Informe de Control Interno y de Valoración del Riesgo

Definición de control interno y componentes de control interno

El control interno es el proceso, concebido y puesto en marcha por los responsables, la dirección y
otro personal para garantizar razonablemente la consecución de los objetivos de la entidad en
relación con la fiabilidad de la información financiera, la efectividad y eficiencia de las operaciones
y la conformidad con las leyes y reglamentos. El control interno consta de los siguientes
componentes:

• El entorno del control.

• El proceso de evaluación del riesgo de la entidad.

• El sistema de información, incluidos los procesos de negocio conexos, relevante para la

información financiera y la comunicación.

• Actividades de control; y

• La supervisión de los controles

La división del control interno en estos cinco componentes ofrece un marco útil para que el Auditor
calibre cómo los diferentes aspectos del sistema de control interno de una entidad pueden afectar
a la auditoría. La principal preocupación del Auditor debe ser si (y de qué manera) un control
previene, o detecta y corrige, inexactitudes importantes, más que la clasificación de dicho control
dentro de un componente determinado. El Auditor puede usar diferente terminología para describir
los diferentes aspectos de un control pero los componentes citados pueden ser útiles en las
auditorías de sistemas de operaciones de ayuda exterior.

Tamaño y complejidad de la Entidad

El modo en que se conciben y aplican los controles internos varían dependiendo del tamaño y la
complejidad de la Entidad. Concretamente, las entidades más pequeñas suelen usar menos
mecanismos formales y procesos y procedimientos más simples para conseguir sus objetivos Por
ejemplo, entidades pequeñas con una implicación activa de la dirección pueden no tener amplias
descripciones de procedimientos contables o políticas escritas detalladas. En algunas entidades,
especialmente las muy pequeñas, la dirección o los gerentes pueden llevar a cabo funciones que en
entidades más grandes se clasificarían como pertenecientes a varios componentes del control
interno. De modo que los componentes del control interno en las entidades más pequeñas pueden
no estar claramente diferenciados, pero sus propósitos son igualmente válidos.

ISA 315 Conocimiento de la Entidad y de su Entorno y Evaluación de los Riesgos de Inexactitudes

Importantes; Párrafos 100-119 Evaluación de los riesgos de inexactitudes importantes; Apéndice 3
Condiciones y sucesos que pueden indicar riesgos de inexactitudes importantes.

Límites del control interno

El control interno, independientemente de lo bien que sea concebido y aplicado, únicamente puede
ofrecer a la entidad una garantía razonable sobre la consecución de sus objetivos relativos a la
información financiera. La probabilidad de conseguirlos está sometida a limitaciones inherentes al
control interno. Entre esas limitaciones está el hecho de que las decisiones humanas pueden ser
erróneas y que por tanto pueden producirse disfunciones en el control interno a raíz de fallos
humanos. Se puede concebir correctamente los controles internos pero no ser comprendidos por
los individuos que deben aplicarlos.

Además, los controles pueden ser evadidos por la colusión de dos o más personas o por una gestión
inapropiada que anule el control interno.

Las entidades más pequeñas a menudo tienen solo unos cuantos empleados, lo cual puede limitar
la división de tareas. Sin embargo, para ámbitos clave, incluso en una entidad muy pequeña, puede
ser viable aplicar algún nivel de división de tareas u otros controles poco sofisticados pero efectivos.
La posibilidad de que la dirección anule los controles depende en gran medida del entorno del
control y en particular de las posturas de la dirección acerca de la importancia del control interno.

El entorno del control

El entorno del control incluye las funciones de gestión y dirección y las actitudes, el interés y las
acciones de sus responsables respecto al control interno de la entidad y su importancia dentro de
ella. El entorno del control marca el tono de una organización e influye en la concienciación sobre
el control de su personal. La base de un control interno efectivo es aportar disciplina y estructuras.
La principal responsabilidad en la prevención y detección de fraudes y errores reside en los cargos
de dirección y gestión de una entidad. El entorno del control incluye los siguientes elementos:

• La transmisión y reforzamiento de la integridad y los valores éticos;

• El compromiso de la dirección con la competencia (habilidades y conocimientos requeridos);

• Participación de quienes rigen la entidad en sus procesos y actividades;

• Principios de gestión y estilo de funcionamiento;

• Estructura organizativa (estatutos)

• Delegación de autoridad y responsabilidad (incluidas las relacionadas con la elaboración de

informes);

• Política y prácticas de recursos humanos (p.ej. contratación, salarios, delimitación de

trabajos)

Aplicación a entidades pequeñas

En las entidades más pequeñas lo antedicho puede aplicarse de manera diferente que en las
entidades más grandes. Por ejemplo: puede que las entidades pequeñas no tengan un código formal
de conducta pero que enfaticen la importancia de la integridad y el comportamiento ético a través
de la transmisión oral y el ejemplo del personal directivo.

Proceso de evaluación de riesgos

El proceso de evaluación de riesgos de una identidad consiste en la identificación de riesgos (para

sus objetivos, sus actividades y para cualquier cuestión relevante para la información financiera),
calculando su importancia, evaluando la probabilidad de su materialización y decidiendo sobre las
acciones para gestionarlos. Si el proceso de evaluación de riesgos de la entidad es apropiado para
sus circunstancias, ayudará al Auditor a identificar riesgos de errores materiales. Los riesgos pueden
ser tanto internos como externos (a menudo definidos como inherentes).

Aplicación a entidades pequeñas

Los conceptos básicos de la evaluación de riesgos son pertinentes para toda entidad, sin importar
su tamaño, pero el proceso de evaluación de riesgos suele ser menos formal y estructurado en
entidades pequeñas que en grandes. En dichas entidades el Auditor debe debatir con la dirección
acerca de cómo ésta identifica y afronta los riesgos

Sistemas de información

Un sistema de información consta de infraestructura (componentes físicos y hardware), software,

gente, procedimientos y datos. La infraestructura y el software estarán ausentes, o tendrán poca
importancia, en sistemas exclusiva o principalmente manuales. Muchos sistemas de información
hacen un amplio uso de las tecnologías de la información.

El sistema de información relevante para los objetivos de la información financiera, que incluye
tanto ésta como el sistema contable, consiste en los procedimientos y registros establecidos para
iniciar, registrar, procesar e informar de transacciones de la entidad (así como de sucesos y
condiciones) y para mantener la contabilidad de los activos, los pasivos, los ingresos y los gastos
relacionados. Un sistema de información consta de los siguientes elementos:

• Clases de transacciones en las actividades de la entidad relevantes para la información

financiera (p.ej. la adquisición de activos, los pagos de salarios, los desembolsos de efectivo, los
tipos de gasto y los procedimientos relacionados);

• Procedimientos (tanto mediante sistemas informatizados como manuales) por los cuales
dichas transacciones son iniciadas, registradas, procesadas y declaradas en los informes financieros.

• Los registros contables relacionados, tanto electrónicos como manuales, que guarden la
información, y las cuentas específicas en los informes financieros, relativas al comienzo, al registro,
al procesamiento y a la declaración de dichas transacciones.

• Cómo el sistema de información capta, además de clases de transacciones, sucesos y

condiciones importantes para la información financiera.

• El proceso de preparación del informe financiero o equivalente (p.ej. un estado de ingresos

y gastos) de la entidad, incluyendo presupuestos contables y declaraciones.
 Aplicación a pequeñas entidades

Los sistemas de información y los negocios y procesos de actividad relacionados relevantes para la
información financiera suelen ser menos formales en pequeñas entidades que en entidades más
grandes, pero su papel es igual de importante. Las entidades pequeñas con una implicación activa
de la dirección puede que no necesiten descripciones exhaustivas de procedimientos contables,
registros contables sofisticados o políticas escritas. La comunicación puede ser menos formal y fácil
de conseguir en una entidad pequeña que en una más grande, debido al tamaño y a los pocos niveles
existentes, así como a la visibilidad y disponibilidad de la dirección.

Actividades de control

Las actividades de control son las políticas y procedimientos que ayudan a garantizar que se llevan
a cabo las directrices de gestión; por ejemplo, que se toman las acciones necesarias para afrontar
los riesgos que amenazan la consecución de los objetivos de la entidad. Las actividades de control,
sea mediante sistemas tecnológicos o manuales, tienen varios objetivos y se aplican a varios niveles
organizativos y de funcionamiento. Por lo general, las actividades de control se clasifican como
políticas y procedimientos relativos a lo siguiente:

• Autorización.

• Revisiones de desarrollo, incluyendo revisiones y análisis del desarrollo real en comparación

con los presupuestos; interrelacionando conjuntos de datos (operativos y financieros), junto a
análisis de relaciones y acciones de investigación y correctivas, revisión del desarrollo funcional o de
las actividades.

• Procesamiento de la información. Diversos controles efectuados para comprobar la

precisión, la plenitud y la autorización de las transacciones. Los dos grandes grupos de actividades
de control de los sistemas de información son los controles de aplicación y los controles generales
de TI.

• Controles físicos. Estas actividades abarcan la seguridad física de los activos, incluida su
protección adecuada, como filtros para el acceso a los activos y los registros; autorización para el
acceso a programas informáticos y bases de datos; y contabilidad periódica y comparación con los
importes que muestran los registros de control (por ejemplo comparar las cuentas de caja, de
seguridad y del inventario con los registros contables).

• División de tareas. Asignación a diferentes personas de las responsabilidades de autorizar

transacciones, registrarlas y custodiar los activos, para reducir las posibilidades que permitan a una
persona estar en posición de perpetrar y cometer errores o fraudes en el transcurso normal de sus
tareas. Como ejemplos de división de tareas, podemos nombrar la elaboración de informes, la
revisión y aprobación de conciliaciones y la aprobación y control de documentos.

Aplicación a pequeñas entidades

Los conceptos subyacentes a las actividades de control en las entidades pequeñas son muy similares
a los de las grandes, pero la forma en que son aplicados varía. Además, las entidades pequeñas
pueden considerar que ciertos tipos de actividades de control no son pertinentes porque los
controles los aplica la dirección. Una división de tareas apropiada a menudo presenta dificultades a
las entidades pequeñas. Sin embargo, incluso entidades que solo tienen un puñado de empleados
pueden ser capaces de asignar responsabilidades de modo que consigan una división de
responsabilidades adecuada o, si no fuera posible, usar el abandono por parte de la dirección de
actividades incompatibles para conseguir los objetivos del control.

Vigilancia de los controles

Establecer y mantener un control interno sobre una base estable es una importante responsabilidad
de la dirección. La vigilancia por parte de la dirección de los controles incluye tener en cuenta si
están funcionando como se había previsto o si se han modificado adecuadamente de acuerdo a los
cambios en las condiciones. La vigilancia de los controles puede incluir actividades como la revisión
por parte de la dirección de que se preparen regularmente conciliaciones bancarias o revisar la
aplicación de políticas de compensación.

La vigilancia de los controles es un proceso de evaluación de la efectividad del control interno a lo

largo del tiempo. Incluye la evaluación de la concepción y el funcionamiento de controles de manera
regular y tomar las acciones correctivas que sean precisas para afrontar los cambios en las
condiciones. La vigilancia se lleva a cabo para garantizar que los controles continúen funcionando
con efectividad. Por ejemplo, si no se vigila la regularidad y la precisión de las conciliaciones
bancarias, el personal puede dejar de prepararlas.

La dirección lleva a cabo la vigilancia de controles a través de actividades en marcha, de evaluaciones

separadas o mediante una combinación de las dos. Las primeras suelen desarrollarse sobre las
actividades normales de una entidad e incluir actividades regulares de gestión y supervisión. Mucha
de la información usada en la vigilancia puede partir del sistema de información de la entidad. El
Auditor examina el tipo y las fuentes de información usadas para la vigilancia y cómo son empleadas
por la dirección.

Aplicación a entidades pequeñas

Las actividades de vigilancia de las entidades pequeñas suelen ser informales y llevadas a cabo como
parte de la gestión global de las operaciones o actividades de la entidad. La implicación directa de
la dirección en las operaciones a menudo hace que identifique variaciones significativas de las
expectativas e imprecisiones en los datos financieros y lleve a cabo una acción correctiva sobre el
control.