BOLETIN 3050 COMPLETO

1

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Índice Párrafos Generalidades ... 1y2 3

Alcance y limitaciones ... Objetivo ... 4

Definición y elementos de la estructura del control interno ... Consideraciones generales ... Evaluación preliminar ... 24 a 30

5 a 23

31 a 34

El Procesamiento Electrónico de Datos (PED) al evaluar la estructura del control interno ... 35 36 a 40

Pruebas de cumplimiento y evaluación final ... Comunicación de situaciones a informar ... Forma y contenido del informe ... 48 a 51 Vigencia ... 52 Apéndices: I. II. Factores del ambiente de control Situaciones a informar

41 a 47

III. Ejemplo de carta introductoria al informe sobre asuntos relacionados con la estructura del control interno IV. Aplicación de los elementos de control interno en entidades pequeñas

1|Page

2

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Generalidades El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la norma de ejecución del trabajo que requiere que: “El auditor debe efectuar un estudio y evaluación adecuado del control interno existente, que le sirva de base para determinar el grado de confianza que va a depositar en él y le permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoría”. 1 El conocimiento y evaluación del control interno deben permitir al auditor establecer una relación específica entre la calidad del control interno de la entidad y la naturaleza, alcance y oportunidad de las pruebas de auditoría. Por otra parte, el auditor deberá comunicar las debilidades o desviac

iones al control interno del cliente que son definidas en este boletín como situaciones a informar. 2 Alcance y limitaciones Este Boletín trata sobre el estudio y evaluación del control interno que el auditor efectúa en una revisión de estados financieros practicada conforme a las Normas de Auditoría Generalmente Aceptadas, y no se refiere a la opinión que el auditor emite sobre el control interno contable existente en una entidad, la cual es tratada en el Boletín 4100 de esta misma Comisión. 3

2|Page

3

Objetivo El objetivo de este Boletín es definir los elementos de la estructura del control interno y establecer los pronunciamientos normativos aplicables a su estudio y evaluación, como un aspecto fundamental al diseñar la estrategia de auditoría, así como señalar los lineamientos que deben seguirse al informar sobre debilidades o desviaciones al control interno. 4 Definición y elementos de la estructura del control interno La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad razonable de poder lograr los objetivos específicos de la entidad. Dicha estructura consiste en los siguientes elementos: a) El ambiente de control. b) La evaluación de riesgos. c) Los sistemas de información y comunicación. d) Los procedimientos de control. e) La vigilancia. 5

La división del control interno en cinco elementos proporciona al auditor una estructura útil para evaluar el impacto de los controles internos de una entidad en la auditoría. Sin embargo, esto no necesariamente refleja cómo una entidad considera e implementa su control int

erno; asimismo, la primera consideración del auditor se refiere a cómo un control específico afecta las aseveraciones en los estados financieros más que su clasificación en uno de los

3|Page

4

elementos de control interno, antes mencionados, en particular. 6 A) El ambiente de control El ambiente de control representa la combinación de factores que afectan las políticas y procedimientos de una entidad, fortaleciendo o debilitando sus controles. Estos factores son los siguientes: a) Actitud de la Administración hacia los controles internos establecidos: El hecho de que una entidad tenga un ambiente de control satisfactorio depende fundamentalmente de la actitud y las medidas de acción que tome la administración que de cualquier otra cosa. Si el compromiso para ejercer un buen control interno es deficiente, seguramente el ambiente de control será deficiente. La efectividad del control interno depende en gran medida de la integridad y de los valores éticos del personal que diseña, administra y vigila el control interno de la entidad. b) Estructura de organización de la entidad: Si el tamaño de la estructura de la organización no es apropiado para las actividades de la entidad, o el conocimiento y la experiencia de los gerentes y personal clave no es la adecuada, puede existir un mayor riesgo en el debilitamiento de los controles. c) Funcionamiento del consejo de administración y sus comités: Las actividades del consejo de administración y otros comités pueden ser importantes para fortalecer los controles, siempre y

4|Page

5

cuando éstos sean participativos y sean independientes de la Dirección. d)

Métodos para asignar autoridad y responsabilidad: Es importante que la asignación de autoridad y responsabilidad esté acorde con los objetivos y metas organizacionales, y que éstos se hagan a un nivel adecuado, sobre todo las autorizaciones para cambios en políticas o prácticas. e) Métodos de control administrativo para supervisar y dar seguimiento al cumplimiento de las políticas y procedimientos, incluyendo la función de auditoría interna: El grado de supervisión continua sobre la operación que lleva a cabo la Administración, da una evidencia importante de si el sistema de control interno está funcionando adecuadamente y de si las medidas correctivas se realizan en forma oportuna. f) Políticas y prácticas de personal: La existencia de políticas y procedimientos para contratar, entrenar, promover y compensar a los empleados, así como la existencia de códigos de conducta u otros lineamientos de comportamiento, fortalecen el ambiente de control. g) Influencias externas que afectan las operaciones y prácticas de la entidad. La existencia de canales de comunicación con clientes, proveedores y otros entes externos que permitan informar o recibir información sobre las normas éticas de la entidad o sobre cualquier cambio en las necesidades de la misma, así como el

5|Page

6

seguimiento a dichas comunicaciones, fortalecen los controles de una entidad. 7 La calidad del ambiente de control es una clara indicación de la importancia que la Administración de la entidad le da a los controles establecidos. 8 B) La evaluación de riesgos Una evaluación de riesgos de una entidad en la información financiera es la identi

ficación, análisis y administración de riesgos relevantes en la preparación de estados financieros que pudieran evitar que éstos estén razonablemente presentados de acuerdo con las Normas de Información Financiera o cualquier otra base de contabilidad aceptada. Por ejemplo, la evaluación de riesgos puede contemplar cómo la entidad considera la posibilidad de transacciones no registradas o cómo identifica y analiza estimaciones o provisiones importantes en los estados financieros. Los riesgos relevantes para la emisión de reportes financeros confiables, también se refieren a eventos o transacciones específicas. 9 Riesgos relevantes a la información financiera incluyen eventos o circunstancias externas e internas que pueden ocurrir y afectar la habilidad de la entidad en el registro, procesamiento, agrupación o reporte de información, consistente con las aseveraciones de la Administración en los estados financieros. Estos riesgos podrán surgir o cambiar, derivado de circunstancias como las que se mencionan a continuación:

6|Page

7

— Cambios en el ambiente operativo: Cambios en reglas o en la forma de realizar las operaciones pueden resultar en diferentes presiones competitivas y, por lo tanto, en riesgos diferentes. — Nuevo personal: El nuevo personal puede tener un enfoque diferente en relación con el control interno. — Sistemas de información nuevos o rediseñados: Cambios significativos y rápidos en los sistemas de información pueden cambiar el riesgo relativo al control interno. — Crecimientos acelerados: Un crecimiento acelerado en las operaciones puede forzar demasiado los controles y crear el ries

go de que éstos no se lleven a cabo o se ignoren. — Nuevas tecnologías: La incorporación de nuevas tecnologías dentro de los procesos productivos o los sistemas de información pueden cambiar los riesgos asociados con el control interno. — Nuevas líneas, productos o actividades: El incorporarse en negocios o transacciones en donde la entidad tiene poca experiencia, puede crear nuevos riesgos asociados con el control interno. — Reestructuraciones corporativas: Las reestructuraciones pueden estar acompañadas de reducción de personal y cambios en la supervisión y segregación de funciones, que pueden traer cambios en los riesgos asociados con el control interno. — Cambios en Normas de Información Financiera: La adopción de una nueva norma de información financiera o un cambio en las ya existentes, puede afectar los riesgos relacionados con la preparación de los estados financieros.

7|Page

8

— Personal con mucha antigüedad en el puesto: Una persona con mucha antigüedad en el puesto puede ignorar los controles por exceso de confianza, inercias o vicios adquiridos. — Operaciones en el extranjero: La expansión o adquisición de operaciones en

...