La consideración del auditor sobre el control interno de la entidad

Revista Nº 48 Oct.-Dic. 2011

Antonio Barrantes Barrantes* 

María Teresa Ruiz Fonticiella** 

(España) 

*Profesor titular de Economía Financiera y Contabilidad 

Universidad Rey Juan Carlos de Madrid 

Censor jurado de cuentas 

**Diplomada y licenciada en Ciencias Económicas y Empresariales 

Universidad Complutense de Madrid 

1. Definiciones de control interno

El término control es un galicismo que según el diccionario Collins tiene en castellano los significados de: mando, gobierno, dirección, manejo, conducción. Al aplicar estos significados a la definición de control interno, se está de acuerdo con Whittington y Pany (2005: 212) en que “hay diferencias de opinión en torno al significado y los objetivos del control interno. Para muchos, la designación control interno son los pasos que toma una compañía para prevenir el fraude, tanto la malversación de activos como los informes financieros fraudulentos. Otros admiten su importancia en la prevención del fraude pero creen que contribuye además a garantizar el control de la manufactura y de otros procesos. Igualmente ocurre en publicaciones de entidades profesionales, como el American Institute of Certified Public Accountants —AICPA— o el Institute of Internal Auditors —IAI—”.

Teniendo en cuenta lo anterior, y debido a varios casos de informes fraudulentos ocurridos en las décadas de 1970 y 1980, las principales organizaciones contables de Estados Unidos patrocinaron la creación en 1985 de la National Commission on Fraudulent Financial Reporting, denominada Treadway Commission por su primer presidente, para que estudiara los factores causales de estos informes. Este trabajo fue coordinado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, en su denominación en inglés), el cual ordenó un estudio que:

— Estableciera una definición común de control interno que atendiera a las necesidades de varias partes.

— Ofreciera un criterio que permitiera a las empresas y a otras entidades evaluar su sistema de control y determinar la manera de mejorarlo.

En este trabajo se considerarán las siguientes publicaciones emitidas por dicho comité:

“Los nuevos conceptos del control interno, informe COSO I” (1992).

“Gestión de riesgos corporativos - Marco integrado, informe COSO II” (2005). Este informe tiene emitidas también unas técnicas de aplicación.

“Control interno de la información financiera. Guía para empresas pequeñas cotizadas, informe COSO III” (2006).

Las fechas indicadas son las de primera emisión de los informes referidos.

El informe COSO I define el control interno como un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: eficacia y eficiencia de las operaciones; fiabilidad de la información financiera, y cumplimiento de las leyes y normas aplicables (COSO I: 16). Esta definición figura también en la NIA 315; 4.

La definición anterior es general. Existe también en la normativa el denominado control interno sobre la información financiera, el cual es definido por la Junta para la Supervisión Contable de las Empresas Públicas —PCAOB—, de origen estadounidense, en su norma de auditoría —AS— 5; A5, como un proceso designado por, o bajo la supervisión del, ejecutivo principal o la dirección administrativa de la compañía, y afecto a la junta de directores, gerentes y otro tipo de personal, para proveer una seguridad razonable respecto a la fiabilidad de la información financiera y los estados financieros para uso de terceros.

En el ámbito público, la International Organization of Supreme Audit Institutions —Intosai— define el control interno como el conjunto del sistema de controles financieros y de otro tipo establecido por la dirección en el marco de sus fines corporativos para ayudar a realizar las operaciones de la entidad fiscalizada en forma regular y económica, eficiente y eficaz, lograr la observancia de las políticas de gestión, salvaguardar los bienes y recursos, asegurar la exactitud y la compleción de los registros contables y producir información financiera y gerencial oportuna y fiable.

La Intosai se define a sí misma como “un organismo autónomo, independiente y apolítico, creado como una institución permanente para fomentar el intercambio de ideas y experiencias entre las entidades fiscalizadoras supremas —EFS— de los países miembros, en lo que se refiere a la auditoría gubernamental”.

Así, en nuestra opinión, al control interno de un ente económico se le puede definir como un código recapitulativo de las normas que han de operar en la organización de una entidad con las siguientes finalidades:

— En términos generales, hacerla gobernable.

— Hacer posible la consecución de los objetivos propuestos en su actividad, los cuales se pueden cifrar, para una entidad lucrativa comercial, en los siguientes: i) mantener la supervivencia; ii) generar beneficios y iii) posibilitar la afluencia de capitales con que satisfacer las necesidades financieras de la actividad de la entidad.

— Prevenir los riesgos a que pueda estar expuesta la entidad.

Las técnicas de controles internos se pueden clasificar en preventivas y detectivas. Un control interno efectivo incluye una combinación de ambas técnicas.

La función de las técnicas preventivas es evitar deficiencias, errores y fraudes cuya existencia pueda afectar la consecución de los objetivos de la entidad y la fiabilidad de su información financiera.

La función de las técnicas detectivas, o de descubrimiento, es detectar deficiencias, errores y fraudes no evitados por las técnicas y las operaciones preventivas, y cuyo acontecer puede afectar la consecución de los objetivos de la entidad y la fiabilidad de su información financiera.

2. Prescripciones de estudio del control interno por el auditor

El control interno no es un fin en sí mismo para el auditado, sino un medio más para conseguir los objetivos de su actividad.

El auditor externo necesita estudiar el sistema de control interno del auditado porque su conocimiento le es imprescindible para planificar la naturaleza, los tiempos y la extensión de los procedimientos de trabajo. Pero, salvo cuando se pacte su estudio por el auditor, o cuando se estipule expresamente de forma legal o normativa, este estudio no es un fin en sí mismo, sino un medio más para realizar la auditoría.

Para el auditor interno, el estudio del control interno, su implementación y el seguimiento de su efectividad forman parte de sus obligaciones profesionales. Según la norma sobre desempeño 2130 del IAI, la actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos, promoviendo la mejora continua.

Dado que el control interno es por excelencia el medio que refleja la estructura y la idiosincrasia organizacional de una entidad, se ha reconocido en la legislación y la normativa la utilidad del conocimiento de su calidad para el inversor real o potencial a la hora de decidir sus inversiones. Por ello, existen disposiciones legislativas y normativas para que las sociedades cotizadas emitan, conjuntamente con la información financiera regulada por la legislación y la normativa nacional o internacional, un informe de gobierno corporativo. Se citan las siguientes disposiciones:

— La Directiva 78/660/CEE del Consejo Europeo —cuarta directiva—, relativa a las cuentas anuales de determinadas formas de sociedad, estipula en su artículo 46.bis.1 que las sociedades cotizadas deberán emitir un informe de gobierno corporativo que contendrá, entre otros requisitos, una descripción de las principales características de los sistemas internos de control y gestión de riesgos de la sociedad en relación con el proceso de emisión de información financiera. En el apartado 2 del mismo artículo se indica que el citado informe podrá figurar por separado, conjuntamente con el informe de gestión, y que será objeto de verificación por el auditor de cuentas.

— La subsección 404 (b) de la Ley Sarbanes Oxley estadounidense —SOX— establece que cada firma de contadores públicos registrada que prepare o emita el informe de auditoría para el emisor, deberá atestiguar e informar sobre la valoración del control interno hecha por la dirección del emisor. Será emitida una atestiguación bajo el requerimiento de esta subsección, de acuerdo con las normas de atestiguación emitidas o adoptadas por la junta. Esta atestiguación no será objeto de contratación separada.

La junta a que se refiere la sección 404 (b) de la SOX es la PCAOB, autorizada por esta misma ley en su sección 101 (a) para supervisar la auditoría de las sociedades públicas que están sujetas a las leyes de valores y operaciones relacionadas. La auditoría del control interno sobre la información financiera efectuada en las empresas que no cotizan está regulada por la SSAE 15, AT 501, emitida por el AICPA.

A nivel general, la NIA 315; 1 prescribe lo siguiente: “esta norma establece la responsabilidad del auditor en la identificación y valoración de riesgos de defectos materiales en los estados financieros, mediante el conocimiento del entorno general de la entidad, incluido su control interno”.

En el sector público se puede citar la norma Intosai 3.0.3.c, la cual estipula que el auditor, para determinar la extensión y el alcance de la fiscalización, debe examinar y valorar el grado de fiabilidad del control interno.

Según lo anterior, el auditor externo ha de efectuar en todo caso el estudio del control interno del auditado, pudiendo distinguirse aquí:

— La revisión del control interno prescrito de forma general como un procedimiento más de auditoría.

— La auditoría del control interno sobre la información financiera como un objetivo de trabajo en sí mismo, prescrito por la legislación y la normativa de la autoridad pertinente.

3. Conceptos básicos en el estudio del control interno por el auditor

Como conceptos básicos en el estudio del control interno se pueden indicar: los componentes interrelacionados que lo integran, las aserciones de la dirección, la determinación de la materialidad, y las limitaciones del control interno. En este apartado se tratan los tres primeros conceptos; las limitaciones se estudian en el apartado 3.1.

Desde la emisión del informe COSO I en 1992, predominan en la doctrina y la normativa como eje principal del estudio del control interno los cinco componentes relacionados entre sí de que, según dicho informe, consta el control interno y que constituyen su marco de referencia. Son los siguientes:

— Entorno de control. El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la integridad, los valores éticos y la profesionalidad) y el entorno en el que trabaja. Los empleados son el motor que impulsa la entidad y los cimientos sobre los que descansa todo.

— Evaluación de los riesgos. La entidad debe conocer y abordar los riesgos a los que se enfrenta.

— Actividades de control. Deben establecerse y ejecutarse políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan a cabo de forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto a la consecución de los objetivos de la entidad.

— Información y comunicación. Las mencionadas actividades están rodeadas de sistemas de información y comunicación. Éstos permiten que el personal de la entidad capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones.

— Supervisión. Todo el proceso ha de ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime oportuno. De esta forma, el sistema puede reaccionar ágilmente y cambiar de acuerdo con las circunstancias (COSO I: 20), (NIA 315; A51).

El informe COSO II (2009: 17) añade otros tres componentes en el marco integrado para la gestión de riesgos corporativos, que son los siguientes:

— Establecimiento de objetivos. Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos que afecten a su consecución.

— Identificación de eventos. Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades.

— Respuesta a los riesgos. La dirección selecciona las posibles respuestas —evitar, reducir o compartir los riesgos— desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad.

El estudio del control interno ha de efectuarlo el auditor, independientemente de la magnitud de la entidad a auditar. En relación con las empresas pequeñas, indica el Instituto Mexicano de Contadores Públicos las siguientes características diferenciadoras de su control interno referidas a los cinco componentes del marco de referencia —expuestas de forma extractada—:

— En el ambiente de control, probablemente no existe un código de conducta escrito; sin embargo la administración ha desarrollado una cultura, enfatizando la importancia de la integridad y el comportamiento ético a través de comunicaciones orales constantes.

— En la evaluación de riesgos, es la administración la que debe conocerlos y administrarlos, a través de la participación directa con el personal propio y externo.

— En los sistemas de información y comunicación, si la administración se involucra activamente en las operaciones, no se requieren políticas por escrito muy extensas, la comunicación se vuelve más efectiva.

— Los procedimientos de control son parecidos a los de las grandes entidades, pero se simplifican, ya que algunos son sustituidos por controles ejercidos por el director general u otra persona de nivel jerárquico importante.

— La vigilancia sobre las operaciones en marcha viene ejercida en una entidad pequeña por la participación diaria de la administración (Boletín 3050; apéndice IV).

Siendo que la redacción de los estados financieros es responsabilidad de la dirección de la entidad auditada, quien responde de su contenido, lo que el auditor examina en los estados financieros son las aserciones de la dirección sobre la situación patrimonial y las operaciones de la empresa. Estas aserciones han sido soportadas por la realización de unas operaciones que, a su vez, han sido guiadas por el control interno, lo que explica la importancia de su conocimiento en el estudio de este control.

Las aserciones son descritas en la NIA 315; 4 como manifestaciones de la dirección, explícitas o sobreentendidas, que están incorporadas en los estados financieros, y que son utilizadas por el auditor para considerar los diferentes tipos de defectos potenciales que pueden aparecer en la información financiera. Están agrupadas por la normativa de auditoría, de forma general, en las siguientes hipótesis relevantes de los estados financieros:

a) Existencia y ocurrencia. Los activos y pasivos existen en una fecha dada. Las transacciones o hechos registrados tuvieron lugar durante el periodo de referencia y han sido reconocidos y contabilizados en dicho periodo.

b) Derechos y obligaciones. Los activos son bienes o derechos de la entidad y los pasivos son obligaciones de la misma a una fecha dada.

c) Integridad. No hay activos, pasivos o transacciones que no estén debidamente registrados.

d) Valoración y medición. Los activos y pasivos están registrados por su valor adecuado. Las transacciones se registran por su justo importe. Los ingresos y gastos han sido imputados correctamente al periodo.

e) Presentación o formulación. Todos los elementos de los estados contables están adecuadamente descritos, ordenados y clasificados.

Otro aspecto que ha de decidir el auditor en la revisión del control interno es la importancia a conceder a las operaciones y eventos que refleja la información financiera (en la terminología de la auditoría, la materialidad).

Como criterio general para decidir la materialidad se adopta la definición de información relevante que figura en el artículo 82.1 de la Ley Española Reguladora del Mercado de Valores (24/88), de 28 de julio, según la cual se considera información relevante —en nuestra acepción, material— toda aquella cuyo conocimiento pueda afectar a un inversor razonablemente para adquirir o transmitir valores o instrumentos financieros, y por tanto influir de forma sensible en su cotización en un mercado secundario.

En el examen del control interno, una deficiencia será material si implica riesgo de error o defecto importante en la información financiera, de tal forma que pueda producir el efecto de una información relevante en el inversor.

Pero, en todo caso, la determinación de la materialidad por el auditor es una cuestión de juicio profesional, y está afectada por las necesidades que, según la percepción el auditor, puedan tener los usuarios de la información financiera.

3.1. Limitaciones del control interno

El auditor ha de tener en cuenta en la revisión del control interno, como conceptos básicos, las deficiencias y las debilidades que puedan afectarle.

Las deficiencias de control interno son definidas por la NIA 265 como sigue:

a) Deficiencias de control interno. Estas existen cuando: i) un control es diseñado, implementado o ejecutado de tal forma que no es factible prevenir, detectar o corregir oportunamente deficiencias en los estados financieros; o ii) cuando no existe un control necesario para prevenir, o detectar y corregir oportunamente deficiencias en los estados financieros.

b) Deficiencia significativa en el control interno. Es una deficiencia, o combinación de deficiencias, en el control interno que, para el juicio profesional del auditor, tiene importancia suficiente para merecer la atención de los miembros del gobierno corporativo (a.6).

Es de señalar aquí que la importancia de una deficiencia o una combinación de ellas depende no ya solamente de la detección de un error en el presente, sino también de que exista la probabilidad de que provoque errores importantes en el futuro. Por ello, pueden existir importantes deficiencias latentes aunque el auditor no haya identificado errores durante la auditoría (a.A5).

Igualmente, se hace ver que si existen una o más deficiencias significativas, no se puede opinar que el control interno actúe efectivamente sobre los estados financieros de la entidad.

En la normativa del sector público, existe una deficiencia de control interno cuando el diseño y la operativa de un control no permite a la dirección o a los empleados, en el curso normal del desempeño de sus funciones, prevenir, detectar o corregir i) el deterioro de la efectividad o la eficiencia de las operaciones, ii) los errores en la realización de la información financiera, o iii) la violación de leyes y regulaciones en un periodo determinado (GAGAS; 7.21).

Como indicador de debilidades importantes en el control interno sobre la información financiera, menciona la PCAOB AS 5; 69 el fraude por parte de la dirección, sea o no este material. El fraude es, en cualquier caso, una irregularidad característica debido a la voluntariedad puesta en su comisión.

El Marco Internacional para la Práctica de la Auditoría Interna del IAI define el fraude como cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza, de violencia o de fuerza física. Los fraudes son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio.

Dado que el control interno es ejecutado por el factor humano, la mayor parte de las deficiencias y limitaciones que puedan afectarle provienen de actuaciones personales, por lo que su enumeración sería prolija. A este efecto, se han encontrado compendiadas estas deficiencias y limitaciones en la siguiente relación que presentan Cosserat y Rodda (2009: 238):

— Relación coste-beneficio. Los costes de la estructura del control interno de una entidad no deben exceder los beneficios que se esperan de su implantación.

— Elusión de las obligaciones de la dirección. La elusión por parte de la gerencia de las políticas y los procedimientos establecidos para conseguir fines ilegítimos, tales como ganancias personales, o incrementar magnitudes financieras de la entidad —por ejemplo, inflar la cifra de beneficios para incrementar las primas sobre la producción, o el valor de mercado de las acciones de la entidad—. La práctica deliberada de elusiones incluye la información defectuosa a auditores y otros terceros tales como la emisión de documentación falsa para soportar el registro de ventas ficticias.

— Errores de juicio. Ocasionalmente, como resultado de una información inadecuada, la falta de tiempo u otro tipo de presiones, la dirección o cualesquiera otras personas pueden llegar a juicios inadecuados en la adopción de decisiones o en la realización de sus operaciones de cada día.

— Colusión. El hecho de coludir consiste en pactar en daño de tercero.

— Puede darse una inefectividad en los controles establecidos debido a instrucciones malentendidas por el personal, o la comisión de errores generados por negligencias, distracciones o fatiga”.

Las deficiencias y debilidades que puedan afectar al control interno limitan su efectividad y hacen que, tal como se indica en las propias definiciones de este, provea una seguridad solo razonable, no absoluta, de que se practique un buen gobierno en la entidad y de que se consigan sus objetivos.

Estas deficiencias y debilidades, además de coartar la efectividad del control interno, pueden inducir al auditor a una interpretación errónea de su grado de conocimiento del mismo, dificultan el trabajo del auditor en general y, en ciertos casos, pueden hacer que no sea posible efectuar la auditoría.

4. Estudio del control interno por el auditor

Para el estudio del control interno, el auditor puede clasificar el negocio del auditado y de los sistemas de contabilidad que registran sus operaciones en un número limitado de ciclos de transacciones con relaciones recíprocas. A este método de trabajo se le denomina “del ciclo de operación”, o “del flujo de transacciones”.

Se define un ciclo como el conjunto de una serie de operaciones que se repiten ordenadamente. En nuestro caso, se puede expresar que un ciclo es el itinerario operacional que sigue una clase de transacciones de la actividad de una entidad, desde su inicio hasta su finalización, como aumentos o disminuciones de activos y pasivos específicos, y como información financiera. De esta forma, estudiando la estructura del control interno de un ciclo de transacciones, se está evaluando el riesgo de control de las cuentas de activos y pasivos y de las áreas de información financiera a las que pueda afectar.

En la distribución de las operaciones de contabilidad para el estudio del control interno vamos a considerar que en la vida de la empresa se dan los siguientes tres ciclos naturales: captación de valores, transformación interna de valores y re-emisión de valores al exterior. Expuestos gráficamente, podrían representarse como sigue:

 

P33.JPG
 

 

Considerando las actividades de obtención y desembolso de tesorería del apartado 1 del cuadro anterior —captación de valores—, este ciclo se puede dividir en: i) obtención de tesorería y ii) adquisiciones y pagos; y si, por otra parte, se añade a los ciclos naturales indicados otro en el que no se procesan transacciones económicas, que se va a denominar “de elaboración y comunicación de la información financiera”, se tienen los siguientes ciclos de la actividad de la entidad, que son los que comúnmente se utilizan en la práctica: i) Obtención de fondos, ii) adquisiciones y pagos, iii) transformación, iv) re-emisión de valores al exterior —ventas y cobros—, v) información financiera.

Puede darse también que el ciclo —adquisiciones y pagos— se subdivida en operaciones relacionadas con la nómina, y con el resto de las operaciones de adquisiciones y pagos. Igualmente, puede darse que, debido al tipo de operaciones de la entidad, el ciclo iv —ventas y cobros— se subdivida en operaciones de venta y de cobro.

En cualquier caso, la división de la actividad en ciclos para el estudio de su control interno puede ser variada y estará condicionada por la idiosincrasia de la entidad y las operaciones que realice. En el apartado 4.3 se indican algunos controles fundamentales aplicados a los cinco ciclos de operaciones que se mencionan.

Para comprender y asimilar la estructura del control interno de la entidad, el auditor deberá conocer los elementos y aspectos de su entorno, según se encuentran estos en la NIA 315; 11:

a) Industrias, regulaciones y otros factores externos que la afectan, incluyendo el marco aplicable de la información financiera.

b) La naturaleza de la entidad, incluyendo:

— Sus operaciones;

— La estructura de su propiedad y de sus órganos de gobierno;

— Las clases de inversiones que la entidad está realizando y que proyecta realizar, incluyendo las inversiones financieras; y

— Cómo se estructura la entidad, en general, y cómo está financiada.

c) La selección por la entidad de las políticas contables y su aplicación, incluyendo las razones para efectuar cambios. El auditor deberá evaluar si las políticas contables de la entidad son apropiadas para sus negocios y consistentes con las aplicables en el marco de la información financiera y con las políticas contables utilizadas en las entidades relacionadas del sector de su actividad.

d) Los objetivos de la entidad y sus estrategias, así como los riesgos relacionados con sus negocios que pueden devenir en defectos materiales.

e) La medida y la revisión de las prácticas financieras de la entidad.

En referencia a la auditoría del control interno sobre la información financiera, estipula la PCAOB AS 5 lo siguiente:

El objetivo de una auditoría del control interno sobre la información financiera, es expresar una opinión acerca de la efectividad del control interno de la compañía sobre esa información financiera. Esta auditoría debe estar integrada con la auditoría de los estados financieros, si bien ambas auditorías no son idénticas, y el auditor debe planificar y realizar el trabajo de forma que consiga los objetivos de ambas auditorías. (PCAOB AS 5; a. 3 y 6).

En una auditoría integrada de control interno sobre la información financiera y de los estados financieros, el auditor diseñará las pruebas de los controles, de tal forma que alcancen los objetivos de ambas auditorías, es decir: i) obtener evidencia suficiente con la que soportar la opinión del auditor acerca del control interno sobre la información financiera al final del ejercicio económico, y ii) obtener evidencia suficiente con la que soportar la valoración de riesgos de control para los propósitos de la auditoría de estados financieros. En la planificación de la auditoría del control interno sobre la información financiera, el auditor aplicará las mismas consideraciones en cuanto a materialidad que aplicaría en la planificación de la auditoría de los estados financieros anuales de la compañía (PCAOB AS 5; a. 7 y 20).

Los procedimientos y las pruebas utilizadas generalmente para la auditoría y para el conocimiento y análisis del control interno se pueden expresar como sigue:

Procedimientos de obtención de evidencia en auditoría: inspección, observación, preguntas, confirmaciones, recálculos, reformulación de información y procedimientos analíticos.

Como procedimientos utilizados para probar la efectividad del control interno están: a) preguntas al personal apropiado de la entidad, b) inspección de documentos e informes, c) observación de la aplicación de los controles, y d) repetición de pruebas de aplicación de los controles.

Las pruebas de cumplimiento tienen como objeto obtener evidencia sobre la eficiencia y la eficacia de los procedimientos de control interno, en los que el auditor basa su confianza en el sistema. Las pruebas de cumplimiento del sistema del control interno se realizan para asegurarse de lo siguiente:

— La existencia del control interno.

— La eficiencia y la eficacia con que funciona el control interno de la entidad.

— Si los procedimientos de control se aplican de forma constante.

En líneas generales, se tiene la siguiente versión simplificada del proceso de auditoría, en relación con el estudio del control interno y de las pruebas de auditoría a efectuar:

 

PA37.JPG
 

 

En este trabajo se presenta el estudio del control interno siguiendo los cinco componentes de que consta según el informe COSO I, los cuales se esquematizan gráficamente a continuación:

 

PA38.JPG
 

 

En los apartados 4.1 a 4.6 se expresan definiciones y características de los componentes citados del control interno, indicando cómo afectan el trabajo del auditor.

4.1. Entorno de control

El entorno de control puede definirse como el ideario general de la entidad, el cual condiciona la generación de las actuaciones con que se diseñan y ejecutan las operaciones de su actividad.

El entorno de control es asimilable a la cultura de la organización de la entidad, entendida como las maneras, las formas, los procedimientos y los métodos con que la organización viene actuando habitualmente, lo mismo en sus relaciones y operaciones internas que con el exterior, y afronta las vicisitudes de su devenir existencial.

El conocimiento del ambiente de control le es imprescindible al auditor ya que, al afectar a la organización como un todo, con este conocimiento encontrará explicación a hechos, eventos y situaciones que sin él no la encontraría.

Los elementos básicos del entorno de control que se manifiestan en la normativa —Marco para la Práctica de la Auditoría Interna del IAI, NIA 315; A70—, son los siguientes:

a) Comunicación de los valores éticos y compromiso con su cumplimiento.

b) Compromiso con la competencia profesional.

c) Participación de los miembros del gobierno corporativo.

d) La filosofía y el estilo operacional de la dirección.

e) Estructura de la organización.

f) Asignaciones de autoridad y responsabilidad.

g) Políticas y prácticas de recursos humanos.

Hay que señalar aquí que el influjo de la actitud de la dirección es omnipresente en el ambiente de control de una organización. Como actitudes de la dirección y de los órganos de supervisión hacia los controles y la información financiera que, según se den o no, pueden afectar positiva o negativamente al entorno de control y al trabajo del auditor se pueden citar los siguientes:

— La dirección reconoce la importancia de los controles financieros y demuestra cumplir con los procedimientos establecidos. Sigue activamente las acciones correctivas pertinentes en respuesta a informes internos y externos.

— Existe una adecuada segregación de funciones en todos los niveles de la estructura de la organización. Para ello, el código de conducta está documentado y difundido, siendo suficientes sus mecanismos de supervisión.

— Están establecidas claramente las líneas de autoridad, responsabilidad y transparencia que hacen notar la importancia de los controles internos contables y la función del control financiero.

— El comité de auditoría es efectivo en la supervisión de la actitud de la dirección hacia los controles.

— La auditoría interna revisa periódicamente el cumplimiento de los procedimientos y los controles contables internos. Tiene la autoridad y los recursos necesarios y sus informes son estudiados y seguidos oportunamente según son requeridos por la dirección.

4.2. Evaluación de riesgos

Se define en la NIA 315; 4 el riesgo de los negocios como un riesgo que procede de condiciones, eventos, circunstancias, acciones u omisiones que podrían tener un efecto adverso importante en la posibilidad de que la entidad consiga sus objetivos y ejecute sus estrategias. Este efecto adverso puede proceder también de un marco inapropiado de objetivos y estrategias.

El auditor incluye en sus procedimientos de trabajo la valoración de riesgos, con el fin de identificar y valorar el riesgo de defectos relevantes en los estados financieros y en las aserciones que estos comportan. A pesar de su diversidad, los objetivos para la evaluación de riesgos pueden agruparse en tres grandes categorías:

— Objetivos relacionados con las operaciones. Se refieren a la eficacia y eficiencia de las operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y la salvaguarda de los recursos contra posibles pérdidas.

— Objetivos relacionados con la información financiera. Se refieren a la preparación de estados financieros fiables y a la prevención de la falsificación de la información financiera publicada.

— Objetivos de cumplimiento. Estos objetivos se refieren al cumplimiento de las leyes y normas a las que está sujeta la entidad (COSO I: 44).

También deberá tener en cuenta el auditor la existencia de factores de riesgo que requieran atención especial, debido principalmente a cambios en la economía en general, en el sector de la actividad en particular, en la legislación y en la normativa que afecten a la entidad, por la aparición de nuevas tecnologías, por operaciones en el extranjero, etcétera.

El riesgo de irregularidades en el plano de los estados financieros comprende los estados financieros como un todo y puede afectar potencialmente a muchas aserciones contenidas en ellos. Este tipo de riesgos no está relacionado necesariamente con aserciones sobre transacciones, saldos de balance u otra información concreta, sino que más bien procede de deficiencias en el ambiente de control, según lo indicado en el apartado 4.1 anterior.

Conjugando lo anterior, se está ante el riesgo de auditoría —R.A.—, que es el riesgo de que el auditor exprese una opinión inapropiada cuando los estados financieros contengan errores con materialidad significativa. Este riesgo se desagrega en otros tres, independientes pero interrelacionados, que son los siguientes:

— Riesgo inherente —R.I.—: es la posibilidad de que los estados financieros contengan aserciones erróneas, que individualmente o de forma agregada tengan materialidad significativa, pero asumiendo que no estuviesen relacionadas con el sistema de control interno.

— Riesgo de control —R.C.—: es el riesgo de que el control interno de la entidad no tenga capacidad para prevenir o detectar a tiempo un error o irregularidad ocurrido, con materialidad significativa. Al valorar el riesgo de control, se encuentra el auditor con dos tipos de riesgo:

• El de evaluar demasiado alto el riesgo de los controles, lo que induciría al auditor a estimar el riesgo de control en un nivel más alto que el que correspondería a la eficacia real del control interno.

• El de evaluar demasiado bajo el riesgo de los controles, lo que induciría al auditor a estimar el riesgo de control en un nivel más bajo que el que correspondería a la eficacia real del control interno.

— Riesgo de detección —R.D.—: es el riesgo de que el auditor no detecte errores con materialidad significativa mediante la aplicación de los procedimientos de auditoría. También se encuentra aquí el auditor con dos tipos de riesgo:

• El riesgo de rechazar algún valor significativo contenido en los estados financieros, cuando en realidad es correcto —riesgo de rechazo incorrecto, o riesgo alfa—.

• El riesgo de aceptar algún valor significativo contenido en los estados financieros, cuando en realidad es incorrecto —riesgo de aceptación incorrecta, o riesgo beta—.

El riesgo de auditoría es, por lo tanto:

RA = RI x RC x RD

El riesgo último es la posibilidad de que el control interno haya fracasado en su intento de evitar el error y de que las pruebas sustantivas de los auditores no hayan descubierto la existencia del error. Este riesgo se cuantifica en el manual del Registro de Economistas Auditores español (anexo 12), con la siguiente expresión:

1-C = (1-I) x (1-S)

Siendo:

C: la confiabilidad combinada de las pruebas de cumplimiento de control interno y de las pruebas sustantivas.

I: la confiabilidad del auditor en el control interno para evitar el error importante.

S: la confiabilidad en las pruebas sustantivas para detectar los errores importantes, si es que existen.

El riesgo es el complemento de la confiabilidad, por lo tanto, si C representa la confiabilidad combinada, 1-C representa el riesgo último. Los términos 1-I y 1-S representan el riesgo de la confianza en el control interno y el riesgo de confiar en las pruebas sustantivas, respectivamente.

4.3. Actividades de control

La finalidad de las actividades de control es asegurar que se cumplen las directrices de la dirección para hacer frente a los riesgos que afectan a la actividad de la organización y a la consecución de sus objetivos.

La tipología de las actividades de control puede ser tan diversa como puede serlo el colectivo de entidades que integran el mundo económico. Se presentan en el informe COSO I, (p. 68), los siguientes tipos de actividades de control:

“— Análisis comparativo de presupuestos, previsiones y resultados por la dirección.

— Gestión directa de funciones por actividades.

— Controles de información para comprobar la exactitud, totalidad y autorización de las transacciones.

— Controles físicos sobre existencias y cotejo con cifras contables.

— Indicadores de rendimiento, mediante análisis combinados de datos.

— Segregación de funciones entre el personal de la entidad”.

Considerando aplicadamente los controles a los cinco ciclos de operaciones citados en el apartado 4, se pueden indicar en forma sinóptica las siguientes actividades a realizar:

Ciclo de obtención de fondos. Asegurar que todos los cobros son ingresados íntegramente en la tesorería de la entidad —caja y bancos— y contabilizados con exactitud.

Ciclo de adquisiciones y pagos. Asegurar que se efectúan las adquisiciones en las mejores condiciones cuantitativas y cualitativas, que están debidamente autorizadas, y que son debidamente inspeccionadas y contabilizadas. En cuanto a los pagos, asegurar que todos los pagos corresponden a una prestación recibida de servicio o suministro, así como prevenir que no se efectúen pagos no autorizados.

Ciclo de transformación. Asegurar la correcta utilización de los valores recibidos en los ciclos anteriores, y su imputación correcta a las diferentes clases de negocios, líneas de productos, productos y divisiones organizacionales en que estén compartimentadas la entidad y su actividad. Es decir, que se aplica una contabilidad analítica eficiente.

Ciclo de ventas y cobros. Asegurar que los pedidos de los clientes son atendidos con prontitud y en las condiciones estipuladas y autorizadas; que se mantienen las políticas de riesgos con clientes; que todas las ventas y sus cobros son adecuadamente contabilizados, y que se efectúa el seguimiento adecuados de clientes morosos.

Ciclo de información financiera. En general, asegurar que se minimiza el riesgo de irregularidades, a nivel de estados financieros, y en todos los niveles de la información financiera.

En las grandes entidades, las actividades de control son realizadas y supervisadas por el comité de auditoría y la auditoría interna, pero fundamentalmente por esta última. Así, la actividad de la auditoría interna debe evaluar la adecuación y eficacia de los controles en respuesta a los riesgos del gobierno, las operaciones y los sistemas de información de la organización, respecto a lo siguiente:

— Fiabilidad e integridad de la información financiera y operativa.

— Eficacia y eficiencia de las operaciones y programas.

— Protección de activos.

— Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos (IAI norma sobre desempeño 2130.A1).

El conocimiento y el seguimiento adecuados de las actividades de control, cualquiera que sea su ordenamiento y método en el control interno, le es fundamental al auditor para conocer la efectividad de este control y su incidencia en las diferentes áreas de la información financiera a las que puedan afectar las actividades.

4.4. Las tecnologías de la información

La operatividad de los medios actuales de proceso de la información y de las transacciones ha evolucionado de tal forma que no es fácil (a veces resulta imposible) aplicar los controles a cada una de las actividades de la entidad con exclusión de otra, ya que principios tradicionales del control interno, tales como la división-segregación de funciones y responsabilidades en las operaciones, han quedado alterados o son difícilmente aplicables, pues, por ejemplo: en el ciclo de suministro de servicios telefónicos, ventas-cuentas de clientes y tesorería, los dispositivos de proceso informatizado de datos se pueden realizar de forma automática, y prácticamente sin la intervención de personal:

— La medición de los servicios efectuados.

— La facturación al usuario de teléfono, debitando de su cuenta.

— Cobro al usuario del teléfono, mediante compensación bancaria, haciendo esta operación externa de forma simultánea con las internas de:

— Abono en la cuenta del cliente de la facturación que se salda con el cobro.

— Actualización de la tesorería de la compañía telefónica, por el registro correspondiente en su contabilidad de bancos.

En nuestro ejemplo, el control consiste en auditar cómo se han diseñado los soportes de inputs y outputs y los dispositivos informáticos para conseguir:

— Que se lleven a cabo las operaciones conforme a la normativa establecida, previniendo fallos e irregularidades.

— La accesibilidad adecuada a la revisión de los dispositivos informáticos.

En vista de la operativa expuesta, se otorga gran importancia a la auditoría de los sistemas de información.

Las finalidades que se asignen a los sistemas de información deben ser consecuentes con el diagnóstico de la entidad en la que se implanten, con las necesidades de seguimiento de operaciones y con los destinatarios usuarios de las informaciones, y a quienes se ha de asesorar.

En referencia a la gestión de riesgos, se indica en el informe COSO II (2005: 88) que el diseño de una arquitectura de sistemas de información y la adquisición de la tecnología son aspectos importantes de la estrategia de una entidad, por ello, las decisiones respecto a la tecnología pueden resultar críticas para lograr los objetivos. La selección de tecnologías específicas para apoyar la gestión de riesgos corporativos es habitualmente reflejo de:

— La manera de abordar la gestión de riesgos corporativos por parte de la empresa y su grado de sofisticación.

— Los tipos de acontecimientos que afectan a la organización.

— La arquitectura informática general de la entidad.

— El grado de centralización de la tecnología de apoyo.

De esta forma, en el estudio del control interno de las tecnologías de información de la entidad, se estima que el auditor habrá de tener en cuenta los siguientes controles internos informáticos señalados para una auditoría informática:

a) Controles organizativos: políticas que sirvan de base para la planificación, control y evaluación por parte de la dirección; planificación estratégica de la información y de la informática general de seguridad y ante emergencias; estándares para la adquisición de recursos, diseño, desarrollo, modificación y explotación de los sistemas; organización del departamento de informática, políticas de personal y revisiones por parte de la dirección; designación oficial de la figura del control interno informático y la auditoría informática.

b) Controles de desarrollo, adquisición y mantenimiento de sistemas de información: metodología del ciclo de vida del desarrollo de sistemas; explotación y mantenimiento, que tienen por objeto el establecimiento de controles para asegurar que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo podrá ser modificado mediante autorización adecuada.

c) Controles de explotación de sistemas de información: planificación y gestión de recursos; controles para usar de manera efectiva los recursos de ordenadores; procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y de cambios; seguridad física y lógica.

d) Controles de aplicaciones: de entrada de datos; de mantenimiento de datos; de salidas de datos.

e) Controles específicos de ciertas tecnologías: controles en sistemas de gestión de bases de datos, para, entre otros fines, prever el acceso a la estructuración y el control sobre datos compartidos; controles en informática distribuida y redes; controles sobre ordenadores personales y redes de área local (Sánchez Valriberas 2001: 34 y ss.).

4.5. Información y comunicación

El auditor ha de considerar los medios y recursos de información y comunicación de la entidad como un sistema receptor-emisor capaz de generar asesoramiento para la decisión, utilizando las técnicas y los procedimientos adecuados de captación, selección, proceso adaptativo al entendimiento de los usuarios y comunicación. Estas finalidades se entienden recogidas en los principios sobre información y comunicación 15 al 18 del informe COSO III, que son los siguientes:

— Proceso de información financiera. Se identifica, captura y utiliza información pertinente en todos los niveles de la empresa y se distribuye en un formato y un marco de tiempo que ayude a lograr los objetivos de la información financiera.

— Control interno de la información. Se identifica y captura información utilizada para poner en marcha otros componentes de control y se distribuye en un formato y un marco de tiempo que permita al personal llevar a cabo sus responsabilidades de control interno.

— Comunicación interna. La comunicación permite y ayuda a la comprensión y ejecución de objetivos, procesos y responsabilidades individuales del control interno en todos los niveles de la empresa.

— Comunicación externa. Se comunica a partes externas los asuntos que afectan la consecución de los objetivos de la información financiera.

En la doctrina (Porter et ál. 2009: 371), se definen abreviadamente estas funciones de información y comunicación como procedimientos y reconocimientos para iniciar, registrar, procesar e informar transacciones, eventos y condiciones, y para mantener responsabilidades sobre activos, obligaciones y patrimonio. Significan también la comunicación de funciones y responsabilidades en el área de finanzas.

Más detalladamente, estipula la NIA 315; 18 que el auditor deberá obtener un conocimiento de los sistemas de información, incluyendo los relativos a su tráfico operacional, relacionados con la información financiera, en las siguientes áreas:

a) Las diferentes clases de transacciones de la operativa de la entidad que sean significativas para la preparación de los estados financieros.

b) Los generadores de información que contengan las tecnologías de la información y sus manuales operativos, mediante los cuales las transacciones a estudiar son iniciadas, registradas, procesadas, corregidas si fuese necesario, transferidas al libro mayor y presentadas en la información financiera.

c) Los registros contables relativos al soporte de la información y para contabilizaciones específicas en los estados financieros finales, los cuales son utilizados para iniciar, registrar, procesar e informar las transacciones; estos dispositivos incluyen el control de incorrecciones y el control de cómo la información es transferida al libro mayor.

d) Cómo los sistemas de información capturan eventos y condiciones diferentes de las transacciones y que son significativos para la preparación de los estados financieros.

e) Los procesos de la información financiera utilizados en la preparación de los estados financieros de la entidad, incluyendo estimaciones contables significativas y otros supuestos que puedan afectar a los estados financieros.

f) Controles sobre el registro diario de los apuntes, incluyendo los apuntes extraordinarios utilizados para registrar operaciones no periódicas, transacciones inusuales o ajustes.

4.6. Actividades de supervisión

Los controles implementados en la entidad necesitan de una supervisión que evalúe su efectividad, vigile su mantenimiento y aplique las acciones correctoras necesarias.

Las actividades de supervisión pueden efectuarse de forma continuada y mediante evaluaciones puntuales y periódicas. La supervisión continuada la llevarían a cabo los responsables directos de la efectividad de los controles, mientras que las supervisiones puntuales y las periódicas serían responsabilidad de los órganos de gobierno y los supervisores del control de la entidad.

Para que las funciones de supervisión revistan imparcialidad debe recaer su responsabilidad última, siempre que sea posible, en quienes no ejecuten las funciones de control. Es decir, en el consejo de administración y el comité de auditoría, apoyados ambos por la auditoría interna.

Las funciones del consejo de administración están estipuladas por la legislación de cada país. Las funciones del comité de auditoría pueden están reguladas por la legislación del país, por la normativa nacional y por la internacional, según se expone más adelante.

El comité de auditoría está definido en la SOX (sección 2.3) como un comité —u órgano equivalente— establecido por y entre la junta de directores de una entidad emisora con el propósito de supervisar el proceso de contabilización y el de la formulación de la información financiera del emisor, así como las auditorías de los estados financieros. Si no existiese tal comité, haría sus funciones la totalidad de la junta de directores.

La Directiva Europea 2006/43/CE —8ª directiva— establece lo siguiente en su artículo 41:

“Apartado 2. Sin perjuicio de la responsabilidad de los miembros del órgano administrativo o de gestión o del organismo de supervisión, o de otros miembros designados en la junta general de accionistas de la entidad auditada, el comité de auditoría, entre otras cosas: a) supervisará el proceso de presentación de la información financiera; b) supervisará la eficacia del control interno de la empresa, la auditoría interna cuando sea pertinente, y los sistemas de gestión de riesgos; c) supervisará la auditoría legal de las cuentas anuales y consolidadas; d) revisará y supervisará la independencia del auditor legal o la sociedad de auditoría y, en especial, la prestación de servicios adicionales a la entidad auditada.

Apartado 3. La propuesta del órgano administrativo o del organismo de supervisión de una entidad de interés público para la designación de un auditor legal o una sociedad de auditoría se basará en una recomendación presentada por el comité de auditoría”.

Según se ha indicado anteriormente, el consejo de administración y el comité de auditoría están apoyados en sus funciones de supervisión por la auditoría interna. A este fin, estipula la norma sobre desempeño 2500 del IAI que el director de auditoría interna debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección. Indica aquí el consejo para la práctica 2500-1 que el director de auditoría interna debe establecer procedimientos que incluyan lo siguiente:

— El marco de tiempo dentro del cual se requiera la respuesta de la dirección afectada a las observaciones y recomendaciones del trabajo.

— La evaluación y la verificación de la respuesta de la dirección afectada, y la realización de un trabajo de seguimiento, si fuese necesario.

— Un proceso de comunicación a los niveles adecuados de la alta dirección o del consejo de administración, que haga hincapié en las respuestas o acciones insatisfactorias, incluyendo la asunción del riesgo.

— Si ciertas observaciones y recomendaciones resultan ser tan significativas que requieran acción inmediata por parte de la dirección o del consejo de administración, la actividad de auditoría interna vigilará las acciones tomadas hasta que la observación se haya corregido o la recomendación se haya implementado.

El conocimiento de las actividades de los supervisores de la entidad le es de gran utilidad al auditor, ya que la lectura y constatación de sus informes le facilita en gran medida conocer el grado de eficiencia y eficacia del control interno, así como el entendimiento y la comprensión de este, en general.

5. Comunicación de las deficiencias del control interno por el auditor

La obligación del auditor de comunicar e informar las deficiencias y debilidades de control interno está estipulada en la legislación y en la normativa: artículo 41.4 de la Directiva Europea 2006/43/CE, subsección 404 (b) de la SOX, NIA 265, PCAOB AS 5, SAS 115, AU 325, SSAE 15, AT 501, Gagas 5, 8.

En este apartado, se tratan diversas circunstancias que pueden darse en la comunicación de deficiencias del control interno por el auditor al auditado y las propias comunicaciones.

5.1. Circunstancias de la comunicación de deficiencias de control interno

En la comunicación de las deficiencias e irregularidades de control interno por el auditor se pueden dar diversas circunstancias. Como casuística relevante que contiene la normativa sobre estas comunicaciones, se cita la siguiente.

A nivel general, se establece en la NIA 265; 9 que el auditor comunicará oportunamente por escrito a los miembros del gobierno corporativo de la entidad las deficiencias de control interno identificadas durante la auditoría. Independientemente de la comunicación escrita, el auditor puede venir comunicando estas deficiencias verbalmente, en primera instancia a la dirección de la entidad y, cuando lo estime conveniente, a los miembros del gobierno corporativo, con el fin de que lleven a cabo las actuaciones tendientes a subsanar las deficiencias, lo que conllevaría una minimización de riesgos de errores materiales. Pero, si el auditor observa que las deficiencias comunicadas verbalmente no han sido subsanadas al finalizar el trabajo, las incluirá en su comunicación escrita final sobre deficiencias de control interno.

En referencia a la comunicación de las deficiencias de control interno a la dirección, expresa la NIA 265 lo siguiente:

“Ciertas deficiencias significativas identificadas en el control interno pueden cuestionar la integridad o la competencia de la dirección. Pueden ser los casos, implicación de la dirección en fraudes, la no cumplimentación intencionada de leyes y regulaciones, incapacidad manifiesta para dirigir la preparación adecuada de estados financieros, lo cual puede generar dudas sobre la competencia de la dirección. En estos casos puede que no sea apropiada la comunicación de tales deficiencias directamente a la dirección” (a.A20).

Si el auditor sospecha que la dirección o los miembros del gobierno corporativo están implicados en la no cumplimentación intencionada de leyes y regulaciones, se lo comunicará al nivel inmediato superior de autoridad en la entidad, si existe, como puede ser un comité de auditoría o consejo supervisor. Si este nivel no existiese, y el auditor opinase que la comunicación no tendría el efecto deseado, el auditor puede considerar la necesidad de recibir asistencia legal. Igualmente considerará la comunicación de las irregularidades a terceras partes externas a la entidad (NIA 265, a.A21 y NIA 250; 24 y 28).

Incide en lo anterior el consejo para la práctica 2400-1 del IAI, al recomendar que el auditor actúe con cautela a la hora de comunicar el incumplimiento de leyes, regulaciones y otros asuntos legales. Se recomienda en estos casos desarrollar políticas y procedimientos relacionados con el manejo de dichos asuntos, así como una estrecha relación de trabajo con otras áreas apropiadas —como por ejemplo asesoría jurídica y cumplimiento—.

En el sector público, las Gagas contemplan las mismas circunstancias de comunicación: deficiencias en el control interno (a.8.19), fraudes y actos ilegales (a.8.21), comunicaciones a terceras personas (a.8.24), comunicación directa a los máximos responsables de la entidad (a.5.31); añade también referencias a información confidencial o sensible (a.8.38), violación de estipulaciones de contratos o acuerdos de concesiones y abusos (8.21).

En la auditoría interna, los consejos para la práctica de la norma sobre desempeño 2400 de IAI consideran de forma general las siguientes circunstancias en la comunicación de los resultados del trabajo: cuestiones legales, criterios para la comunicación, calidad de las comunicaciones, difusión de resultados, comunicación de información sensible dentro y fuera de la cadena de mando, y comunicaciones fuera de la organización.

5.2. Comunicaciones de deficiencias de control interno

El auditor puede emitir simultáneamente una comunicación de problemas de auditoría —en las auditorías preliminares— y una comunicación de deficiencias de control interno.

Como problemas de auditoría por informar al auditado en una auditoría preliminar, dígase referida al 30 de septiembre de 2011, en una sociedad que acumula pérdidas de ejercicios anteriores y presenta pérdidas en el presente, siendo esta sociedad filial de un grupo de empresas, se enuncian los siguientes ejemplos:

a) Gestión continuada. Dada la situación histórica y actual de resultados negativos obtenidos por la compañía en el desarrollo de su negocio, indicaremos en nuestra opinión de auditoría sobre los estados financieros al 31 de diciembre de 2011, que tales estados financieros están preparados bajo el principio de gestión continuada, asumiendo que la sociedad matriz del grupo continuará apoyando financieramente a la compañía.

b) Inmovilizado fuera de uso. La compañía tiene registrado en su inmovilizado material un importe de xxx millones de dólares como coste histórico de adquisiciones de maquinaria y equipos para una ampliación de sus instalaciones que no llegó a realizarse.

Dicho inmovilizado, al 30 de septiembre de 2011, no era empleado en la actividad de la compañía. Aunque existen conversaciones para la venta de dicho inmovilizado, a la fecha de nuestro trabajo no se dispone de información suficiente que nos permita establecer razonablemente su valor neto de realización.

c) Posible incobrabilidad de saldos. De nuestro examen preliminar, se deduce que existen saldos de clientes por aproximadamente xx millones de dólares, cuya recuperación es dudosa, por ser deudas vencidas con antigüedad superior a un año, o por la situación económica reconocida que atraviesan actualmente tales clientes.

Por las conversaciones mantenidas con la dirección de la compañía, y pendientes de conocer la evolución de dichos saldos en los meses de octubre, noviembre y diciembre, estimamos que las provisiones por insolvencias a dotar en el ejercicio se situarán entre un mínimo de xx millones y un máximo de xx millones de dólares.

d) Contingencias fiscales. Al 30 de septiembre de 2011, existen contingencias fiscales que no son posibles de cuantificar objetivamente, principalmente relacionadas con las aportaciones de la sociedad matriz para la cancelación de las pérdidas incurridas por la compañía hasta el 31 de diciembre de 2010.

Como ejemplos de deficiencias y debilidades de control interno a comunicar, se pueden citar los siguientes:

— Organigrama y manual de organización: no existe manual de organización con descripción de funciones, tareas, responsabilidades y obligaciones. Tampoco existe un organigrama o descripción escrita en la que se establezca la estructura general de la dirección y de los diversos departamentos.

— Análisis de saldos de clientes: la actual aplicación informática comercial es insuficiente para cubrir las necesidades de información y análisis requeridas para realizar un adecuado control actualizado de las cuentas por cobrar. En este sentido no se obtiene, o se hace con excesivo retraso, una composición de saldos de clientes individuales, incluyendo el riesgo por efectos descontados pendientes de vencimiento, ni tampoco un análisis de antigüedad de la deuda.

— Contabilidad analítica: no existe actualmente un sistema integrado de contabilidad analítica, supliéndose en determinados casos por estudios puntuales de costes.

— Formalización de los rappels de ventas: existen determinados clientes para los cuales no se han formalizado por escrito las condiciones referentes a rappels por el volumen de ventas.

Hay que hacer notar aquí que según la NIA 265; A28 el auditor no necesita cuantificar los efectos potenciales de estas debilidades.

En relación con los formatos sobre comunicaciones de control interno, no es muy profusa la normativa general en la emisión de modelos más o menos normalizados. Sí se han encontrado estos en la normativa estadounidense, de la que se exponen a continuación algunos ejemplos ilustrativos.

Comunicación respecto a deficiencias significativas y debilidades importantes adaptada de SAS AU 325 (Bragg 2010: 161) 

Nota: en este caso el auditor no ha sido contratado para investigar ni llevar a cabo procedimientos con la finalidad de identificar deficiencias en el control interno.

“En la planificación y la realización de nuestra auditoría de los estados financieros de la Compañía ABC del ejercicio terminado el 31 de diciembre de 20XX, de acuerdo con las normas de auditoría generalmente aceptadas en Estados Unidos, hemos considerado el informe de control interno sobre la información financiera —control interno— de la Compañía ABC como base para la designación de nuestros procedimientos de auditoría, con el propósito de expresar nuestra opinión sobre los estados financieros, pero no con el propósito de expresar una opinión sobre la efectividad del control interno de la compañía.

Nuestra consideración del control interno se ha limitado al propósito descrito en el párrafo anterior y no con el de identificar necesariamente todas las deficiencias significativas o las debilidades importantes de control interno y, por lo tanto, no se puede asegurar que todas esas deficiencias y debilidades han sido identificadas. No obstante, según se expone a continuación, hemos identificado en el control interno ciertas deficiencias que hemos considerado significativas y ciertas debilidades que hemos considerado importantes, así como otras deficiencias que hemos considerado que puede constituir debilidades importantes”.

Siguen:

Párrafo en el que se describe una deficiencia de control interno.

Descripción de las deficiencias importantes de control interno detectadas.

Párrafo en el que se describe una deficiencia significativa de control interno.

Descripción de las deficiencias significativas detectadas.

Finaliza:

“Esta comunicación está destinada solamente para información y uso de la dirección u otros usuarios dentro de la organización —identifíquese en ambos casos los departamentos, personas— y las autoridades gubernativas —que se mencionan—, y no está destinada, ni es utilizable por otras personas y partes que las especificadas”.

Informe resultante de una auditoría del control interno sobre la información financiera, integrado con una auditoría de sus estados financieros (PCAOB AS 5;87)

El auditor puede elegir la emisión de un informe combinado —por ejemplo, conteniendo la opinión acerca de los estados financieros y acerca del control interno sobre la información financiera—, o la de un informe separado acerca de los estados financieros y otro acerca del control interno sobre la información financiera (PCAOB AS 5; 86, 87, 88). El contenido de ambos tipos de informes es el siguiente —expuesto extractadamente—:

Ejemplo de informe combinado emitido por una firma de auditores independientes

Párrafo introductorio:

“Hemos auditado el balance adjunto de la Compañía W cerrado el 31 de diciembre de 2009 y 2010, los estados relacionados de cuenta de pérdidas y ganancias, patrimonio neto y resultados integrados, y flujos de efectivos para un periodo de tres años que termina el 31 de diciembre de 2010. Hemos auditado también el control interno sobre la información financiera referido al 31 de diciembre de 2010, basado en —el texto de la norma: [identifíquese el criterio de control empleado, por ejemplo, ‘el criterio establecido en el texto Gestión de Riesgos Corporativos-Marco Integrado, del COSO’]—”.

Párrafo de alcance:

“Nuestra auditoría se ha llevado a cabo de acuerdo con las normas de la PCAOB —Estados Unidos—. Dichas normas requieren que la auditoría se planifique y se realice para obtener una seguridad razonable acerca de si los estados financieros no contienen defectos importantes y si se mantuvo, en todos sus aspectos fundamentales, un control interno efectivo sobre la información financiera”.

Siguen:

Párrafo de definiciones: se define el control interno sobre la información financiera.

Párrafo de limitaciones: se especifican aquí las limitaciones del control interno para cumplir con su cometido.

Párrafo de opinión:

“En nuestra opinión, los estados financieros arriba referidos presentan razonablemente, en todos los aspectos, la situación financiera de la Compañía W al 31 de diciembre de 2009 y 2010, así como los resultados de sus operaciones y sus flujos de efectivo para cada uno de los años en el periodo de tres años que terminó el 31 de diciembre de 2010, de conformidad con los principios contables generalmente aceptados en los Estados Unidos de América. También en nuestra opinión, la Compañía W ha mantenido, en todos los aspectos importantes, un control interno efectivo sobre la información financiera a 31 de diciembre de 2010, basado en —el texto de la norma: [identifíquese el criterio de control empleado, por ejemplo, ‘el criterio establecido en el texto Gestión de Riesgos Corporativos-Marco Integrado, del COSO’]—”.

Si el auditor escoge emitir informe separado acerca del control interno sobre la información financiera, debe añadir el siguiente párrafo al informe de auditoría de los estados financieros:

“También hemos auditado, de acuerdo con las normas de la PCAOB —Estados Unidos—, el control interno sobre la información financiera a 31 de diciembre de 2010, basados en —identifíquense el criterios de control empleados—, y nuestro informe de fecha —fecha del informe, que debe ser la del informe sobre los estados financieros— expresó —incluir la naturaleza de la opinión—”.

El auditor también puede añadir el siguiente párrafo al informe acerca del control interno sobre la información financiera:

“También hemos auditado, de acuerdo con las normas de la PCAOB —Estados Unidos—, los —identificar los estados financieros— de la Compañía W, y nuestro informe de fecha —fecha del informe, que debe ser igual a la del informe acerca de la efectividad del control interno sobre la información financiera— expresó —incluir la naturaleza de la opinión—”.

Respecto al caso de que ocurran hechos posteriores inherentes a la revisión del control interno sobre la información financiera, tal como están definidos estos en la normativa, el auditor llevaría a cabo las mismas actuaciones que seguiría para el caso de la auditoría de los estados financieros (véase Barrantes Barrantes 2006: 43 y ss.).

Por otra parte, igual que en una auditoría de estados financieros, el auditor debe obtener una carta de representación de la dirección del auditado en la que se indique, entre otros aspectos relacionados con el trabajo realizado, que el establecimiento y el mantenimiento de un control efectivo sobre la información financiera es responsabilidad de la dirección.

Conclusiones

Tal como está definido el control interno, la noción de este no es ninguna innovación contemporánea, pues por naturaleza, los medios de organización de una entidad, soportes de la consecución de los fines de su actividad, tienen su materialización en el control interno.

Lo que sí es actual es la necesidad generalizada del auditor externo de que este control esté expresamente formalizado, dentro de lo posible, en sus sistemas, procedimientos y métodos. También son actuales el derecho de terceras personas a conocer la calidad del control interno de ciertas entidades, y la obligación de estas entidades de hacer pública la calidad de su control interno.

Así, se encuentra la explicación a que organizaciones principales de la contabilidad y las finanzas hayan puesto los medios necesarios para encontrar una definición común al control interno que, a su vez, coincida con las categorías de objetivos por conseguir a través de este control. Todo ello contribuye a racionalizar y normalizar la preparación y la presentación de la información financiera a nivel general, así como su revisión.

La estructuración estandarizada del control interno en unos componentes interrelacionados determinados constituye un marco integrado de referencia para la organización, dentro del cual puede identificar, evaluar y controlar riesgos, hacer actuar al personal en conexión para conseguir los objetivos del control y supervisar la totalidad del proceso.

El auditor estudia la estructura citada como un procedimiento de trabajo en el proceso de la auditoría. Ello le permitirá emitir, conjuntamente con el informe de auditoría, una comunicación de debilidades de control interno para uso de la propia entidad, o un informe sobre la calidad del control interno que tendrá como usuarios a inversores en general, entidades financieras y otros.

Finalmente, se alude al control interno en los sectores privado y público, expresando que son semejantes sus características y las finalidades a conseguir en cuanto a la eficiencia, eficacia y economía de las operaciones, la fiabilidad de la información por generar y el cumplimiento de directrices de los órganos directivos, de leyes y normas aplicables.

Bibliografía

BAILEY, A. D., Jr. (1981) Statistical Auditing: Review, Concepts and Problems. New York: Harcourt Brace Jovanovich.

BARRANTES BARRANTES, A. (2006) “Los hechos posteriores en contabilidad y en auditoría”, Revista Internacional Legis de Contabilidad & Auditoría, n.º 26, Bogotá.

— (2009) “Temas de introducción a la contabilidad financiera”, Revista CISS Técnica Contable, n.º 722.

BRAGG, S. M. (2010) WILEY Practitioner‘s Guide to GAAS 2010. Hoboken, New Jersey: John Wiley & Sons.

COSSERAT, C. W., RODDA, N. (2009) Modern Auditing. Chicheste, West Sussex, U.K.: John Wiley & Sons.

INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA. (2009) Guía para la supervisión de sistemas de control interno (contiene indicaciones del informe COSO III). Madrid.

— (2011) Marco internacional para la práctica profesional de la auditoría interna. Madrid.

INSTITUTO MEXICANO DE CONTADORES PÚBLICOS (IMCP). (2007) Normas y procedimientos de auditoría y normas para atestiguar. México.

INTERNATIONAL FEDERATION OF ACCOUNTANTS. (2010) Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements.

ORGANIZACIÓN INTERNACIONAL DE ENTIDADES FISCALIZADORAS SUPREMAS, Intosai, (2001) Código de Ética y Normas de Auditoría.

PORTER, B., SIMON, J. y HATHERLY, D. (2008) Principles of external auditing. West Sussex. U.K.: John Wiley & Sons.

PRICE WATERHOUSE COOPERS y INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA. (1997 [2007]). Los nuevos conceptos del control interno (informe COSO I). Madrid: Ediciones Díaz de Santos, S.A.

PRICE WATERHOUSE COOPERS. (2005) Gestión de riesgos corporativos. Marco integrado-técnicas de aplicación (Informe COSO II).

— (2009) Gestión de riesgos corporativos. Marco integrado (Informe COSO II).

PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (PCAOB). (2007) Release 2007-005 A. Auditing Standar nº 5.

REGISTRO DE ECONOMISTAS AUDITORES (REA). (1998) Manual de Auditoría. Anexo 12. Madrid: Consejo General de Colegios de Economistas.

SÁNCHEZ VALRIBERAS, G. (2001) “Control interno y auditoría”, en Auditoría Informática. Un enfoque práctico. Madrid: R.A.M.A. Editorial.

U.S. GONVERNMENT ACCOUNTABILITY OFFICE, GAO (2007) Government Auditing Standards.

WHITTINGTON, O. R. y PANY, K. (2005) Principios de auditoría. México: McGraw Hill-Interamericana Editores S.A. de C.V.

Normatividad

Ley 24 de 1988, de 24 de julio, del Mercado de Valores española 

Ley Sarbanes Oxley estadounidense de 2002.

PARLAMENTO EUROPEO Y CONSEJO EUROPEO (2003) Directiva 2003/71 CE del Parlamento y del Consejo, de 4 de mayo de 2003.

— (2006) Directiva 2006/43 CE del Parlamento y del Consejo, de 17 de mayo de 2006, —octava directiva—.

— (2006) Directiva 2006/46/CE del Parlamento y del Consejo de 14 de junio de 2006.

Glosario de abreviaturas

a. : Apartado de una norma citada.

AICPA : American Institute of Certified Public Accountants, Instituto Americano de Contadores Públicos.

AS : Auditing Standard-Norma de Auditoría de la PCAOB.

AT : Siglas con que se caracterizan las secciones explicativas de las SSAE estadounidenses.

A.U. : Siglas con que se caracterizan las secciones explicativas de las SAS estadounidenses.

COSO : Committee of Sponsoring Organizations of the Treadway Commission, Comité de organizaciones patrocinadoras de la Comisión Treadway.

Gagas : Generally Accepted Governmental Auditing Standards, Normas de Auditoría Gubernamental Generalmente Aceptadas estadounidenses.

IAI : Instituto de Auditores Internos, Institute of Internal Auditors.

Intosai : International Organization of Supreme Audit Institutions, Organización Internacional de Entidades Fiscalizadoras Supremas.

NIA : Norma Internacional de Auditoría.

PCAOB : Public Company Accounting Oversight Board, Junta para la Supervisión Contable de las Empresas Públicas.

SAS : Statements on Auditing Standards, Declaraciones del AICPA sobre normas de auditoría.

SOX : Ley Sarbanes Oxley estadounidense de 2002.

SSAE : Statements on Standards for Attestation Engagements, Declaraciones del AICPA sobre normas de atestación —atestiguación—.