1. Siempre que el auditor evalúa el riesgo de control por debajo del máximo, el auditor debe realizar pruebas de control para respaldar la evaluación de riesgo de control. El auditor no realizará pruebas de control cuando el auditor evalúe el riesgo de control al máximo, ya sea porque los controles son inadecuados o porque es ineficiente comprobar esos controles. Cuando el riesgo de control se evalúa por debajo del máximo, el auditor diseña y realiza una combinación de pruebas de control y procedimientos sustantivos.
2. OBJETIVOS DEL CONTROL INTERNO
2.1. Confiabilidad de los informes financieros.
2.2. Eficiencia y eficacia de las operaciones.
2.3. Cumplimiento con las leyes y reglamentos.
3. COMPONENTES DEL COSO DEL CONTROL INTERNO
3.1. El marco integrado de control interno de COSO, es el modelo de control interno más aceptado en Estados Unidos. Según éste el control interno consta de cinco categorías que la administración diseña y aplica para proporcionar una seguridad razonable de que sus objetivos de control se llevarán a cabo. Cada categoría contiene muchos controles, pero los auditores se concentran en aquéllos diseñados para impedir o detectar errores materiales en los estados financieros.
3.1.1. Ambiente de control.
3.1.1.1. Consiste en acciones, políticas y procedimientos que reflejan las actitudes generales de los altos niveles de la administración, directores y propietarios de una entidad en cuanto al control interno y su importancia para la organización. Con el propósito de entender y evaluar el ambiente de control, los auditores deben considerar las partes más importantes de los componentes del control.
3.1.2. Evaluación del riesgo.
3.1.2.1. Para los dictámenes financieros es la identificación y análisis de los riesgos relevantes de la administración para la preparación de los estados financieros de conformidad con los principios contables generalmente aceptados.
3.1.3. Actividades de control.
3.1.3.1. Son las políticas y procedimientos, además de las que se incluyeron en los otros cuatro componentes, que ayudan a asegurar que se implementen las acciones necesarias para abordar los riesgos que entraña el cumplimiento de los objetivos de la entidad. Potencialmente existen varias actividades de control en cualquier entidad, incluyendo los controles manuales y automáticos.
3.1.3.1.1. Separación adecuada de las responsabilidades.
3.1.3.1.2. Autorización adecuada de las operaciones y actividades.
3.1.3.1.3. Documentos y registros adecuados.
3.1.3.1.4. Control físico sobre activos y registros.
3.1.3.1.5. Verificaciones independientes referentes al desempeño.
3.1.3.2. Para entender el diseño del sistema de información contable, el auditor determina:
3.1.3.2.1. Las clases más importantes de operaciones de la entidad;
3.1.3.2.2. Cómo inician y se registran esas operaciones;
3.1.3.2.3. Qué registros contables existen y su naturaleza;
3.1.3.2.4. Cómo captura el sistema otros eventos que son importantes para los estados financieros, como disminuciones en los valores de activos;
3.1.3.3. La naturaleza y detalles del proceso de informes financieros que se siguen, incluyendo los procedimientos para asentar transacciones y ajustes en el libro mayor general
3.1.4. Información y comunicación.
3.1.5. Monitoreo.
3.1.6. Las actividades de monitoreo se refieren a la evaluación continua o periódica de la calidad del desempeño del control interno por parte de la administración, con el fin de determinar qué controles están operando de acuerdo con lo planeado y que se modifiquen según los cambios en las condiciones.
4. OBTENCIÓN Y DOCUMENTACIÓN DEL CONOCIMIENTO DE CONTROL INTERNO
4.1. Proporciona una perspectiva del proceso de conocimiento del control interno y evaluación del riesgo de control para una auditoría integrada de los estados financieros y de la eficacia del control interno sobre los informes financieros.
4.1.1. Proceso de conocimiento del control interno y evaluación del riesgo de control
4.1.1.1. Fase I
4.1.1.1.1. Obtener y documentar el conocimiento del control interno: diseño y operación
4.1.1.2. Fase II
4.1.1.2.1. Evaluación del riesgo de control
4.1.1.2.2. El propósito del sistema de información y comunicación de contabilidad de la entidad es iniciar, registrar, procesar e informar de las operaciones de la entidad y mantener la responsabilidad por los activos relacionados. Una información contable y sistema de comunicación tiene varios subcomponentes, que, por lo general, están compuestos por diferentes tipos de transacciones como ventas, devoluciones de ventas, entradas de efectivo, adquisiciones, etcétera.
4.1.1.3. Fase III
4.1.1.3.1. Diseño, realización, y evaluación de pruebas de controles
4.1.1.4. Fase IV
4.1.1.4.1. Decidir la detección planeada del riesgo y pruebas sustantivas
4.2. Cuando el auditor concluye que no es posible auditar a la entidad, se analizan las circunstancias con el cliente (por lo general, al más alto nivel directivo), ya sea que el auditor se retire del compromiso o emita un documento de renuncia en el informe de auditoría
4.2.1. Varios auditores utilizan una matriz de riesgo de control para dar apoyo al proceso de evaluación del riesgo de control. El propósito es dar una forma conveniente de organización de los elementos que pasan por la evaluación del riesgo de control para cada objetivo de auditoría relacionada con las operaciones.
4.2.1.1. Identificar los objetivos de auditoría relacionados con las transacciones
4.2.1.2. Identificación de los controles existentes
4.2.1.3. Controles asociados con los objetivos de auditoría relacionados con las transacciones
4.2.1.4. Identificación y evaluación de las deficiencias de control, deficiencias importantes y debilidades de importancia
4.2.1.4.1. Existen tres niveles de evaluación de la ausencia de controles internos para cada objetivo de auditoría relacionado con las operaciones:
4.2.1.4.2. Se puede utilizar un método de cinco pasos para identificar las deficiencias, las deficiencias importantes y las debilidades materiales:
4.3. DICTÁMENES REFERENTES AL CONTROL INTERNO DE LA SECCIÓN 404
4.3.1. El dictamen del auditor relativo al control interno debe incluir dos opiniones del auditor:
4.3.1.1. El dictamen del auditor referente a si la administración declaró de manera correcta la evaluación de la eficacia de los controles internos sobre informes financieros a partir del final del periodo fiscal, en cuanto a todos los aspectos importantes.
4.3.1.2. El dictamen del auditor acerca de si la compañía mantuvo un control interno efectivo sobre los informes financieros desde la fecha especificada, en cuanto a todos los aspectos materiales.
5. ADMINISTRACIÓN Y RESPONSABILIDADES RELACIONADAS CON EL CONTROL INTERNO
5.1. Las responsabilidades relacionadas con los controles internos de la administración y el auditor son diferentes. La administración es responsable de establecer y conservar los controles internos de la entidad.
5.1.1. Dos conceptos claves son el fundamento del diseño de la administración y la aplicación del control interno, la seguridad razonable y limitaciones inherentes.
5.1.1.1. Seguridad razonable Una compañía debe desarrollar controles internos que proporcionen una seguridad razonable, pero no absoluta, de que los estados financieros se presentan de manera imparcial. La administración desarrolla los controles internos después de considerar los costos y beneficios de los controles.
5.1.1.2. Limitaciones inherentes Los controles internos nunca se deben considerar totalmente eficaces, a pesar del cuidado que se tenga en su diseño e instrumentación. Aun cuando el personal de sistemas diseñe un sistema ideal, su eficacia dependerá de la competencia y confiabilidad de las personas que lo utilicen.
6. EVALUACIÓN, DICTAMEN Y PRUEBAS DEL CONTROL INTERNO PARA COMPAÑÍAS NO PÚBLICAS
6.1. Identificación y análisis de las diferencias más importantes al evaluar, informar y comprobar el control interno de las compañías no públicas.
6.1.1. Requisitos de los dictámenes.
6.1.1.1. La diferencia más importante relacionada con los controles internos entre las auditorías de compañías públicas y no públicas es la falta de exigencia de una auditoría de controles internos sobre los informes financieros para las compañías no públicas. Como resultado, el auditor se enfoca sólo en el control interno lo necesario como para realizar una auditoría de calidad a los estados financieros.
6.1.2. Amplitud de los controles internos requeridos.
6.1.2.1. La administración, no el auditor, tiene la responsabilidad de establecer controles internos adecuados en las compañías no públicas, justo como la administración de compañías públicas. Si el ambiente de control o documentación no es el adecuado, el auditor puede decidir retirarse del compromiso o emitir una negativa de opinión.
6.1.3. Grado de conocimiento necesario.
6.1.3.1. Los estándares de auditoría requieren que el auditor obtenga un conocimiento suficiente del control interno para evaluar el riesgo de control. En la práctica, los procedimientos para ganar un conocimiento del control interno varían de manera considerable de cliente en cliente
6.1.4. Amplitud necesaria de las pruebas de control.
6.2. Evaluación del riesgo de control.
6.2.1. La diferencia más importante en una compañía no pública en la evaluación del riesgo de control es la capacidad de evaluar el riesgo de control al máximo para cualquiera o todos los objetivos relacionados con el control. El auditor puede evaluar cualquier objetivo para cualquiera de estas dos razones: 1) los controles internos para el objetivo no existen o son inefectivos, o 2) es más costoso realizar las pruebas de control que las reducciones de costos que resultarían de pruebas sustantivas reducidas.