Al momento de evaluar el diseño e implementación de los controles, primero debemos considerar el diseño del control y si este ha sido diseñado de manera efectiva, luego evaluamos también si se implementó de manera efectiva para prevenir, o detectar y corregir, errores materiales.

De acuerdo a la NIA 315, la evaluación del diseño de un control requiere considerar si el control, ya sea individualmente o en combinación con otros, es capaz de prevenir, o detectar y corregir, errores materiales con efectividad. La implementación de un control quiere decir que este existe y que la entidad lo está usando. No tiene ningún sentido evaluar la implementación de un control que no es efectivo, por lo que primero se considera su diseño. Un control mal diseñado puede representar una deficiencia considerable en el control interno.

Los procedimientos de evaluación de riesgos para obtener evidencia de auditoría sobre el diseño y la implementación de controles relevantes, deben incluir:

• Las indagaciones con el personal de la entidad
• Observar la aplicación de controles específicos, inspeccionar documentos e informes, y
• Rastrear, a través del sistema de información, las transacciones que sean relevantes a la emisión de información financiera.

Cabe resaltar, que las indagaciones por sí solas no son suficientes para evaluar el diseño y la implementación de los controles relevantes.

Podemos hacer pruebas de recorrido como parte de obtener un entendimiento del sistema de información relevante a la emisión de información financiera para identificar y entender mejor lo que podría fallar en el proceso e identificar los controles relevantes que la gerencia haya implementado para cubrir lo que podría fallar. Con esto se puede obtener información suficiente para poder evaluar el diseño e implementación de los controles relevantes sin tener que hacer procedimientos adicionales. Si hemos hecho una prueba de recorrido que incluye una combinación de indagación, observación o inspección, esto generalmente es suficiente para evaluar el diseño e implementación de controles.

Cuando estemos evaluando el diseño e implementación de un control, podemos considerar:

• El objetivo del control
• Cómo se hace y documenta, incluyendo la naturaleza y el tamaño de los errores potenciales cubiertos y las consideraciones sobre computación para el usuario final
• La naturaleza del control
• Si el control cubre un riesgo de fraude con qué frecuencia se aplica
• El conocimiento, la experiencia y las habilidades de la persona que lo ejecuta, estableciendo si se trata de un control manual o de un control manual con un componente automatizado
• La aplicación de TI relacionada, de haberla
• Si el control depende de información producida por la entidad
• Si el control cubre las consideraciones del usuario para una organización de servicios el nivel de juicio requerido
• Si la entidad consideró debidamente los factores internos y externos que pueden afectar el diseño del control

Cuando evaluamos el diseño e implementación de controles, podemos concentrarnos en combinaciones de controles, además de controles específicos aislados, para determinar si se han alcanzado los objetivos del control. También podemos considerar la evidencia de auditoría obtenida de nuestra experiencia anterior con la entidad.

Cuando la gerencia no haya documentado el control, podremos considerar el impacto que esto tenga sobre nuestra evaluación del diseño e implementación del control.

Cuando ocurre un fallo en el diseño o implementación de un control durante una parte específica del periodo que se está auditando, el impacto sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría se puede considerar por separado.

Una deficiencia de control existe cuando el diseño o implementación del control relevante no es efectivo. En este caso no podemos hacer pruebas de la eficacia operativa de esos controles.

Una entidad más pequeña y menos compleja podría alcanzar sus objetivos de control relevantes a nuestra evaluación de los riesgos de error material de una manera diferente a la utilizada por una organización más grande y más compleja.

De acuerdo a la NIA 500, las pruebas de controles se diseñan para evaluar la eficacia operativa de los controles para prevenir, o detectar y corregir, errores materiales a nivel de aseveraciones. El diseño de las pruebas de controles para obtener evidencia de auditoría relevante incluye identificar condiciones (características o atributos) que indican el desempeño de un control, y condiciones de desviación que indican que se apartan de un desempeño adecuado. Después nosotros podemos probar la presencia o ausencia de esas condiciones.

Por otra parte la NIA 330, señala que la prueba de controles es un procedimiento de auditoría diseñado para evaluar la eficacia operativa de los controles para prevenir, o detectar y corregir, los errores materiales a nivel de aseveraciones, y que probar la eficacia operativa de los controles es diferente a obtener un entendimiento y evaluar el diseño e implementación de los controles. No obstante, se emplean los mismos procedimientos. Por lo tanto, podremos decidir que sea eficiente probar la eficacia operativa de los controles al mismo tiempo que evaluamos su diseño y determinamos que han sido implementados.

Además, aunque algunos procedimientos de evaluación de riesgos tal vez no hayan sido diseñados específicamente como pruebas de controles, estos pueden proporcionar evidencia de auditoría sobre la eficacia operativa de los controles y, por consiguiente, servir como pruebas de controles. Por ejemplo, nuestros procedimientos para la evaluación de riesgos pueden haber incluido hacer indagaciones sobre el uso de presupuestos por la gerencia, observar la comparación que hace la gerencia de los gastos mensuales con los reales, e inspeccionar informes sobre la investigación de variaciones entre los montos presupuestados y reales. Estos procedimientos de auditoría brindan conocimiento sobre el diseño de las políticas presupuestarias de la entidad y si han sido implementadas, pero también pueden proporcionar evidencia de auditoría sobre la efectividad de la operación de las políticas presupuestarias en la prevención o detección y corrección de errores materiales en la clasificación de los gastos.

Las pruebas de recorrido que incluyen una combinación de indagación, observación, inspección y repetición de los controles pueden ser suficientes para probar la eficacia operativa de los controles, dependiendo de la combinación de procedimientos realizados, el riesgo de fallo del control, la naturaleza, la oportunidad y el alcance de las pruebas de la eficacia operativa y los resultados de esos procedimientos.

La NIA 315, señala que obtener un entendimiento de los controles de una entidad no basta para probar su eficacia operativa, a menos que exista alguna automatización que contemple la operación uniforme de los controles. Por ejemplo, la obtención de evidencia de auditoría sobre la implementación de un control manual en determinado momento no proporciona evidencia de auditoría sobre la eficacia operativa del control en otros momentos durante el periodo que se está auditando.

Sin embargo, en el caso de un control automatizado, debido a la uniformidad inherente del procesamiento de TI, la realización de procedimientos de auditoría para determinar si se ha implementado un control automatizado puede servir como una prueba de la eficacia operativa, dependiendo de nuestra evaluación y pruebas de controles como las que hay sobre los cambios de programas.

Cuando evaluamos el diseño y la implementación de los controles de una entidad, debemos tener en cuenta la adecuada segregación de funciones que deben existir en estos, para garantizar transparencia en la ejecución de los controles. Adicionalmente cuando se presenten diseños e implementación inefectivos en los controles, debemos buscar controles alternos que puedan cubrir los objetivos de control dejados de probar con los resultados negativos.

Equipo Auditool