Evaluación de Riesgos y Control Interno: Guía para Auditores

1. Evaluación del Diseño de las Actividades de Control

En la comprensión del componente "Evaluación de Riesgo", se debe considerar la evaluación del diseño de las actividades de control. Esto implica identificar cómo la empresa está administrando el riesgo, incluyendo la forma en que visualiza el proceso de elaboración de la probabilidad de ocurrencia e impacto.

2. Prueba del Sistema de Control Interno

El auditor no siempre debe probar el sistema de control interno pertinente a la presentación y preparación de los estados financieros. Es obligatorio cuando los procedimientos sustantivos por sí solos no son suficientes para obtener la suficiente evidencia de auditoría. Será opcional cuando el auditor decida adoptar una estrategia de confianza en los controles.

3. Seguridad de Control vs. Seguridad Sustantiva

La evidencia de auditoría es la suma de la seguridad de control y la seguridad sustantiva:

• Seguridad de control: se obtiene a través de la verificación de la eficacia operativa de los controles.
• Seguridad sustantiva: se obtiene a través de los procedimientos sustantivos y su objetivo es la verificación de la representación incorrecta significativa a través de saldos y transacciones.

4. Responsabilidad por el Sistema de Control Interno

El auditor interno de una compañía tiene como objetivo verificar la eficacia operativa de los controles de forma interna. Sin embargo, el gobierno corporativo o la administración son los responsables del diseño, la mantención y la implementación del sistema de control interno (gerencia general y la administración).

5. Consideraciones para Pruebas de Control en Fecha Intermedia

Al diseñar las pruebas de control aplicadas en una fecha intermedia, el auditor debe considerar:

• Generar pruebas de conexión.
• Actualizar el entendimiento del sistema de control interno para verificar si hay que generar cambios.
• Verificar la implementación frente a cambios que se pudieran haber generado en el periodo de la eficacia operativa y al 31 de diciembre.

6. Respuesta del Auditor ante la Imposibilidad de Verificar la Eficacia Operativa

Si el auditor no puede verificar la eficacia operativa de una actividad de control, debe:

1. Buscar una actividad compensatoria. Si esta actividad compensatoria es efectiva, se obtiene seguridad de control. Si no es efectiva, la actividad de control está mal diseñada o implementada.
2. Evaluar el impacto en la definición de la opinión, la naturaleza, oportunidad y alcance de los procedimientos sustantivos.
3. Si no es posible obtener la evidencia de los procedimientos sustantivos, evaluar el potencial impacto en el informe del auditor independiente.