etc.
3
Adjuntar documentación cómo:
1)Organigrama funcional de la entidad, que permita una adecuada segregación de funciones en los niveles
operacionales y gerenciales;
2) Manual Interno con el detalle de usuarios y tareas autorizadas para cada uno de ellos en el sistema informático;
etc.
5
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) Identificar cual es la experiencia y reputación,(Comité de auditoría) y analizar si es adecuada para desempeñar
sus funciones; b) si existe independencia con la Dirección, y si en algún caso forman parte de la misma, cómo se
establecen las adecuadas salvaguardas; c) adecuación de sus actuaciones, su grado de participación (las preguntas
que realizan a la dirección y seguimiento de las mismas), la información que reciben (suficiencia) y el examen que
realizan de las actividades; d) si son conscientes de su responsabilidad en el control interno (incluido el fraude) y en
la formulación de las cuentas anuales (si se preparan de conformidad con el marco de información financiera
aplicable); etc.
3
Adjuntar documentación cómo:
1) Revisión de los CV de los miembros del Comité de auditoría para verificar su experiencia, formación y reputación;
2) Revisar el Código de conducta de los responsables del gobierno de la entidad, si existe, a efectos de analizar si
actúan de modo acorde con dicho código; etc.
6
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) El modo en el que se asignan la autoridad y responsabilidad respecto a las actividades de explotación y si está
recogido en un Manual Interno de la Entidad, si existe, incluyendo los procedimientos formales de aprobación y si
están parametrizados en el sistema informático (usuarios y tareas permitidas a cada uno de ellos); b) las relaciones
de información permiten que el personal conozca los objetivos de la entidad, como se relacionan sus funciones
individuales y contribuyen a la consecución de dichos objetivos, y también su responsabilidad al respecto; etc.
3
Adjuntar documentación como:
1)Organigrama funcional de la entidad, que permita asegurar una adecuada segregación de funciones en los niveles
operacionales y gerenciales; 2)Manual Interno con el detalle de usuarios y tareas autorizadas para cada uno de ellos
en el sistema; etc.
7
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) Identificar si los criterios usados permiten la selección del personal más adecuadamente calificado para la
ejecución del trabajo encomendado; b) analizar si el departamento de RRHH dispone de un plan de formación y de
carrera por niveles/categorías, y este plan incluye procedimientos de orientación, formación,
valoración y asesoramiento; c) si existe buen ambiente de trabajo, y los incentivos salariales y extra-salariales son
razonables y permiten asegurar que no existan altas tasas de rotación; etc.
3
Adjuntar documentación como:
1) Plan de formación y de carrera por niveles/categorías.
2) Manual Interno de RRHH con las políticas relacionadas con la selección, evaluación, orientación promoción,
compensación y actuaciones correctoras; etc.
8
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados”, se
deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos
realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de
control:
2
a) Si la Dirección considera los diferentes niveles de competencia profesional que se requieren para determinados
puestos, fundamentalmente en el área de financiera, contable y de TI, y el modo en que dichos niveles deben
traducirse en cualificaciones y conocimientos requeridos; b) si existe algún documento y/o manual dónde se
concreten las condiciones de capacidad y conocimientos requeridos, relacionando éstos con el plan de formación
necesario para diferentes puestos y categorías profesionales; etc.
3
Adjuntar documentación cómo:
1) Revisión de los CV de los empleados de los principales departamentos financiero/contable y de los miembros del
Comité de auditoría para verificar su experiencia, formación y reputación;
2) Revisar el manual o documento, si existe, a efectos de analizar si actúan de modo acorde con las condiciones de
capacidad y conocimientos requeridos en el mismo; etc.
9
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Riesgo
Nº Referencia Descripción de la situación
identificado
(*) Dadas las consecuencias que pueden tener los riesgos identificados en los siete elementos
relevantes del entorno de control, debido a su no implementación o incompleto o ineficaz diseño,
deberá darse consideración especial a la identificación de la situación y/o los factores que las hayan
originado, tales como presiones del mercado, de la dirección, del sector o de la situación financiera de
la entidad, incentivos, objetivos de beneficios, complejidad de la estructura y transparencia del
accionariado, historial de riesgos, etc....
1
En función de las Conclusiones sobre el diseño y la implementación de cada uno de los siete elementos
relevantes del Entorno de control, podremos concluir de forma global sobre el Entorno de control.
Como ejemplo indicamos que podría concluirse de esta forma, de acuerdo a la terminología empleada por la NIA-ES
315, siempre en función de la valoración dada a los posibles riesgos identificados:
1.-Entorno de control satisfactorio: (“De acuerdo a la información sobre los elementos del entorno de control de la
entidad, descritos en el cuadro, no se han identificado deficiencias de control significativas que impliquen riesgos
de incorrección material. El entorno de control de la entidad parece confiable, y las conductas y código ético de la
misma son prudentes y adecuados a las circunstancias de la entidad”).
2.- Entorno de control no satisfactorio: (“De acuerdo a la información sobre los elementos del entorno de control de
la entidad, descritos en el cuadro, se han identificado deficiencias de control significativas las cuales podrían
implicar riesgos de incorrección material y se enumeran en el cuadro adjunto. El entorno de control de la entidad
no parece confiable, y las conductas y código ético de la misma no son suficientemente prudentes y adecuados a
las circunstancias de la entidad”).
10
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
El "proceso de valoración del riesgo por la entidad" constituye la base con la que la Dirección
determina el modo en que los riesgos han de gestionarse. Si dicho proceso es adecuado a las
circunstancias, cuestión que corresponde al juicio profesional del auditor, (naturaleza,
dimensión y complejidad de la entidad) nos facilitará la identificación de los riesgos de
incorrección material.
En este apartado se trata de obtener y documentar nuestro entendimiento del proceso que
realiza la dirección de la entidad para evaluar los riesgos y el resultado de dicho proceso, y el
documento que se incluye a continuación representa una guía para dicha evaluación y
documentación:
Proceso de Procedimientos
Conclusión sobre
# valoración del Procesos realizados por la realizados/Ref.
si el proceso es
riesgo entidad1 al trabajo
adecuado
(NIA-ES 315) realizado
2
1 Identificación
de los riesgos
de negocio
relevantes para
la preparación
de la
información
financiera (#15
(a))
1
Realizar una descripción de los “Procesos realizados por la entidad para la valoración del riesgo”: A modo de
ejemplo citamos los siguientes:
2
a) Si los componentes del Comité de la dirección (CEO, Director ventas, marketing, jurídico, RRHH) se reúnen
periódicamente para revisar resultados y presupuestos, teniendo en cuenta los indicadores relevantes, tanto de las
actividades de la entidad (ventas, situación financiera, etc.), como de factores externos (análisis de los resultados de
competencia, comentarios y feedback de clientes, cambios regulatorios, etc.);
b) Si han elaborado un mapa de riesgos o algún documento dónde se concreten los principales riesgos del sector y
de la operativa de la entidad, con la finalidad de permitir una mejor toma de decisiones; etc.
11
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
3
3 Evaluación de la
probabilidad
(ocurrencia) de
que se
materialicen los
riesgos de
negocio
identificados.
(#15 (c))
1
Realizar una descripción de los “Procesos realizados por la entidad para la valoración del riesgo”: A modo de
ejemplo citamos los siguientes:
2
SIGNIFICATIVIDAD: a) Si la entidad para cada riesgo de negocio relevante identificado ha analizado su impacto en
términos de:
1.- Impacto en ventas, clientes, productos/servicios, competencia, continuidad del negocio, etc…
2.- Impacto en términos financieros,
3.- Impacto en producción
b) si la entidad otorga un valor en unidades monetarias a los impactos anteriores identificados de forma que todos
los riesgos de negocio puedan ser categorizados.
3
OCURRENCIA: a) Si una vez cuantificado el impacto monetario de los riesgos identificados se pondera cada riesgo
en función de la probabilidad de ocurrencia del mismo: probable, posible y remoto.
b) si esta ponderación se ha decidido por consenso de los miembros de la dirección y, en el caso de que sea muy
relevante, deberán hacerse consultas a expertos independientes (asesores, fiscalistas, tasadores, etc.)
c) si se cruzan las variables anteriores de impacto económico y probabilidad, y se focalizan los esfuerzos en aquellos
riesgos de alto impacto económico y de probabilidad de ocurrencia más alta, es decir: "probable".
12
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
Realizar una descripción de los “Procesos realizados por la entidad para la valoración del riesgo”: A modo de
ejemplo citamos los siguientes:
2
a)Si en el Mapa de riesgos o documento elaborado sobre los riesgos de negocio por la Dirección se incluyen las
conclusiones tomadas que deben ser presentadas al Consejo de Administración;
b) Si en el documento también se han incluido los planes, programas o actuaciones para responder a dichos riesgos
que propone la Dirección, y en su caso las conclusiones sobre la decisión de aceptar un riesgo debido al coste o a
otras consideraciones,
c) Si se ha contemplado que los riesgos pueden surgir o variar debido a las circunstancias y si estos cambios no han
sido considerados por la Dirección, deberemos indicarlo:
-Cambios en el entorno operativo o regulatorio: presiones competitivas
-Cambios de personal clave: el nuevo personal puede tener una concepción distinta del Control Interno
-Cambios significativos en los sistemas de información (TI)
-Crecimientos rápidos: de las operaciones puede poner a prueba los controles e incrementar el riesgo asociado al
control interno
-Incorporación de nuevas tecnologías en los procesos productivos
-Nuevos modelos de negocio, productos o actividades
-Reestructuraciones corporativas o societarias: reducciones de plantilla, cambios en la supervisión y en la
segregación de funciones
-Expansión internacional de las operaciones: nuevos riesgos, p. e.: transacciones en moneda extranjera
-Nuevos pronunciamientos contables: riesgos en el registro y valoración de las transacciones y en la preparación de
los estados financieros
d) Si el análisis realizado por el Comité de Dirección incluirá las soluciones sugeridas para mitigar las consecuencias
de los riesgos identificados, se habrán tomado las decisiones oportunas plasmadas en el Plan de Acción que
periódicamente ha de ser comunicado al CEO y al Consejo.
13
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
(*) Dadas las consecuencias que pueden tener los riesgos identificados en el “Proceso de valoración
del riesgo por la entidad”, deberá darse consideración especial a la identificación de las situaciones
y/o factores que las hayan originado, tales como presiones del mercado, de la dirección, del sector
de actividad o de la situación financiera de la entidad, incentivos, objetivos de beneficios,
complejidad de la estructura y transparencia del accionariado, historial de riesgos, etc....
1
En función de las conclusiones obtenidas en los cuatro procesos definidos de valoración del riesgo por parte de la
entidad, podría concluirse de forma global sobre el “Proceso de valoración del riesgo por parte de la entidad”
A) Si la entidad ha establecido dichos procesos de valoración del riesgo;
B) Y si la valoración que le hemos dado a los procesos establecidos y sus resultados son adecuados, es decir, si estos
procesos están diseñados para identificar los riesgos y los motivos por los que los procesos establecidos por la
entidad no identificaron algún riesgo.
Ejemplo de conclusión, según la terminología de la NIA-ES 315:
1.-Proceso de valoración del riesgo establecido por la entidad es adecuado a sus circunstancias: ("No hay riesgos de
incorrección material identificados en la auditoría que no hayan sido identificados previamente por la Dirección y,
evaluados en consecuencia, por lo que no hemos identificado ninguna deficiencia en el control interno en relación
al "Proceso de valoración del riesgo por la entidad")
2.- Proceso de valoración del riesgo establecido por la entidad no es adecuado a sus circunstancias: ("Existen
riesgos de incorrección material identificados en la auditoría que no han sido identificados previamente por la
Dirección y, en consecuencia, podrían suponer una deficiencia significativa en el control interno en relación al
"Proceso de valoración del riesgo por la entidad")
14
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
A continuación se incluye un ejemplo de dicha matriz, que deberá ser completada en cada caso
concreto.
1. En la columna “Analizada” se indicará si el área va a ser objeto de análisis, realización de
procedimientos y pruebas en la auditoría.
2. Se han incluido a modo de ejemplo seis procesos de negocio (de forma habitual a los
procesos de negocio también se les denomina ciclos) relevantes para la auditoría.
3. En la última fila de la matriz se indicaran aquellos procesos de negocio que se vayan a
consideran relevantes para la información financiera, y para la comunicación.
15
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Justificar la decisión adoptada respecto a los procesos de negocio relacionados (ciclos) elegidos,
relevantes para la auditoría:
16
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Generalmente, los procesos de negocio relacionados relevantes para la auditoría (ciclos y/o
áreas fundamentales de la explotación de la entidad) suelen ser:
a) Inversiones en activos.
b) Existencias-Producción.
c) Ingresos-Ventas-salidas de almacén-cuentas a cobrar-cobros.
d) Tesorería.
e) Compras-entradas en almacén-cuentas a pagar-pagos.
f) Gastos de personal.
1
PROCESO DE NEGOCIO (CICLO):
1
Deberán detallarse aquí, empleando todo el espacio que se considere necesario, o incluir la referencia en la que se
recoja la documentación explicativa de los procesos de negocio (ciclos) y el entendimiento de los tipos de
transacciones significativas en los procesos de negocio relacionados.
17
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
La elaboración de las cuentas anuales incluye los procedimientos diseñados por la entidad para
asegurar que la información requerida por el marco de información financiera aplicable a la
entidad se recoge, registra, procesa e integra de forma apropiada en las cuentas anuales. Por
tanto, debemos conocer los procedimientos usados para transferir la información de los
sistemas de proceso de las transacciones y de los hechos y circunstancias relevantes para la
información financiera, a los sistemas del mayor general y de los estados financieros y
memoria de las cuentas anuales.
18
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Desde el punto de vista del auditor, los controles sobre los sistemas de las tecnologías de la
información (TI), son eficaces cuando:
1.-Mantienen la integridad de la información 2.-Mantienen la seguridad de los datos que
procesan dichos sistemas
Revisión de los Controles automatizados generales de las TI, que son políticas y
procedimientos vinculados a muchas aplicaciones y favorecen un funcionamiento eficaz de los
controles de las aplicaciones.
Revisión de los Controles automatizados de aplicaciones eficaces
Los controles generales no operan de forma inconexa a los controles de aplicación, siendo
esenciales para dotar de fiabilidad a estos últimos, y proporcionan al entorno de control, una
base adecuada para los controles de aplicación. Carece de sentido confiar en controles de
aplicación si no se tiene la seguridad del correcto funcionamiento de los generales. Por tanto,
debemos diseñar pruebas sobre el conjunto de los controles generales de TI, en tres áreas
esenciales, que deberemos probar periódicamente:
1.-Seguridad Lógica y Física
2.-Desarrollo: procesos de cambio en aplicaciones, adquisiciones y nuevos desarrollos
3.-Explotación de sistemas
A estos efectos la NIA 315, requiere que obtengamos un conocimiento del control interno de la
entidad auditada, cuándo ésta utiliza sistemas de información (TI) para proporcionar la
información financiera (actualmente, en la totalidad de los encargos de auditoría) que implica
en primer lugar, evaluar el grado de complejidad de los sistemas de información (TI). Si el
Grado de complejidad resultase Medio/Alto, deberíamos incluir en la Estrategia Global de
planificación la colaboración de expertos en Sistemas de Información (TI) complejos.
En este apartado, nos remitimos a la "Guía de Ayuda y Referencia a las nuevas NIA-ES en
Entornos Informatizados", emitida por el CGE, que podríamos utilizar para cumplir con los
objetivos de la NIA-ES 315.
19
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
20
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se
siguen las directrices de la dirección, y corresponden a las siguientes categorías:
a) Autorizaciones
b) Revisiones de actuación y/o resultados
c) Procesamiento de la información
d) Controles físicos
e) Segregación de funciones
El juicio del auditor sobre si una actividad de control es relevante para la auditoría se ve
influenciado por el riesgo que hemos identificado, y que puede dar lugar a una incorrección
material y por nuestra consideración, de que la realización de las pruebas sobre la eficacia
operativa de dicho control es probablemente adecuada para determinar la extensión de las
pruebas sustantivas.
En las hojas siguientes se incluyen los cuestionarios descriptivos de las actividades de control
identificadas para un ejemplo en el cual los procesos de negocio (descritos en el apartado 2.3.1
anterior) que se han considerado relevantes fueran los siguientes:
a) Ventas-cuentas a cobrar-cobros.
b) Compras- cuentas a pagar-pagos.
c) Gastos de personal.
Se incluye un ejemplo de la relación de las Actividades de control más relevantes del proceso
de negocio de Ingresos-cuentas a cobrar, que pueden ser identificadas y extraídas de la
descripción del proceso de negocio. Se incluyen las actividades manuales y automáticas.
21
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
22
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
23
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
24
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
25
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
26
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
4. Proceso de Mantenimiento del fichero de datos de los clientes y cuentas a cobrar (Cont.)
Actividad de Control identificada (4) Comprobaciones
# (1)Tipo (2)Releva (3)Eficaz Indagación Inspección Seguimiento Riesgo
Procesos: Mantenimiento del Observación documentos de
nte
fichero de datos de transaccione
s
clientes/cuentas a cobrar.
4. Se contrastan los cambios del
fichero de datos de clientes con la
documentación soporte
5. Periódicamente se revisa el fichero
de datos de clientes. Los errores
detectados se corrigen
C Todos los cambios en el fichero de datos de clientes se registran en el período adecuado
1. La dirección revisa periódicamente
la corrección y actualización del
fichero de datos de clientes
2. Periódicamente se revisa que las
solicitudes de cambio de datos se
han registrado correctamente
3. Las solicitudes de cambio de datos
en el fichero están pre numeradas
(o tienen un sistema alternativo),
asegurando la integridad y control
de éstas
4 Existe un proceso por el cual se
analizan y atienden todas las
llamadas y quejas recibidas de los
clientes
D El fichero de datos de clientes está correctamente actualizado
1. La dirección revisa periódicamente
la corrección y actualización del
fichero de datos de clientes
2. Existe segregación de funciones
entre encargados de mantener el
fichero y los que procesan ventas-
cuentas a cobrar
3. Periódicamente se revisan los
datos de clientes sin pedidos para
verificar su corrección.
27
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Se incluye un ejemplo de la relación de las Actividades de control más relevantes del proceso
de negocio de Compras-cuentas a pagar- pagos, que pueden ser identificadas y extraídas de la
descripción del proceso de negocio. Se incluyen las actividades manuales y automáticas.
Leyenda:
(1) P = Prevención; D = Detección/Corrección; N/A = No aplicable
(2) Lo hemos de valorar teniendo en cuenta estos factores, para determinar los CONTROLES RELEVANTES (NIA ES
315 A61): Importancia relativa, significatividad del riesgo, dimensión de la entidad, naturaleza de los organización,
diversidad y complejidad de las operaciones de la entidad, requerimientos normativos aplicables, circunstancias y
componente del control interno, naturaleza y complejidad de los sistemas de control interno y si, de forma individual
o en combinación con otros, previene o detecta y corrige una incorrección material y cómo lo hace. (Véase NIA ES
315 A89-A94)
(3) Si no se considera eficaz, no procede la comprobación (NIA ES 315 A66)
(4) Comprobaciones efectuadas: no basta con la indagación, se deben seguir los pasos mencionados (A67) y las
comprobaciones deben quedar evidenciadas en papeles de trabajo con la documentación soporte que acredite la
realización de las correspondientes comprobaciones.
28
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
29
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
2. Cuentas a pagar.
30
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
31
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
32
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
3. Pagos.
Actividad de Control identificada (4) Comprobaciones
# (1)Tipo (2)Releva (3)Eficaz Indagación Inspección Seguimiento Riesgo
Procesos: Pagos. Observación documentos de
nte transaccione
s
A Los pagos registrados en cuentas a pagar tienen su origen en hechos reales
1. Periódicamente se compara gasto
real vs presupuestado. La dirección
aprueba las desviaciones.
2. El listado de pagos a proveedores
es revisado por la dirección antes
de proceder al pago; chequeados
con su documentación soporte.
3. Los cheques devueltos se revisan
periódicamente por parte de la
dirección para identificar las causas
4. Sólo realizan transferencias
electrónicas de fondos las
personas autorizadas por la
dirección
33
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
3. Pagos (Cont.)
Actividad de Control identificada (4) Comprobaciones
# (1)Tipo (2)Releva (3)Eficaz Indagación Inspección Seguimiento Riesgo
Procesos: Pagos. Observación documentos de
nte transaccione
s
B Sólo se paga a proveedores reales
1. Todos los cheques cursados son
nominativos y cruzados para abono
en cuenta.
2. Se anexa a los pagos su
documentación soporte antes de
pasarlos a la aprobación por la
dirección
3. Existe segregación de funciones
entre las personas que solicitan
firman y envían los cheques.
4. El listado de pagos a proveedores
es revisado por la dirección antes
de proceder al pago
5. Los cheques devueltos se revisan
periódicamente por parte de la
dirección para identificar las causas
C Los pagos registrados son correctos
1. Las cuentas a pagar se concilian
con los detalles recibidos de
proveedores
2. Periódicamente se compara gasto
real vs presupuestado. La dirección
aprueba las desviaciones.
3. Se anexa a los pagos su
documentación soporte antes de
pasarlos a la aprobación por la
dirección
4. Se realizan conciliaciones bancarias
periódicamente, además de la del
cierre anual
5. Los errores detectados en el
registro de facturas, rectificativas o
abonos se corrigen de inmediato.
6. Los errores detectados en datos de
pagos se corrigen de inmediato.
D Todos los pagos son registrados correctamente
1. Las cuentas a pagar se concilian
con los detalles recibidos de
proveedores
2. Se realizan conciliaciones bancarias
periódicamente, además de la del
cierre anual
3. Los saldos con cierta antigüedad
en cuentas a pagar son revisados
por la dirección
4. Los cheques están pre-numerados,
facilitando su control e integridad.
34
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
3. Pagos (Cont.)
Actividad de Control identificada (4) Comprobaciones
# (1)Tipo (2)Releva (3)Eficaz Indagación Inspección Seguimiento Riesgo
Procesos: Pagos. Observación documentos de
nte transaccione
s
E Todos los pagos son registrados en el período adecuado
1. Se realizan conciliaciones bancarias
periódicamente, además de la del
cierre anual
2. Los pagos realizados en fechas
cercanas al cierre contable se
revisan especialmente (corte
operaciones)
35
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
36
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Se incluye un ejemplo de la relación de las Actividades de control más relevantes del proceso
de negocio de Compras-cuentas a pagar- pagos, que pueden ser identificadas y extraídas de la
descripción del proceso de negocio. Se incluyen las actividades manuales y automáticas.
Leyenda:
(1) P = Prevención; D = Detección/Corrección; N/A = No aplicable
(2) Lo hemos de valorar teniendo en cuenta estos factores, para determinar los CONTROLES RELEVANTES (NIA ES
315 A61): Importancia relativa, significatividad del riesgo, dimensión de la entidad, naturaleza de los organización,
diversidad y complejidad de las operaciones de la entidad, requerimientos normativos aplicables, circunstancias y
componente del control interno, naturaleza y complejidad de los sistemas de control interno y si, de forma individual
o en combinación con otros, previene o detecta y corrige una incorrección material y cómo lo hace. (Véase NIA ES
315 A89-A94)
(3) Si no se considera eficaz, no procede la comprobación (NIA ES 315 A66)
(4) Comprobaciones efectuadas: no basta con la indagación, se deben seguir los pasos mencionados (A67) y las
comprobaciones deben quedar evidenciadas en papeles de trabajo con la documentación soporte que acredite la
realización de las comprobaciones correspondientes.
37
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
38
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
39
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
40
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
41
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
1
Podría concluirse de esta forma::
1.-Actividades de control relevantes para la auditoría satisfactorias: ("No hay riesgos de error material identificados en la
auditoría puesto que las actividades de control establecidas, han sido diseñadas y están funcionando adecuadamente, por lo que
no hemos identificado ninguna deficiencia grave de control interno)
2.- Actividades de control relevantes para la auditoría no satisfactorias: ("Existen riesgos de error material identificados en la
auditoría puesto que las actividades de control establecidas, no han sido diseñadas y/o no están funcionando adecuadamente,
por lo que hemos identificado las siguientes deficiencias de control interno: ……..)
42
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
Cuestionario para el entendimiento del quinto componente del control interno de la entidad;
4 5
Desarrollo y
mantenimiento
del entorno
informático.
1
Ejemplos de redacción de las columnas de “Controles y procesos establecidos para el seguimiento” y de los “Procedimientos
realizados” para evaluar el seguimiento del elementos relevantes de control:
2
SUPERVISIÓN Y CONTROL DE LA FUNCION CONTABLE: a) Existe un Comité de Auditoría Interna independiente que revisa
mensualmente los EEFF, si no existe este Comité estas funciones las lleva a cabo el Consejo de Administración; b) El departamento
financiero tiene su propio proceso de revisiones y autorizaciones; se analizan las desviaciones entre datos contables vs
presupuestos (año corriente y año anterior); c) El Consejo de Administración evalúa las incidencias detectadas para corregir los
controles que no han funcionado adecuadamente; etc.
3
i) Trabajo sobre los controles generales de los sistemas de información (TI) de los registros de contabilidad.
ii) Revisión de Actas del Comité de Auditoría Interna, donde se evidencia el análisis de la evolución respecto a presupuesto y sus
consecuencia; iii) Revisión de Actas del Consejo de Administración; etc.
4
DESARROLLO Y MANTENIMIENTO DEL ENTORNO INFORMÁTICO: a) El departamento de TI verifica los controles generales del
ordenador/servidor de manera diaria; b) Algunos procesos de la entidad han sido implantados para que se ejecuten de manera
automática y de forma periódica; etc.
5
a) Trabajo sobre los controles generales de los sistemas de información (TI) de los registros de contabilidad; etc.
43
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
4 5
Reuniones
internas y
comunicaciones
para informar a la
dirección y/o
órganos de
gobierno, acerca
de la eficacia de
los controles.
1
Ejemplos de redacción de las columnas de “Controles y procesos establecidos para el seguimiento” y de los
“Procedimientos realizados” para evaluar el seguimiento del elementos relevantes de control:
2
ALCANCE Y RESPONSABILIDADES DEL DEPARTAMENTO DE AUDITORÍA INTERNA: a) El departamento de Auditoría
Interna prepara Informes con recomendaciones sobre el control interno, que son remitidos al Comité de Dirección.
Periódicamente se realiza un seguimiento del cumplimiento de estas recomendaciones; b) Existe un sólido Comité de
Auditoría compuesto por Consejeros no ejecutivos, que está bien informado y participa activamente en el control de
los procesos de negocio, para identificar los riesgos al máximo nivel. Se reúne cada trimestre, y tiene establecidas
sus funciones y responsabilidades a través de un “documento escrito”. Fundamentalmente son: revisión de los
resultados y reunión con asesores jurídicos y asesores externos para garantizar un buen gobierno corporativo. Todos
los riesgos significativos detectados son sometidos al examen y evaluación de este Comité.
3
Revisión de Actas trimestrales y obtención de los Informes de recomendaciones del departamento de Auditoría
Interna (incluidos en referencia: XXX)
4
REUNIONES INTERNAS Y COMUNICACIONES: a) Trimestralmente el Comité de Auditoría se reúne con el Consejo
para comunicarle el trabajo realizado, con referencia al análisis de procedimientos internos, de riesgos detectados,
actuaciones llevadas a cabo y de incidencias/desviaciones de los EEFF.
5
Revisión de las Actas trimestrales de las reuniones
44
Cliente: Ref.:
Ejercicio auditado: Preparado por:
Revisado por:
++++++++++++++++++++++++++++
Todos los Riesgos identificados a través del conocimiento de cada uno de los componentes del
control interno de la entidad, que se han detallado en este documento en todos los apartados
anteriores, deben ser trasladados a cuestionario nº 3 y Anexo: Matriz de riesgos para, de acuerdo
con la NIA-ES 315 #26, valorarlos, evaluar su alcance/efecto y relacionarlos con posibles
incorrecciones en las afirmaciones.
1
Podría concluirse de esta forma en función de si la entidad realiza el seguimiento de los controles establecidos, y de
la valoración que le demos al mismo y a sus resultados:
1.-Seguimiento de los controles de la entidad satisfactorio: ("No hay riesgos de error material identificados en la
auditoría puesto que la entidad realiza un seguimiento de los controles que previamente ha establecido, por lo que
no hemos identificado ninguna deficiencia grave de control interno).
2.- Seguimiento de los controles de la entidad no satisfactorio: ("Existen riesgos de error material identificados en
la auditoría puesto que la entidad no realiza un seguimiento de los controles que previamente ha establecido, o el
seguimiento no ha sido diseñado y/o no está funcionando adecuadamente, por lo que hemos identificado las
siguientes deficiencias de control interno:……).
45