Por: CP Felipe Alberto Pérez Hernández. Colaborador de Auditool
PRUEBAS DE CONTROL
Las pruebas de controles le permiten al auditor evaluar el riesgo de control. Esta evaluación es determinante con respecto al cumplimiento de los objetivos de auditoría relevantes. Por tanto, el riesgo de control es el riesgo de que los controles establecidos por el cliente no prevengan ni detecten una incorrección significativa.
La combinación del riesgo inherente y el riesgo de control conforman el Riesgo de Incorrección Material (RMM por sus siglas en inglés). Basados en esto, se determina la cantidad de evidencia de auditoría que es necesaria recaudar con los procedimientos sustantivos, para reducir el riesgo de auditoría a un nivel aceptable.
A continuación, se exponen las orientaciones generales para el auditor al realizar las pruebas de control.
1. Pruebas de controles
Las pruebas de controles se realizan solo sobre aquellos controles que el auditor haya considerado adecuadamente diseñados para prevenir, o para detectar y corregir, una incorrección material en una afirmación relevante y cuando el auditor tenga previsto comprobar esos controles. Si se utilizaron controles sustancialmente diferentes en distintos momentos durante el período que se audita, cada uno se considera de forma separada.
La realización de pruebas sobre la eficacia operativa de los controles no es lo mismo que la obtención y evaluación de su diseño e implementación. Sin embargo, se utilizan los mismos tipos de procedimientos de auditoría. En consecuencia, es posible que el auditor decida que resulta eficiente probar la eficacia operativa de los controles al mismo tiempo que evalúa su diseño y se determina si han sido implementados.1
2. Pasos a seguir
Al planear la obtención de la evidencia de auditoría para las pruebas de controles, se siguen los siguientes pasos:
- Probar y evaluar el diseño de control.
- Probar y evaluar el funcionamiento del control.
2.1 Prueba y evaluación del diseño de un control
Cuando probamos y evaluamos el diseño de un control, evaluamos su potencial.
Se recauda evidencia de auditoría para probar la efectividad de un control, si está funcionando adecuadamente. Si los resultados de las pruebas señalan que es así, quiere decir que el diseño del control es adecuado y nos da luz verde para avanzar con la obtención de la evidencia.
Se establece el grupo de controles que puede aportar la evidencia de auditoría necesaria de la manera más efectiva. Luego se planean las pruebas de su diseño y funcionamiento. Preferiblemente, se prueban los controles de alto nivel sobre los de bajo nivel.
En primer lugar, se prueba el diseño de un control comparándolo con los puntos de referencia con los que cuenta el auditor, con base en su experiencia profesional y académica. Se prueba si el control puede prevenir irregularidades y errores significativos, o detectarlos y corregirlos, es decir si funciona de acuerdo con su diseño.
Si se concluye que el control puede hacerlo, se evalúa el diseño como satisfactorio para los objetivos propuestos.
En sentido contrario, si se considera que no es efectivo para prevenir o detectar errores, la evaluación del diseño no será satisfactoria. Por lo tanto, el riesgo de control es alto y no se puede disminuir mediante pruebas del funcionamiento del control. En ese orden de ideas, se debe informar inmediatamente a la gerencia de la debilidad potencial, junto con las recomendaciones de mejora. Los procedimientos de auditoría planeados seguramente serán modificados.
2.2 Cómo probar y evaluar el funcionamiento de un control
Los procedimientos de control auditados pueden depender de cualquiera de los cinco componentes de control interno, a saber: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión y monitoreo.
Dependiendo de los resultados de las pruebas del funcionamiento de un control, se confirma o se modifica la evaluación preliminar del riesgo de control en relación con el objetivo de auditoría correspondiente. Si la modificación obedece a un resultado desfavorable, proveemos retroalimentación constructiva a la gerencia y se sopesa el efecto del enfoque de auditoría inicialmente planeado.
3. Técnicas
El cuadro que se presenta a continuación describe las formas como se puede probar el funcionamiento de los controles
|
Técnica |
Descripción |
Ejemplo |
|
Observación |
Ver cómo se ejecuta el procedimiento. De esta manera se obtiene evidencia de que el control funciona en el momento que se realizó la prueba de auditoría. |
Alto nivel. Se observan los procedimientos de conteo del inventario cíclico. Bajo nivel. Se observa cómo un empleado captura los datos para confirmar los controles que rigen su entrada. |
|
Indagación |
Solicitar información financiera o no financiera a una persona bien informada. Las respuestas a las indagaciones pueden proporcionar al auditor información que no poseía previamente o evidencia de auditoría corroborativa. |
Alto nivel. Se indaga sobre el control de crédito: qué tamaño y antigüedad de las deudas se pretende cobrar; cuáles medidas de seguridad se toman. Bajo Nivel. Se indaga sobre los procedimientos para capturar ingresos de efectivo. |
|
Inspección |
Es el examen de registros o de documentos, ya sean internos o externos, o un examen físico sobre un elemento o activo. El examen de los registros o documentos proporciona evidencia de auditoría con diferentes grados de fiabilidad, dependiendo de la naturaleza y la fuente de aquellos y, en el caso de registros de documentos internos, de la eficacia de los controles sobre su elaboración. |
Alto nivel. Se inspecciona la conciliación bancaria para obtener evidencia del manejo del efectivo. Bajo nivel. Se inspecciona un informe de excepciones de modificaciones importantes al archivo maestro de precios en busca de evidencia de revisión y acción. |
|
Repetición |
Consiste en realizar una actividad por segunda vez para determinar que el empleado que efectúa el control lo hizo correctamente. Normalmente, se realizan cálculos, comparación, indagación, inspección y observación. |
Alto nivel. Se repite la liquidación de las partidas significativas en una conciliación del estado de un proveedor de importancia. Bajo nivel. Mientras se observa un chequeo del inventario, se repite la selección de conteos para confirmar el cumplimiento de los procedimientos del cliente. |
4. Cómo probar los procesos totalmente computarizados
4.1 ¿Cómo reconoce la gerencia que sus procesos computarizados funcionan?
En principio, es válido afirmar que, en la medida que un proceso computarizado se programe correctamente, siempre va a procesar la información en forma completa y con exactitud. El uso de herramientas de gestión de procesos de auditoría como las analytics que tienen como objetivo el tratamiento, inspección y transformación de los datos para obtener conclusiones que sirvan de base para la toma de decisiones en el ámbito de auditoría2 permite mejorar la eficiencia y la calidad de las firmas de auditoría y, de paso, contribuir para que la gerencia se sienta segura y confíe en el funcionamiento del proceso.
4.2 ¿Cómo nos satisfacemos con respecto a los sistemas existentes?
Para evaluar los sistemas existentes es mejor tener un enfoque detector y considerar el funcionamiento de los controles más que su diseño. Se puede pedir la opinión de los usuarios acerca del proceso e investigar sobre los niveles de solicitudes de modificaciones a programas y errores que se notifican. Como alternativa, si resulta favorable en costo/beneficio, se puede probar la operación del proceso con datos de prueba, lo que conlleva la aprobación del cliente y, en ocasiones, la participación de un especialista de TI.
4.3 ¿Cómo nos satisfacemos con respecto a los sistemas nuevos?
Es necesario prestar mayor atención en los casos en que se hayan registrado cambios notables o que estén próximos a ocurrir dentro del período objeto del examen.
Para obtener la certeza de que el sistema es efectivo, puede que se requiera considerar si los controles sobre el desarrollo y mantenimiento de los sistemas de aplicación funcionaron cuando el proceso se programó o se adquirió; es decir, considerar la aplicación específica más apropiada de este elemento de los controles generales de TI.
Como alternativa, se puede trabajar con datos de prueba. En este sentido, la gerencia normalmente habrá utilizado datos de prueba o un funcionamiento paralelo con datos reales para probar el programa. Normalmente para el auditor es más eficiente revisar las pruebas de la gerencia, en lugar de desarrollar y probar un programa de prueba propio.
4.4 Consideración final
La Norma Internacional de Auditoría (NIA) 315 (Revisada 2019) “Identificación y valoración del riesgo de incorrección material” requiere que el auditor identifique los riesgos relacionados que surgen del uso de TI y los controles generales de la entidad que abordan dichos riesgos. Para cada uno de estos controles identificados, debe evaluarse si el control está diseñado de manera efectiva para respaldar el funcionamiento de otros controles e informar lo relacionado con su implementación. En caso de identificarse deficiencias de control, el auditor debe considerar el impacto que pueden tener en el diseño de procedimientos de auditoría adicionales, de acuerdo con lo previsto en la norma NIA 330 –Respuestas del auditor a los riesgos evaluados3.
- Norma Internacional de Auditoría (NIA) 315 (Revisada 2019) “Identificación y valoración del riesgo de incorrección material”
- https://www.icjce.es/adjuntos/transf-digital.pdf
- https://www.auditool.org/blog/auditoria-externa/8775-el-auditor-y-los-controles-generales-de-tecnologia-de-la-informacion
CP Felipe Alberto Pérez Hernández. Colaborador de Auditool
Y luego Agregar a la pantalla de inicio.