Guía para entidades

privadas -
Flexibilidad de GAM

Julio 2011
Descripción
Esta Guía para Entidades Privadas - Flexibilidad de GAM (PEG) tiene por objeto ayudar a los equipos de
auditoría a identificar oportunidades de flexibilidad en nuestro enfoque de auditoría cuando auditan
entidades privadas. En esta Guía para Entidades Privadas (PEG) hemos extraído de nuestras guías
existentes las áreas que representan la mayor oportunidad de lograr auditorías más eficaces y eficientes
de entidades privadas aprovechando la flexibilidad en nuestra metodología de auditoría.
La PEG no representa una nueva metodología de auditoría. Está basada en la Global Audit Methodology
de Ernst & Young (EY GAM). Tampoco cubre todas las consideraciones sobre EY GAM y por lo tanto
debe ser usada con EY GAM para planear y ejecutar auditorías de entidades privadas.
Esta PEG es aplicable a auditorías de entidades privadas. Las entidades privadas excluyen entidades cuyos
valores son negociados en mercados públicos y aquéllas en industrias reguladas. Aplicar los principios de
esta PEG a auditorías de tales entidades puede no ser apropiado y los usuarios deben referirse a las guías
en EY GAM.
Las auditorías de entidades privadas, para propósitos de aplicación de los principios de esta PEG, incluyen
las auditorías estatutarias de subsidiarias y entidades no lucrativas.
Algunas grandes entidades privadas son tan sofisticadas y complejas como sus contrapartes negociadas
públicamente y listadas. Otras entidades privadas son suficientemente pequeñas para cumplir con los
criterios para el uso del Suplemento para auditorías de negocios pequeños, no complejos de EY GAM. Esta
PEG está dirigida a entidades privadas que se encuentran en medio. Sus atributos únicos deben ser
considerados en la planeación y ejecución de nuestras auditorías debido a que pueden tener un efecto
positivo o negativo sobre nuestras evaluaciones de riesgo.
Los propietarios y los gerentes que reportan directamente a los propietarios tienden a estar más
involucrados en las operaciones diarias de las entidades privadas y tienen un conocimiento íntimo de los
asuntos que afectan los estados financieros. Como resultado, el riesgo de aseveración equívoca material
puede ser más bajo que en una entidad pública. Nuestra capacidad de interactuar rutinariamente durante
la auditoría con quienes toman decisiones facilita nuestras evaluaciones de riesgo.
En algunos casos, el negocio también puede ser menos complejo que el de una entidad pública, con
menos medidas de desempeño clave y tendencias operativas más estables, lo cual puede permitir un
mayor uso de procedimientos analíticos predictivos. Adicionalmente, los sistemas de información de la
gerencia pueden ser un software sencillo sin modificar que permite evaluación más eficiente de los
controles generales de IT. Estos atributos positivos pueden permitir a los equipos aprovechar la
flexibilidad de EY GAM y completar más eficientemente las pruebas sobre controles y los procedimientos
sustantivos.
Por otra parte, las entidades privadas pueden carecer de una adecuada segregación de funciones y
pueden contar con documentación menos formal de la ejecución de procedimientos de control, la base
para las estimaciones y juicios empleados y las transacciones entre partes relacionadas. La participación
de los propietarios también puede proporcionar mayores oportunidades para la omisión de controles
existentes por parte de la gerencia. Estos aspectos negativos también necesitan ser evaluados
cuidadosamente y considerados al diseñar y ejecutar nuestras auditorías de entidades privadas.
La PEG se enfoca en las siguientes áreas de la auditoría:

• Comprender el negocio (P03), identificar riesgos de aseveración equívoca

material proveniente de fraude y determinar respuestas (P06) ................................................. 6

• Comprender los controles al nivel de entidad y el entorno de control (P05) ............................. 10

• Determinar la MP y el ET (P07)................................................................................................ 14

• Identificar cuentas y revelaciones significativas y aseveraciones relevantes (P08)................... 18

• Identificar y comprender las SCOTs y el proceso de cierre de estados financieros

y ejecutar recorridos (S02, S03, S04 y S05) ........................................................................... 21

• Comprender, recorrer, probar y evaluar controles generales de IT (S07)................................. 29

• Diseñar y ejecutar pruebas sobre controles (S09 and E02) ...................................................... 34

• Diseñar y ejecutar pruebas de asientos de diario y ejecutar otros procedimientos

obligatorios sobre fraude (S10, E03)....................................................................................... 38

• Diseñar procedimientos sustantivos (S11) y ejecutar procedimientos sustantivos

(E05) ...................................................................................................................................... 43
Resumen Ejecutivo
Comprender el negocio y los controles al nivel de entidad
Cuando los propietarios y (o) los gerentes están muy involucrados en las operaciones diarias o las
transacciones materiales, debemos obtener nuestra comprensión inicial del negocio mediante indagación
con estas personas. Además, debemos comprender la naturaleza de la participación de los propietarios y
(o) los gerentes y evaluar si existen controles que podamos probar y otorgarles confianza.
Si bien no se requiere que probemos los controles al nivel de entidad (ELCs) en una auditoría no
integrada, el mayor grado de participación del propietario o gerente en algunas entidades privadas puede
contribuir a ELCs más sólidos. Los ELCs eficaces reducen el riesgo de aseveración equívoca material y,
por lo tanto, tienen un efecto positivo al determinar la naturaleza, oportunidad y alcance de nuestros
procedimientos de auditoría. Si podemos identificar ELCs que operen al nivel de transacción (p.ej., la
gerencia revisa todas las transacciones por encima de cierto límite monetario, revisa los reportes de
excepción diseñados para capturar transacciones significativas o inusuales o revisa otros informes tales
como un reporte ‘dashboard’ de gerencia que ayudaría a la gerencia a identificar aseveraciones equívocas
materiales), debemos considerar probarlos y confiar en estos controles.

Riesgos de fraude
El riesgo de fraude puede ser más bajo en una entidad privada debido a la participación de los dueños o
los gerentes que reportan a los dueños, y potencialmente a menos presión para satisfacer las
expectativas de los interesados. Menos riesgos de fraude resultan en menos áreas de riesgo de auditoría.
Además, un mayor grado de participación de la gerencia puede resultar en controles de detección de
fraude más sólidos. Si este es el caso, deberíamos considerar probar los controles de detección de fraude
de la gerencia para determinar si podemos confiar en ellos. Sin embargo, también debemos estar
conscientes de que los propietarios pueden tener la capacidad y la inclinación para dominar las decisiones
y omitir controles, creando así un riesgo de fraude. Esta situación puede ser agravada aún más por la
falta de informantes (whistle-blowers) o reportes anónimos a personas de nivel más alto responsables del
gobierno corporativo.

Materialidad de planeación (MP) y error tolerable (ET)

Al establecer la base para determinar la materialidad, consideramos quiénes son los usuarios de los
estados financieros y qué es importante para ellos. Una vez que establecemos la medida relevante para
materialidad, nuestro punto de partida para la MP para entidades privadas es 10% de la utilidad antes de
impuestos (o el límite superior del rango para otras medidas relevantes). Nuestro punto de partida para el
ET es 75% de la MP.

Obtener eficiencia en las pruebas

Las decisiones más significativas que afectan la naturaleza, oportunidad y alcance de nuestros
procedimientos de auditoría pueden relacionarse con si creemos que una auditoría más eficaz y eficiente
puede lograrse a través de:

• Probar los controles y confiar en ellos, en lugar de tomar un enfoque totalmente sustantivo para
cada cuenta significativa

• Probar los controles generales de IT (ITGCs) y confiar en ellos, lo cual soporta la capacidad para
probar y confiar en los controles de aplicación o los controles manuales dependientes de IT
 (ITDM) y la evidencia electrónica de auditoría (EAE), contra no confiar en los ITGCs o no evaluar
los ITGCs
Las siguientes oportunidades para obtener eficiencia en nuestras pruebas también se discuten en esta
PEG:

• Agrupar las aseveraciones dentro de una cuenta significativa

• Agrupar las cuentas significativas del estado de resultados y el balance general relacionadas,
cuando determinamos que las clases significativas de transacciones (SCOTs) y los riesgos de
aseveración equívoca material que afectan esas cuentas son los mismos

• Uso de pruebas de doble propósito que logran los objetivos tanto de las pruebas sobre controles
(TOCs) como de las pruebas de detalles

• Rotar las pruebas sobre controles (TOCs)

• Usar puntos de referencia (benchmarking), especialmente cuando el sistema de IT es un sistema

sencillo no modificado, de un proveedor reconocido.

• Usar el recorrido como una prueba de control (TOC)

Lo siguiente es una discusión más detallada de estos puntos.
Comprender el negocio (P03), identificar riesgos de
aseveración equívoca material proveniente de fraude y
determinar respuestas (P06)
Nuestra consideración primaria es obtener una comprensión suficiente de la entidad y su entorno para
identificar y evaluar los riesgos de aseveración equívoca material a niveles de estados financieros y de
aseveración, bien sea proveniente de fraude o de error, con el fin de proveer una base para diseñar e
implementar procedimientos de auditoría para responder a los riesgos evaluados de aseveración equívoca
material (incluyendo aquéllos relacionados con fraude). Las discusiones con la gerencia sobre sus puntos
de vista del negocio (p.ej., lo que ellos determinan que son los riesgos clave que afectan a la entidad, los
indicadores clave de desempeño que les lleva más tiempo analizando o dónde creen ellos que está el
mayor riesgo de aseveración equívoca material) deben ser un punto de partida crítico para determinar
nuestra comprensión del negocio y los riesgos significativos.

GAM scalability — consideraciones clave:

The following scalability considerations can affect the nature, timing and extent of procedures
to understand the business and identify risks of material misstatement due to fraud:

Have you considered that the form and

extent of audit documentation is influenced
by the nature, size and complexity of the
entity, its internal control and the extent of
change in the environment, as well as the
availability of information from the entity?
(P03_Documentation and P03_Recurring
engagement considerations)

Extent of procedures
necessary to understand the
business and identify risks of
material misstatement due
to fraud and develop the
related audit response

Have you considered the conditions when Have you considered customizing your GAMx
fraud might occur in identifying fraud risk v7.0 engagement workspace when GAMx
factors and the entity’s circumstances and screens are not the planned primary means
nature of the business in determining which to document procedures and results?
fraud risk factors represent risks of material (GAMx v7.0 Functionality Changes and
misstatement due to fraud? GAMx v7.0 Engagement Workspace
(P06_1.1, P06_Appendix 1 and P06_2.7) Customization – quick reference guide)
Puntos clave de la metodología y consideraciones sobre ejecución de la auditoría:
Una vez que hayamos obtenido una comprensión del negocio (incluyendo el entorno de IT), identificamos
los factores de riesgo, incluyendo riesgos de negocios, que pueden ser riesgos inherentes (aquéllos que
pueden dar lugar a riesgos de aseveraciones equívocas materiales). Los riesgos inherentes que tienen una
probabilidad más alta de ocurrencia y una magnitud más alta de efecto si ocurrieran son considerados
riesgos significativos.

Ha considerado usted que la forma y alcance de la documentación de auditoría son influidos

por la naturaleza, tamaño y complejidad de la entidad, su control interno y el alcance de
cambio en el entorno, así como la disponibilidad de información proveniente de la entidad?
(P03_Documentación y P03_Consideraciones sobre compromiso recurrente)

• Para entidades menos complejas, el tiempo empleado para comprender el negocio y documentar
nuestras consideraciones al respecto debe ser menor que en un entorno más complejo. Con el fin de
obtener nuestra comprensión y completar nuestra documentación, puede ser apropiado comenzar
con la documentación del año anterior y refrescar tal información (y documentar cualquier cambio)
como resultado de nuestro análisis de continuidad del cliente o una discusión de la reunión de
planeación con la gerencia. El nivel de discusión y documentación debe estar correlacionado
directamente con la naturaleza, tamaño y complejidad de la entidad y el alcance de cambio en el
entorno de la entidad desde la finalización de la auditoría anterior.

• Un buen enfoque para identificar la naturaleza y alcance del cambio en el entorno de la entidad
es considerar la entidad desde tres perspectivas:

- Interna (gente, procesos o productos, tecnología)

- Externa (economía, competencia, regulación)

- Interesados (clientes, proveedores, prestamistas, propietarios)

• La documentación sobre Comprender el Negocio puede hacerse en la pantalla de GAMx

relacionada, la plantilla sobre Comprender el Negocio u otro formato para cumplir con los
requerimientos de P03. No es necesario duplicar la misma información en varios lugares (es
decir, completar la plantilla y la pantalla de GAMx).

• Para identificar riesgos significativas (y riesgos inherentes relacionados con la entidad),

debemos comenzar con nuestras evaluaciones del año anterior y determinar si algunos cambios
en la entidad, o en el entorno del negocio, nos llevarían a adicionar, eliminar o modificar los
riesgos en el año actual.

Ha considerado usted adaptar a la medida su workspace del compromiso GAMx v7.0 cuando
las pantallas de GAMx no son el medio primario planeado para documentar procedimientos y
resultados? (Cambios de Funcionalidad GAMx v7.0 y Adaptación a la Medida del Workspace
del Compromiso GAMx v7.0 – guía de referencia rápida)

• GAMx v7.0 permite a los equipos adaptar a la medida el workspace del compromiso para tener las 9
pantallas genéricas y de ASM o SRM no disponibles dentro del workspace. Si los equipos eligen no
tener ciertas pantallas que aparezcan en GAMx, cuando esa pantalla es seleccionada en el
 Navegador, el usuario será llevado al Programa de Auditoría con el nombre de esa pantalla
destacado. Ver el facilitador GAMx v7.0 Functionality Changes para una descripción, o ver GAMx
v7.0 Engagement Workspace Customization (EWC) — quick reference guide para guía detallada al
adaptar a la medida su workspace del compromiso.

Ha considerado usted las condiciones en que podría ocurrir fraude al identificar los factores
de riesgos de fraude y las circunstancias de la entidad y la naturaleza del negocio al
determinar cuáles factores de riesgo de fraude representan riesgos de aseveración equívoca
material proveniente de fraude? (P06_1.1, P06_Apéndice 1 y P06_2.7)

• Ejecutamos lo siguiente para identificar riesgos de aseveración equívoca material proveniente de

fraude y determinar las respuestas de auditoría:

Consider fraud triangle to identify fraud risk factors

(P06_1)

attitude/rationalization

Determine fraud risks that have higher likelihood of

occurrence and higher magnitude of potential
misstatement (P06_2)

Risks of material misstatements due

to fraud (always significant risks)

Determine audit response, which may include

one or more of the following: overall, specific,
response to management override of controls or
risks associated with related parties (P06_3) Develop audit response:
1. Understand/Evaluate controls,
including anti-fraud programs
and controls
2. Always perform substantive
procedures

• Al identificar factores de riesgo de fraude, consideramos las condiciones de cuándo puede ocurrir
fraude (es decir, el triángulo de fraude). Esto incluye incentivos o presiones, oportunidad y actitud o
racionalización. Generalmente, todas las tres están presentes cuando ocurre un fraude. Estas
 condiciones pueden presentarse en formas diferentes para una entidad privada o menos compleja.
Por ejemplo, en una entidad pública, la gerencia con frecuencia está presionada o incentivada para
mejorar las utilidades por acción puesto que ese es el enfoque de los inversionistas. Para una entidad
privada, esas mismas presiones pueden no existir. Sin embargo, debemos considerar si existen otras
presiones. Por ejemplo, tiene la entidad deuda que requiere cumplimiento con convenios
financieros? En este caso, revisamos los convenios financieros para comprender dónde podrían
existir puntos de presión. La gerencia también puede tener programas de bonificaciones basadas en
las utilidades, u otras, métricas que podrían crear un incentivo de fraude.

Factors that may present a higher likelihood of fraud risk

May have higher incidence

More opportunity for management
of related-party transactions
override of controls due to
and/or owners may have
management
difficulty separating personal
involvement/influence
and business funds

May have less formal controls

Less segregation of duties as
over safeguarding of assets,
smaller number of employees
authorization of transactions
responsible for various processes
and asset accountability

• Al determinar si los factores de riesgo de fraude identificados representa un riesgo de aseveración

equívoca material proveniente de fraude, consideramos la naturaleza, tamaño y complejidad del
negocio de una entidad. Por ejemplo, podemos identificar falta de supervisión independiente sobre el
proceso de reporte de información financiera como un factor de riesgo de fraude tanto en una
entidad más compleja como en una menos compleja. Esto puede representar un riesgo de
aseveración equívoca material proveniente de fraude en la entidad más compleja. Pero podemos
sacar una conclusión opuesta para la entidad menos compleja si la gerencia está involucrada
extensamente en todos los aspectos del negocio o si la gerencia autoriza las transacciones y pocas
transacciones son procesadas. Podemos tener menos riesgos de fraude para entidades privadas
menos complejas, aún si sus controles y entorno pueden ser menos formales.
Comprender los controles al nivel de entidad y el entorno de
control (P05)
Si bien no se requiere que probemos los controles al nivel de entidad (ELCs), sí se requiere que
obtengamos una comprensión de los ELCs para ayudarnos a identificar y evaluar los riesgos de
aseveración equívoca material proveniente de fraude o error y para determinar la estrategia de auditoría
más apropiada.

GAM ‘scalability’ — consideraciones clave:

The following scalability matters relate to our consideration of ELCs in a private entity
environment:

Have you considered that the

design, implementation and
In stable environments, have you
maintenance of internal controls
considered whether we may be
varies with an entity’s size and
able to update and carry forward
Understand ELCs in a less complexity (i.e., entity-level
prior year documentation of
complex entity controls for less-complex entities
entity-level controls?
may exist in a less-formal or
(P05_Recurring engagement
less-documented manner than
considerations)
those at a more complex entity)?
(P05_1 and P05_3)

Puntos clave de la metodología y consideraciones sobre ejecución de la auditoría:

El entorno de control tiene un efecto significativo sobre nuestra estrategia de auditoría. Si determinamos
que el entorno de control soportará la prevención o detección y corrección de errores, existen algunos
beneficios potenciales para nuestra estrategia de auditoría. EY GAM se basa en la expectativa de que, en
ausencia de evidencia de lo contrario, el entorno de control soportará la prevención o detección y
corrección de aseveraciones equívocas materiales relevantes para el reporte de información financiera.
Un entorno de control positivo:

• Tiene un efecto positivo cuando evaluamos riesgos de aseveración equívoca

material
generales
Efectos

• Provee una base para establecer un nivel apropiado de escepticismo profesional

• Tiene un efecto positivo al determinar la naturaleza, oportunidad y alcance de los
procedimientos de auditoría reduciendo los riesgos de aseveración equívoca
material y reduciendo potencialmente el alcance de evidencia que necesitamos
obtener para un procedimiento de auditoría
 Beneficio de un entorno de control positivo sobre nuestra
Objetivo de GAM

Efectos específicos
estrategia de auditoría
P07 Determinar la MP, el • Puede soportar establecer el ET en 75% de la MP

Planeación
ET y el importe nominal
para el SAD
P08 Identificar cuentas y • Se requiere cuando designamos una cuenta con saldos
revelaciones significativas que se aproximan o exceden al ET, con riesgo limitado
y aseveraciones relevantes o ninguno de aseveración equívoca material, como
“no significativa”

Objetivo de GAM
S03 Comprender las
SCOTs y los procesos de
revelación significativa
Beneficio de un entorno de control positivo sobre nuestra
estrategia de auditoría
• Nos ayuda a determinar la estrategia de auditoría
(confianza en controles contra estrategia únicamente
sustantiva) Un entorno de control positivo aumenta la

Estrategia y revaluación de riesgos

capacidad para seleccionar una estrategia de confianza
en controles
Efectos específicos

• Puede hacer los controles sobre el procesamiento de

S08 Hacer evaluaciones de
riesgo combinado
S09 Diseñar pruebas sobre
controles
S11 Diseñar
procedimientos
sustantivos de auditoría
transacciones más confiables
• Influye positivamente en las evaluaciones de riesgo
inherente y de control
• Proporciona una base para probar controles a una
fecha intermedia
• Permite la rotación de pruebas sobre controles para
SCOTs rutinarias
• Permite la ejecución de procedimientos sustantivos
más temprano en el período
• Puede reducir la cantidad de procedimientos
sustantivos que pueden ser necesarios en el período de
actualización

Ha considerado usted que el diseño, implantación y mantenimiento de los controles internos

varía según el tamaño y complejidad de una entidad (es decir, los controles al nivel de entidad
para entidades menos complejas pueden existir de una manera menos formal o menos
documentada que los de una entidad más compleja)? (P05_1 and P05_3)

La siguiente gráfica muestra algunos ejemplos de controles al nivel de entidad que pueden existir de una
manera menos formal o menos sofisticada.

Aspecto del control que

Componente puede no existir
Entorno de control Código de conducta
formalizado
Evaluación de riesgo Proceso de evaluación de
riesgo formalizado
Consideraciones sobre ‘scalability’
La entidad puede tener una cultura que comunica
comportamiento ético mediante el ejemplo de la
gerencia. Esto puede ser evidente para los
empleados según su interacción con la gerencia y
las pautas establecidas por los ejecutivos en
reuniones, comunicaciones, etc. La ausencia de
un código de conducta puede ser mitigada por
otros factores que demuestren la integridad,
valores éticos y comportamiento de los
ejecutivos clave.
Indagamos con la gerencia para saber si han sido
identificados riesgos de negocios que afectan los
objetivos del reporte de información financiera, y
 Aspecto del control que
Componente puede no existir
Monitoreo Departamento de Auditoría
Interna u otros controles de
monitoreo al nivel de entidad
Consideraciones sobre ‘scalability’
cómo han sido tratados esos riesgos. Si la
gerencia puede describir adecuadamente los
riesgos de aseveración equívoca material y los
controles o programas que han establecido para
mitigar esos riesgos, y los riesgos que identifica
la gerencia son consistentes con los riesgos que
nosotros identificamos durante nuestros
procedimientos de auditoría, la falta de un
proceso formalizado no debe tener un efecto
significativo sobre nuestras conclusiones de los
controles al nivel de entidad o sobre nuestra
estrategia de auditoría.
Pueden existir controles de monitoreo al nivel de
clase significativa de transacción (SCOT). Por
ejemplo, uno de los controles de monitoreo de la
gerencia puede ser monitorear la puntualidad y
corrección de la conciliación bancaria en proceso
ejecutada mensualmente. Obtendríamos una
comprensión de ese control durante nuestra
comprensión de la SCOT (S03) y/o los
procedimientos de recorrido (S04). Por otra
parte, una entidad menos compleja puede no
tener controles de monitoreo formales que
funcionen al nivel de toda la entidad.

• Puede no ser posible que obtengamos evidencia documental debido a la naturaleza de los controles
al nivel de entidad (es decir, menos formales); sin embargo, corroboramos nuestras indagaciones
con la gerencia con indagaciones con otras personas en la entidad y nuestra observación de los
procesos y controles de la gerencia a medida que ejecutamos nuestros procedimientos de auditoría.

• En muchas circunstancias, la falta de un ELC formal, aunque es desfavorable en una entidad pública
o más compleja, no tendrá un efecto significativo sobre nuestras conclusiones acerca de los riesgos,
y finalmente sobre nuestra estrategia de auditoría, para una entidad menos compleja.

En entornos estables, ha considerado usted si podemos actualizar y trasladar documentación

de los controles al nivel de entidad del año anterior? (P05_Consideraciones para compromiso
recurrente)

• En entornos estables puede ser apropiado comenzar con documentación del año anterior y refrescar
esa información (y documentar cualquier cambio). La decisión que hacemos en cuanto a si
actualizamos nuestra documentación del año anterior (en lugar de crear nueva documentación) debe
basarse en el alcance de los cambios a los componentes de control interno al nivel de entidad y si la
información que obtuvimos respecto a los componentes de control interno al nivel de entidad en
períodos anteriores aún es relevante. En períodos de alto crecimiento o cambio significativo, será
necesario ejecutar más trabajo para comprender y documentar estos cambios, y consideramos si
trasladar la documentación realmente pude ser menos eficaz y eficiente según las circunstancias.
• Recuerde que, para entidades privadas, no se requiere que probemos los ELCs. Sin embargo, si
podemos identificar ELCs que funcionen al nivel de transacción con el grado apropiado de
sensibilidad para prevenir o detectar y corregir, y hemos decidido seguir un enfoque de confianza en
los controles, debemos considerar probar estos controles y otorgarles confianza. Para el entorno de
control y los componentes de monitoreo del control interno, obtenemos evidencia de auditoría, más
allá de la indagación con el personal, de que los elementos y características de los componentes
están en operación. El proceso de entidades puede ser menos formal en una entidad privada que en
una entidad listada.

Determinar la MP y el ET (P07)
Los importes que establecemos para la MP y el ET juegan un importante papel en nuestra estrategia de
auditoría. La naturaleza, oportunidad y alcance de nuestros procedimientos de auditoría al nivel de cuenta
y de aseveración se basan tanto en el ET como en nuestras evaluaciones de riesgo combinado.

GAM ‘scalability ‘— consideraciones clave:

The following scalability considerations have an effect on the determination of PM and TE:

Is your starting point for PM 10%

of pretax income (or the top end
of the range for the appropriate
basis for determining PM)?
(P07_2.1.2.1)

Are there circumstances where

the testing threshold for specific
accounts and assertions can be
greater than TE?
(S11_Appendix 2.2.1.1)
Establish PM and TE based
Is your starting point for TE 75%
on the allowable criteria
of PM? (P07_3.2)
for private entities

Puntos clave de la metodología y consideraciones sobre ejecución de la auditoría:

Es su punto de partida para la MP 10% de la utilidad antes de impuestos (o el límite superior

del rango gama para la base apropiada para determinar la MP)? (P07_2.1.2.1)

Para EY GAM, nuestro punto de partida para determinar la materialidad de planeación para entidades no
listadas en industrias no reguladas y auditorías estatutarias de subsidiarias no listadas es 10% de la
utilidad antes de impuestos, suponiendo que todos los demás criterios de la tabla siguiente se cumplen. Si
la utilidad antes de impuestos no es una base de medición apropiada, usamos nuestro juicio profesional
para determinar la base más apropiada, tomando en cuenta los hechos y circunstancias de la entidad y lo
que creemos que sería importante para los usuarios de los estados financieros.

Expectations of users
Nature of entity’s business, industry, profitability, capital structure

RANGES

Pretax Sales Gross Total

Equity EBITDA
income revenue margin assets
5%–10% 1%–5% 2%—5%
½%—1% 1%—2% ¼%— ½%

STARTING POINT*

Pretax Sales Gross Total

Equity EBITDA
income revenue margin assets
10% 5% 5%
1% 2% ½%

* May use the high end of the range as a starting point if ALL of the following criteria are met
(otherwise start with the low end of range):

All of the following conditions must be met to start at the high end of the range*:
► Closely held with few shareholders
► No publicly traded debt, and
► Not likely to go public or become listed in the next 2-3 years
Determine the appropriate point within the range by considering whether the entity and its environment are
changing rapidly, whether it has a viable business with good long-range prospects (along with a strong
balance sheet), past history on the engagement indicates that management is competent, of high integrity,
and applies conservative rather than aggressive accounting policies, and the expectation that these
conditions will continue. Whether to go below the high end or above the low end of the range depends on the
number and importance of each of the criteria that are not met and the extent to which they are not met.

• Las entidades privadas en las industrias emergentes de ‘life sciences’ o ‘biotech’, las cuales
típicamente tienen pocos o ningún ingresos operativos provenientes de ventas de productos y están
incurriendo en pérdidas sustanciales, pueden considerar otros medios para determinar la
materialidad de planeación si las medidas anteriores no resultan en un importe que refleje
apropiadamente lo que creemos que los usuarios de los estados financieros considerarían
importante. En estos casos y para las entidades que cumplen con los criterios dentro de GAM FAQ
PM 14 [02-10], probablemente usaríamos un rango de 2% a 5% de los gastos de operación. La
Práctica Profesional de la Sub-Área cuenta con recursos disponibles para ayudar a los equipos antes
de aplicar estas guías a otras entidades emergentes que no son entidades de ‘life sciences’ o ‘biotech’
pero que de otra manera cumplen con los criterios descritos en GAM FAQ PM 14 [02-10].
 Es su punto de partida para el ET 75% de la MP? (P07_3.2)

El ET se establece para reducir a un nivel apropiadamente bajo (es decir, remoto) la probabilidad de que el
agregado de aseveraciones equívocas no corregidas y no detectadas exceda a la MP y, por lo tanto,
nuestras expectativas acerca de aseveraciones equívocas son la consideración más importante al
determinar si establecemos el ET en 75% de la MP. Cuando establecemos el ET en 75% de la MP, lo
hacemos con base en una expectativa de pocas aseveraciones equívocas. En estas situaciones, cuando
identificamos un número de aseveraciones equívocas por debajo del importe nominal de nuestro SAD,
cuestionamos si debemos recalcular el importe nominal del SAD a un nivel más bajo para asegurar que
estas aseveraciones equívocas sean capturadas en el SAD y evaluadas apropiadamente.
Nuestro punto de partida para determinar el error tolerable para entidades no listadas es 75% de la MP,
pero reduciríamos el ET a 50% de la MP si las consideraciones listadas a continuación se convierten en
más negativas que positivas:

% of
PM Considerations for setting TE
75% Non-listed unregulated entities and statutory audits of subsidiaries

For non-listed entities, our starting point for determining tolerable error is 75% of PM, but reduces to
50% after considering:
► Our expectations about misstatements, both corrected and uncorrected
► Our designation in the client acceptance/continuance process
► Our collective understanding of the entity and industry
► Our past history with the entity
► Our assessment of the risks associated with the engagement
► The results of our observations of the entity’s control environment and the effect on internal
control over the financial statements
We consider both quantitative and qualitative factors when considering the expected level of
corrected and uncorrected misstatements, including:
► The size of individual misstatements
► The number of individual misstatements
► The nature of the misstatement (i.e., whether it is a factual, projected or judgmental
misstatement)
► The aggregate of corrected and uncorrected misstatements (e.g., 25% or less of PM)
If the client is designated as close monitoring in the client acceptance/continuance process, we set
TE at 50% of PM. If the client is designated as moderate risk, we consider whether the reasons
behind the designation relate to factors or conditions that could pose a pervasive or specific risk of
material misstatement. If so, we lower TE to 50% of PM.
50%

Por ejemplo:

• En el periodo anterior, nuestro SAD contenía un número de aseveraciones equívocas relacionadas

con el procesamiento de clases rutinarias de transacciones. Las deficiencias de control que
 permitieron que estas aseveraciones equívocas pasaran sin ser detectadas no han sido remediadas
puesto que la gerencia no cree que el beneficio exceda al costo. Como la expectativa es que
aseveraciones equívocas similares probablemente serán recurrentes en el período actual,
establecemos el ET en 50% de la MP.

• En el periodo anterior, nuestro SAD contenía una aseveración equívoca sin corregir de $200.000
(MP de $1 millón), el cual tiene un efecto de reversión en el año actual. No hubo aseveraciones
equívocas no corregidas. Si bien creemos que la aseveración equívoca se relaciona con una serie de
hechos y circunstancias aislados y específicos, puesto que la aseveración equívoca del año anterior
también representa una aseveración equívoca en el año actual, con el fin de establecer el ET en 75%
de la MP necesitamos tener, y documentar la base para, una expectativa de que no habría
aseveraciones equívocas adicionales en el año actual.

Existen circunstancias donde el límite de prueba para cuentas y aseveraciones específicas

puede ser mayor que el ET? (S11_Apéndice 2.2.1.1)

• Límites de prueba — Referirse a Diseñar procedimientos sustantivos (S11) y ejecutar procedimientos

sustantivos (E05) de esta PEG para el efecto que nuestro CRA tiene sobre los límites de prueba (es
decir, porcentaje de ET que consideramos para cuentas de activo o ingresos y cuentas de pasivo o
gastos). Nosotros generalmente no establecemos límites de prueba por encima del ET porque una
partida individual dentro de un saldo de cuenta o clase de transacciones que excede el ET
probablemente es importante. Sin embargo, en ciertas circunstancias, establecer límites de prueba
por encima del ET puede justificarse, tal como:

• Cuando los errores que nuestra prueba está diseñada para detectar no tienen un efecto por lo
menos sobre la base de medición usada para determinar la MP y el ET. Por ejemplo, si hemos
establecido la MP con base en el ingreso antes de impuestos, y estamos probando el corte de
ventas, podemos seleccionar partidas clave mayores que el ET puesto que el efecto sobre el
ingreso antes de impuestos es solamente el efecto del margen bruto de un error de ingresos.
Como resultado, el límite para esta prueba puede ser el ET dividido por el porcentaje de margen
bruto.

• En situaciones donde un número significativo de partidas en el universo relevante están por

encima del ET, planeamos confiar en los controles y tenemos otros procedimientos sustantivos
diseñados para tratar la misma aseveración, podemos aumentar nuestro límite de prueba de
manera que el número de partidas clave seleccionadas sea consistente con la evidencia que
necesitamos obtener de esta prueba. Esto puede resultar en el uso de un límite de prueba mayor
que el ET.
Ver S11_Apéndices 2.2.1.1 y 2.2.1.2 para información adicional sobre la determinación de límites
de prueba.
Identificar cuentas y revelaciones significativas y
aseveraciones relevantes (P08)
Determinamos cuáles cuentas, revelaciones y aseveraciones relevantes podrían contener riesgos de
aseveración equívoca material con base en nuestra comprensión del negocio, nuestra comprensión de los
controles al nivel de entidad y nuestra determinación de la MP y el ET.

GAM scalability — consideraciones clave:

The following scalability considerations can facilitate the determination of Significant, Not
Significant and Insignificant accounts:

Have you determined that

accounts are at the appropriate
level of aggregation/
disaggregation?
(P08_1.1.1)

Have you considered grouping

assertions within a significant
account, or grouping income
statement and corresponding
balance sheet accounts when the
assertions are affected by the
same class of transactions and
have similar risks of material
misstatement?
(P08_2.6)
We begin our
Are there accounts with balances
determination of
approaching or exceeding TE, that
significant accounts at the
have limited or no risk of material
financial statement
misstatement? Have you
caption level (balance
considered designating these
sheet and income
accounts as “not significant”?
statement)
(P08_1.2 and S11_6.1.1)

Would excluding “not relevant”

assertions for certain significant
accounts be appropriate?
(P08_2)

Puntos clave de la metodología y consideraciones de ejecución de la auditoría:

Identificamos cuentas significativas como aquéllas que podrían contener una aseveración equívoca
material con base en su tamaño (es decir, cuentas que se aproximan o exceden el importe establecido
para el ET) y/o consideramos cómo se relacionan los riesgos inherentes (discutidos en P08_1.1.3) con las
diferentes cuentas y revelaciones en los estados financieros. Por ejemplo, podemos haber determinado
que una garantía otorgada por una entidad a sus clientes para un producto nuevo es un riesgo
significativo porque la entidad tiene poca o ninguna experiencia con asuntos de garantías y la cuenta
involucra estimaciones contables significativas. En esta situación, la cuenta de provisión para garantías es
una cuenta significativa aún cuando el saldo de fin del período en la provisión de la garantía esté por
debajo del ET. Este razonamiento es aplicable específicamente a cualquier cuenta del pasivo que
involucre riesgos inherentes asociados con el potencial para una subestimación significativa.
Generalmente, todas las revelaciones son significativas porque una pequeña aseveración equívoca dentro
de una revelación podría afectar las decisiones de los usuarios de los estados financieros. Nosotros no
clasificamos revelaciones como no significativas.

• Los usuarios de los estados financieros pueden conceder un alto grado de importancia a una cuenta
aunque ésta pueda no ser cuantitativamente grande. En este caso, determinamos que la cuenta es
significativa y desarrollamos nuestra estrategia de auditoría para responder a las expectativas de los
usuarios.

• A menos que los factores de riesgo inherente nos lleven a concluir de otra manera (como se describe
anteriormente y se discute en P08_1.1.3), las cuentas individuales que son menores que el ET son
consideradas cuentas insignificantes y generalmente el alcance de nuestros procedimientos es
ejecutar una revisión analítica general. No ejecutamos evaluaciones de riesgo combinado para
cuentas insignificantes.

• La ejecución de procedimientos analíticos para cuentas insignificantes puede completarse como

parte de la revisión general final de estados financieros.

Ha determinado usted que las cuentas están en el nivel apropiado de agregación o

desagregación? (P08_1.1.1)

• Consideramos desagregar una cuenta en componentes en el alcance en que los componentes estén
sujetos a riesgos diferentes (tanto riesgo inherente como riesgo de control). No desagregamos una
cuenta hasta un alcance tal que sus componentes estén por debajo del ET y luego concluimos que
cada componente, y la cuenta en sí misma, son insignificantes. Sin embargo, comprobando que las
cuentas significativas identificadas están en el nivel correcto de agregación o desagregación,
podemos desarrollar una estrategia de auditoría más eficaz y eficiente.

Existen cuentas con saldos que se aproximan o exceden el ET, que tienen riesgo limitado o
ningún riesgo de aseveración equívoca material? Ha considerado usted designar estas
cuentas como “no significativas”? (P08_1.2 y S11_6.1.1)

• Nuestra comprensión del proceso por el cual las transacciones relacionadas con cuentas “no
significativas”son iniciadas, registradas, procesadas y reportadas es de un alcance menor que la
comprensión que se requiere para cuentas significativas. Adicionalmente, no se requiere ejecutar
evaluaciones de riesgo combinado; sin embargo, consideramos las aseveraciones relevantes cuando
diseñamos procedimientos para confirmar la base para evaluar la cuenta como “no significativa”. Los
siguientes criterios deben ser cumplidos para designar una cuenta como “no significativa”:

• El entorno de control soportará la prevención o detección y corrección de aseveraciones

equívocas materiales relevantes para el reporte de información financiera (ver también P05)

• Ningún riesgo significativo (incluyendo riesgos de aseveración equívoca material proveniente de

fraude) está asociado con la cuenta
 • No hay cambios significativos al marco aplicable de reporte de información financiera ni al
negocio que puedan afectar la contabilización del saldo de cuenta

• Hay un bajo volumen y bajo importe monetario de transacciones o actividad en la cuenta

• Pocos asientos de diario son procesados en la cuenta

• Obtenemos una breve comprensión (mediante indagación) de la naturaleza y propósito de la cuenta

“no significativa”. También documentamos, en el ASM, la razón apropiada para designar cuentas
como no significativas.

Sería apropiado excluir las aseveraciones “no relevantes” para ciertas cuentas significativas?
(P08_2)

• Comprobamos que solamente las aseveraciones relevantes son incluidas en nuestra documentación
de auditoría. Las aseveraciones relevantes son aquellas aseveraciones relacionadas con una cuenta
significativa y/o una revelación que podría resultar en una aseveración equívoca material. Una
aseveración no es relevante cuando las circunstancias de la aseveración no existen en la entidad
(p.ej., una entidad solamente tiene transacciones en efectivo denominadas en moneda local y por lo
tanto la aseveración de valuación de efectivo no es relevante).

Ha considerado usted agrupar aseveraciones dentro de una cuenta significativa, o agrupar

cuentas del estado de resultados y del correspondiente balance general cuando las
aseveraciones son afectadas por la misma clase de transacciones y tienen riesgos similares de
aseveración equívoca material? (P08_2.6)

• Puede ser apropiado agrupar aseveraciones relacionadas con cuentas significativas. Cuando
agrupamos aseveraciones, consideramos los riesgos de aseveración equívoca material para cada
aseveración ya que ellos pueden diferir. Agrupar las aseveraciones puede ser apropiado en las
siguientes circunstancias:

• Cuando determinamos que las SCOTs que afectan las aseveraciones para la cuenta del estado
de resultados y la cuenta correspondiente del balance general son las mismas (p.ej.,
dependiendo de los sistemas y procesos de la entidad, podemos determinar que la SCOT que
afecta una cuenta de gastos de depreciación es la misma SCOT que afecta la cuenta de
propiedad, planta y equipo).

• En un negocio sencillo con registros contables sencillos, podemos agrupar aseveraciones para
una cuenta significativa cuando evaluamos los riesgos de aseveración equívoca material (p.ej.,
podemos encontrar apropiado documentar los riesgos de aseveración equívoca material
agrupando las aseveraciones de integridad y existencia para cuentas por cobrar).
Identificar y comprender las SCOTs y el proceso de cierre de
estados financieros y ejecutar recorridos (S02, S03, S04 y
S05)
Identificamos y comprendemos las clases significativas de transacciones (SCOTs) y los riesgos de
aseveración equívoca material al nivel de aseveración, y ejecutamos recorridos para confirmar nuestra
comprensión de las SCOTs (incluyendo el proceso de cierre de estados financieros).

GAM scalability — consideraciones clave:

The following scalability considerations have an effect on gaining an understanding of SCOTs and
significant disclosure processes:

Have you considered customizing your

GAMx v7.0 engagement workspace when
you are taking a fully substantive audit
Have you considered updating and
strategy? (GAMx v7.0 Functionality
carrying forward walkthrough
Changes and GAMx v7.0 Engagement
documentation from the prior year or Have you identified only significant
Workspace Customization — quick
retaining this documentation in classes of transactions or significant
reference guide)
permanent files? disclosure processes?
(S04_Documentation) (S02_1.2, S02_1.3)

Have you considered the nature, timing Gain an understanding of

and extent of documentation when SCOTs and significant Have you considered if significant
performing walkthroughs of SCOTs disclosure processes, disclosure processes and non-routine and
(routine, non-routine or estimation) under and confirm through a estimation SCOTs are most appropriately
various audit strategies? documented as part of the financial
walkthrough, to determine
(S04_1.1, S04_1.3) statement close process and have you
our audit strategy (controls considered combining the presentation
or substantive) and disclosure assertion for various
accounts?(S02_1.3, S05_1, S08.3)

In determining our preliminary audit

strategy, have you considered all the
appropriate factors in assessing whether
to take a controls reliance strategy, a
substantive-only strategy or a
combination of both? (S03_5)
Have you identified “what can go wrongs”
(WCGWs) at the appropriate level of detail
and (or) considered combining WCGWs?
(S03_4.1)
Puntos clave de la metodología y consideraciones de ejecución de la auditoría:

Ha identificado usted solamente clases significativas de transacciones o procesos de

revelación significativa? (S02_1.2, S02_1.3)

• Nos enfocamos solamente en identificar clases significativas de transacciones (SCOTs). Una clase de
transacciones es significativa (es decir, una SCOT) cuando afecta en forma material una cuenta
significativa y sus aseveraciones relevantes.

• Evaluamos si debemos descomponer una clase significativa de transacciones en clases individuales

de transacciones cuando:

• El efecto contable para cada clase de transacciones es significativamente diferente de la otra

(p.ej., ventas en efectivo contra ventas a crédito)

• Un procesamiento difiere significativamente del otro y, por lo tanto, es susceptible a riesgos

diferentes inherente y/o de control (p.ej., ventas de productos estándar contra ventas de
productos por pedido especial)

• Cuando identificamos clases separadas de transacciones que afectan la misma cuenta significativa,
cuestionamos si es apropiado separar la cuenta significativa en cuentas significativas individuales en
el alcance en que los componentes estén sujetos a riesgos diferentes (referirse a P08 Identificar
cuentas significativas).

• Para nuestra comprensión de las SCOTs y el proceso de revelación significativa, no obtenemos ni

preparamos documentación sobre cada detalle en el recorrido crítico de la SCOT o el proceso de
revelación significativa. Nuestra documentación pretende ayudarnos a identificar cuándo podría
ocurrir una aseveración equívoca material en la SCOT y en el proceso de revelación significativa.

Ha considerado usted si los procesos de revelación significativa y las SCOTS no rutinarias y

de estimación son documentadas más apropiadamente como parte del proceso de cierre de
estados financieros, y ha considerado combinar la aseveración de presentación y revelación
para varias cuentas? (S02_1.3, S05_1, S08.3)

• El proceso de cierre de estados financieros (FSCP) consiste en tres sub-procesos: procesar asientos
de diario, preparar el balance de comprobación y preparar los estados financieros y las revelaciones
relacionadas. En cada compromiso, nuestros recorridos incluyen obtener una comprensión de los
controles sobre el sub-proceso del FSCP relacionados con iniciar, autorizar y registrar asientos de
diario. Hacemos una decisión separada respecto a si deseamos tomar una estrategia de confianza en
controles o una estrategia solamente sustantiva. Si decidimos no tomar una estrategia de confianza
en controles, limitamos nuestros recorridos de los otros dos sub-procesos del FSCP a confirmar
nuestra comprensión de su diseño.

• Para entidades menos complejas, podemos determinar que el FSCP puede incluir algunas o todas las
SCOTs no rutinarias y de estimación, así que las documentamos como parte del FSCP y no
separadamente (p.ej., podemos considerar que el proceso completo por el cual la provisión para
cuentas dudosas es calculada y registrada en el mayor general es parte del FSCP, puesto que el
proceso es ejecutado en su totalidad por el contralor durante la preparación de los estados
 financieros). En este caso, también podemos combinar la aseveración de presentación y revelación
para varias cuentas en lugar de tener una aseveración separada para cada cuenta significativa
(S03_8.3).

• Cuando identificamos y comprendemos los controles relevantes para las SCOTs de estimación,
reconocemos que los controles y la documentación pueden ser menos formales en una entidad
privada. La entidad puede implementar varios controles, tales como requerir la revisión y aprobación
de las estimaciones por personal que sea objetivo. Obtenemos un alto grado de comprensión de
estos controles indagando con la gerencia, y confirmamos la implementación de esos controles
cuando ejecutamos nuestros procedimientos sustantivos. Adicionalmente, si estamos usando una
estrategia de confianza en controles, recorremos el proceso y los controles relacionados. Puesto que
los controles probablemente son menos formales y ejecutados con menos frecuencia, en lugar de
rastrear una sola transacción a través del recorrido crítico, podemos:

• Indagar con los propietarios del proceso acerca del recorrido crítico y determinar si nuestra
comprensión es correcta

• Observar si las personan que hacen y revisan las estimaciones están ejecutando sus funciones y
usando los factores de información como nosotros lo entendemos

• Inspeccionar los documentos que soportan el proceso por el cual son hechas las estimaciones
significativas

• Observar si los propietarios del proceso u otras personas actúan sobre las desviaciones de las
expectativas para las estimaciones (si es aplicable)

• Comprender el proceso de la gerencia para desarrollar sus supuestos/premisas y las fuentes de

la información usada en el proceso de estimación
Generalmente, así obtenemos nuestra comprensión, identificamos los controles y conducimos los
recorridos simultáneamente. Podemos ejecutar y documentar algunos o todos nuestros
procedimientos de recorrido a medida que ejecutamos nuestros procedimientos sustantivos sobre la
estimación.

Ha identificado usted “lo que podría fallar” (WCGWs) al nivel apropiado de detalle y (o)
considerado combinar las WCGWs? (S03_4.1)

• Cuando obtenemos una comprensión de las SCOTs y los procesos de revelación significativa,
identificamos WCGWs solamente en el alcance en que ellas pudieran tener un efecto material sobre
las aseveraciones relevantes, es decir, aquéllas para las cuales:

• Existe una posibilidad razonable de ocurrencia de aseveración equívoca

• La aseveración equívoca es de una magnitud que podría ser material

• Como un punto de partida, usamos las observaciones del año anterior (p.ej., debilidad en el control
interno, puntos de riesgo existentes dentro de un proceso, aseveraciones equívocas corregidas y no
corregidas) cuando identificamos WCGWs relevantes.

• Si bien formulamos WCGWs por referencia a las diferentes etapas dentro de la SCOT o el proceso de
revelación significativa (es decir, donde la información es capturada, trasladada o modificada),
 usamos nuestro juicio profesional para identificar la WCGW al nivel apropiado de detalle. Para SCOTs
menos complejas, podemos combinar varias WCGWs en una WCGW general, cuando representan un
riesgo potencial de aseveración equívoca material. Por ejemplo, en el recorrido crítico de la SCOT de
ventas, podemos formular las siguientes preguntas de WCGW:

• Es correcta la cantidad en la factura de ventas?

• Es correcto el precio de venta en la factura de ventas?

• Es correcto el porcentaje de impuesto en la factura de ventas?

• Está la factura de ventas correctamente calculada?

Podemos combinar estos cuatro riesgos identificados para una WCGW, “es correcta la factura de
ventas”?

Para determinar nuestra estrategia preliminar de auditoría, ha considerado usted todos los
factores apropiados para evaluar si debemos tomar una estrategia de confianza en controles,
una estrategia solamente sustantiva, o una combinación de ambas? (S03_5)

• La gráfica siguiente ilustra las diferencias entre una estrategia de confianza en controles y una
estrategia solamente sustantiva:
 Identify significant classes of transactions, significant disclosure processes
and related IT applications S02

Understand SCOTs, significant disclosure processes and WCGWs

S03

Develop strategy for understanding and evaluating SCOTs and significant

disclosure processes S03

Controls reliance Special circumstances Substantive-only

strategy strategy
S03 S03

yes Related-
Highly JEs FSCP Significant Estimates: party
automated sub- risks significant relationships/
SCOTs(3) processes(4) risk? transactions(2)

Identify relevant controls

(including ITGCs(1))
S03 no

Walkthrough SCOT,
significant disclosure Gain
processes, WCGWs Identify relevant controls understanding
and relevant controls of controls(5)
S03, 7
(including ITGCs)(1) S04, 7

Walkthrough WGCWs and

Select controls relevant controls
to test S06, 7 S04, 7
Walkthrough SCOT,
Design tests significant disclosure
of controls S07, 9 processes and WCGWs
S04

yes Test no
Execute tests of controls controls?
and evaluate controls
E02
Effective

Rely on Ineffective Not rely on

controls controls
E07 E07

(1) Except when we plan not to rely on ITGCs and perform direct testing procedures of application controls and
ITDM controls. (S07_1)
(2) Related-party relationships and transactions are often part of a routine SCOT. For related-party
relationships and transactions, we gain a high-level understanding of relevant controls when taking a
substantive only strategy or follow the regular process when taking a controls reliance strategy.
(3) For highly automated SCOTs, we take a controls reliance strategy. (S06_1)
(4) We identify and understand controls over the FSCP sub-process related to initiating, authorizing and
recording journal entries. (S05_1.4)
(5) For estimation SCOTs not affected by a significant risk, we obtain a high-level understanding of relevant
controls and walkthrough the SCOT as we perform our substantive procedures when taking a substantive
only strategy. (S03_7.2.2)

Cuando decidimos sobre cuál estrategia debemos usar (confianza en controles o solamente
sustantiva) para cada cuenta significativa, consideramos:
 • La cantidad de trabajo que requiere cada estrategia, junto con la calidad de la evidencia
proveniente de cada estrategia (S11_2 and S11_3). Observe que confiar en los controles
(versus no confiar) nos permite (potencialmente):

- Incluir prueba de detalles menos extensa de las partidas clave

- Ejecutar Otros Procedimientos Sustantivos solamente cuando existen riesgos más altos
que tratar

- Usar límites de prueba más altos (es decir, un porcentaje más alto de ET)

- Ejecutar procedimientos de auditoría más temprano en el año (es decir, en algunos casos,
hasta 6 meses antes de la fecha del balance general).

- Eliminar la necesidad de obtener evidencia de auditoría adicional sobre el procesamiento

correcto de las transacciones que afectan cuentas significativas del estado de resultados
mediante pruebas de detalles que puedan requerir tamaños de muestra representativa de
25 o 60 partidas, dependiendo de los hechos (S11_Apéndice 2.1.1)

• El efecto de la segregación de funciones (o carencia de la misma)

• El entorno de control (tal como la evidencia de una política de control por escrito para cada
propietario de control, proceso documentado de monitoreo de controles y seguimiento de
excepciones demostrada por el cliente, etc.)

• El número de excepciones de control o errores que probablemente vamos a encontrar

• Si planeamos tomar una estrategia totalmente sustantiva, aún debemos identificar y comprender los
controles en las siguientes circunstancias:

• Para riesgos significativos (los cuales pueden incluir SCOTs rutinarias, no rutinarias o de
estimación identificadas como riesgos significativos), identificamos y comprendemos solamente
los controles relevantes que mitigan el riesgo significativo. La falta por parte de la gerencia de
implementar tales controles es un indicador de una deficiencia significativa (o debilidad material,
si requiere ser comunicada en la jurisdicción) en el control interno que comunicamos a quienes
están a cargo del gobierno corporativo (S03_6.4). De esta manera, enfocamos nuestro
recorrido sobre los controles que mitigan el riesgo significativo, en lugar de recorrer todos los
controles.

• Para SCOTs altamente automatizadas, donde una cantidad significativa de información dentro
del recorrido crítico está solamente en forma electrónica, es probable que la única manera
efectiva de reducir los riesgos sobre la integridad y exactitud de la información a un nivel
aceptablemente bajo sea probar la eficacia operativa de los controles relevantes (S03_3.1).

• Para asientos de diario, debemos obtener una comprensión de cómo las transacciones son
registradas de los libros auxiliares al mayor general, y los controles sobre la autorización y
registro de tales asientos (asientos de diario rutinarios, no rutinarios y generados por el
sistema) (S03_2.3).

• Para SCOTs de estimación, obtenemos y documentamos un alto nivel de comprensión de los

controles relevantes, aún si ellos no son afectados por un riesgo significativo y no estamos
tomando una estrategia de confianza en controles.
 • Para transacciones y relaciones entre partes relacionadas, obtenemos y documentamos un alto
nivel de comprensión de los controles relevantes, si los hay, que la gerencia ha establecido
sobre el proceso para identificar, contabilizar y revelar estas relaciones, en adición a los
controles para autorizar y aprobar las transacciones. Cuando desarrollamos nuestra
comprensión, determinamos si las relaciones y transacciones entre partes relacionadas son
procesadas por otras SCOTs rutinarias, no rutinarias o de estimación, o una SCOT separada.
Cuando las transacciones entre partes relacionadas son procesadas por la misma SCOT que las
transacciones entre partes no relacionadas, podemos incluir nuestra comprensión de las
transacciones entre partes relacionadas dentro de la documentación de tal SCOT.

Ha considerado usted la naturaleza, oportunidad y alcance de la documentación cuando

ejecutamos recorridos de las SCOTs (rutinarias, no rutinarias y de estimación) bajo varias
estrategias de auditoría? (S04_1.1, S04_1.3)

• Ejecutamos recorridos en cada período para las SCOTs y los procesos de revelación significativa, sin
importar si la estrategia es de confianza en controles o sustantiva.

• Siempre ejecutamos recorridos de los controles sobre riesgos significativos, SCOTs altamente
automatizadas y asientos de diario. (S04_1.2)

• Si no planeamos confiar en los controles, podemos ejecutar simultáneamente nuestros recorridos y

procedimientos sustantivos relacionados con esa aseveración relevante. Esto puede ser
particularmente apropiado cuando ejecutamos recorridos para clases de transacciones no rutinarias
y de estimación.

• Para clases significativas de transacciones afectadas por riesgos significativos donde no planeamos
probar los controles, enfocamos el recorrido solamente sobre los controles que tratan las WCGWs
afectadas por el riesgo significativo, en lugar de recorrer a través de todos los controles.

• Cuando documentamos nuestro recorrido, no se requiere que:

• Repitamos documentación claramente cubierta en la narrativa del cliente o gráficas para la

SCOT o el proceso de revelación. En cambio, confirmamos nuestra comprensión de la SCOT o el
proceso de revelación significativa seleccionando uno de cada tipo significativo de transacción y
lo rastreamos a través de todo su recorrido crítico.

• Incluyamos en nuestros archivos de actualización de la auditoría copias de facturas,

documentos de embarque, registros de cuenta, etc. verificados durante el recorrido. Si bien
podemos actualizar tales documentos de un año a otro como ejemplos de los documentos
fuente examinados durante el recorrido del año actual, se requiere que identifiquemos en
nuestros papeles de trabajo los documentos (p.ej., el número de la factura usada en nuestro
recorrido del proceso de ventas) que revisamos en el recorrido del año actual para que ellos
puedan ser extraídos de los archivos del cliente si es necesario.

Ha considerado usted actualizar y trasladar la documentación del recorrido del año anterior o
retener esta documentación en los archivos permanentes? (S04_Documentación)

• Considerar aprovechar la documentación existente relacionada con las SCOTs y revelaciones

significativas de un año a otro y evitar repetir innecesariamente la información en la documentación
 de recorrido que ya ha sido obtenida en otra parte (p.ej., documentación retenida en los archivos
permanentes). Como recordatorio, se requiere que documentemos nuestra comprensión del
recorrido crítico de SCOTs y revelaciones significativas, incluyendo las WCGWs identificadas y,
cuando es aplicable, los controles relevantes. Nuestros procedimientos de recorrido, y la
documentación relacionada, deben ser enfocados a aquellos procedimientos necesarios para
confirmar nuestra comprensión según se describe en nuestra documentación del proceso.

Ha considerado usted adaptar a la medida su workspace del compromiso GAMxv7.0 cuando está
tomando una estrategia de auditoría totalmente sustantiva? (GAMx v7.0 Functionality Changes
and GAMx v7.0 Engagement Workspace Customization — quick reference guide)

• GAMx v7.0 permite a los equipos adaptar a la medida el workspace del compromiso para eliminar las
pantallas siguientes: Seleccionar Controles para Probar, Diseñar y Ejecutar TOCs, Actualizar TOCs,
así como cambiar la propiedad de Estrategia a Sustantiva para la SCOT, cambiar la propiedad de
Probar para el control a Ninguna y dejar el diseño de controles y las evaluaciones operativas en
Blanco. La evaluación Operativa no puede ser cambiada de Blanco, pero los equipos pueden cambiar
la evaluación de diseño a eficaz o ineficaz con base en el trabajo ejecutado sobre el recorrido de la
SCOT. Adicionalmente, cualquier Pruebas sobre Controles que existan en el compromiso son
desasociadas del objeto de Control y son localizadas en Evidencia Desasociada en Toda la Evidencia.
Ver el facilitador GAMx v7.0 Functionality Changes para una descripción o ver la GAMx v7.0
Engagement Workspace Customization (EWC) — quick reference guide para una guía detallada al
adaptar a la medida su workspace del compromiso.
Comprender, recorrer, probar y evaluar controles generales
de IT (S07)
Cuando usamos una estrategia de confianza en controles para clases significativas de transacciones
(SCOTs) o procesos de revelación significativa, nuestra comprensión de la función de IT nos ayuda a
decidir si debemos confiar en los controles generales de IT (ITGCs) para soportar nuestra confianza en los
controles de aplicación, los controles manuales dependientes de IT (ITDM) o la evidencia electrónica de
auditoría (EAE). Los ITGCs eficaces nos permiten probar controles significativos de aplicación o procesos,
y la información relacionada usada por la aplicación, a una fecha intermedia y para tener una base para
concluir que los controles de aplicación y los controles relacionados continuarán funcionando eficazmente
hasta el fin del año. Además, cuando se puede confiar en los ITGCs, podemos ejecutar pruebas para
establecer una base de confianza en la EAE a una fecha intermedia, y luego se puede confiar en la EAE
durante todo el período de auditoría.

GAM scalability — consideraciones clave:

The following scalability considerations can facilitate the determination of the audit approach
to rely, not rely or not assess ITGCs for each IT application:

Have you considered customizing your

GAMx v7.0 engagement workspace when Have you determined the extent of
you do not plan to rely on ITGCs? involvement of ITRA professionals in the
(GAMx v7.0 Functionality Changes and audit based on the complexity of the IT
GAMx v7.0 Engagement Workspace systems? (P04_1.1)
Customization – quick reference guide)

Have you placed reliance on automated

If ITGC deficiencies exist, have you
appropriately considered the complexity
of the entity and the nature of its internal
controls before defaulting to a “not rely”
strategy for the controls over the related
SCOT? (S07_9)
aspects of controls or EAE? Have you
performed the appropriate procedures to
Approach to rely, not rely establish a basis for such reliance? Have
or not assess ITGCs for you considered whether a benchmarking
each IT application used by strategy is appropriate and whether
purchased software systems could affect
the entity
our ability to rely on automated aspects
of controls or EAE?
(S09_5 and S09_Appendix 1)

Have you customized the primary control

procedures (PCPs) for each relevant ITGC
Have you considered the types and (and considered the effect of purchased
complexities of the IT applications used by software systems) and for those that are
the entity to determine whether we can not deemed applicable, have you
aggregate populations? (S07_2.2) documented how the objective of the PCP
will be achieved to confirm the operating
effectiveness of the ITGC? (S07_6)
Puntos clave de la metodología y consideraciones de ejecución de la auditoría:
Determinamos nuestra estrategia de auditoría para cada aplicación de IT según se relacione con ITGCs
con base en las siguientes tres opciones:

• Confiar en los ITGCs — Identificar, comprender, recorrer, probar y evaluar los ITGCs cuando
planeamos confiar en los controles de aplicación, los controles ITDM o la evidencia electrónica de
auditoría (EAE).

• No confiar en los ITGCs — Ejecutar pruebas directas sobre controles de aplicación y controles ITDM
para obtener seguridad razonable de que funcionan eficazmente durante todo el período de auditoría
y no son cambiados en forma material. Ejecutar procedimientos de prueba directa para asegurar que
la información electrónica subyacente es correcta y completa durante todo el período de auditoría
(Nota: En algunos casos, los procedimientos sustantivos solos pueden no ser suficientes para tales
propósitos).

• No evaluar ITGCs — Si planeamos una estrategia solamente sustantiva, podemos decidir probar
sustantivamente toda la EAE y por lo tanto, no probar ni evaluar los ITGCs.
Al determinar nuestra estrategia de auditoría para cada aplicación de IT, consideramos las siguientes
partidas:
Significant
number of
Prior year
ITDM/application
ineffective
controls related
assessment
to the
Purchased without
application
software system remediation
with limited/
no changes
Few number of
EAE significant ITDM/application
to the SCOT/ controls related
significant to the
account application

Minimal EAE
needed to
perform
Customized
substantive
software with
audit procedures
regular changes

Rely on ITGCs Don’t rely on ITGCs Not assess

Ha determinado usted el alcance de participación de profesionales de ITRA en la auditoría con

base en la complejidad de los sistemas de IT? (P04_1.1)

• En ciertas situaciones, podemos concluir que no necesitamos involucrar a especialistas de ITRA en la

auditoría (P04_1.1), con base en la complejidad del entorno de IT. En estos casos, típicamente
hemos elegido no confiar en, ni evaluar, los ITGCs, la entidad tiene un entorno de IT no complejo y (o)
los profesionales de auditoría en el equipo de auditoría pueden ejecutar los procedimientos
 relacionados con IT. Si una entidad tiene un entorno de IT complejo, especialistas de ITRA deben
ayudar en la auditoría.

Ha otorgado usted confianza a aspectos automatizados de controles o de EAE? Ha ejecutado

usted los procedimientos apropiados para establecer una base para tal confianza? Ha
considerado usted si una estrategia de puntos de referencia (benchmarking) es apropiada y si
los sistemas de software comprados podrían afectar nuestra capacidad para confiar en
aspectos automatizados de controles o de EAE? (S09_5 y S09_Apéndice 1)

• Cuando una entidad privada no es compleja, puede haber más casos donde decidimos no identificar
ni probar los ITGCs. Por lo tanto, los equipos necesitan estar alerta a la confianza no garantizada en
aspectos automatizados de controles o EAE. Deberíamos considerar el alcance de EAE necesaria
para ejecutar nuestros procedimientos de control y procedimientos sustantivos. Independientemente
de si probamos los ITGCs, debemos ejecutar pruebas de la EAE. Sin embargo, los ITGCs eficaces
proporcionan una base para confiar en la EAE durante el período de auditoría, y permiten un alcance
menor de prueba de la EAE.

• Si la entidad genera cantidades significativas de EAE, podemos cuestionar si la prueba directa de la

EAE es el enfoque de auditoría más eficaz frente a la prueba de ITGCs para las aplicaciones
relacionadas. Por el contrario, en situaciones donde una SCOT que depende de una aplicación de IT
en particular incluye mayormente controles manuales y no tiene EAE significativa usada para
procedimientos sustantivos, podría ser más eficaz no probar ITGCs para la aplicación relacionada.

Ha adaptado usted los procedimientos primarios de control (PCPs) a la medida para cada ITGC
relevante (y ha considerado el efecto de sistemas de software comprados), y para aquéllos
que no son considerados aplicables, ha documentado usted cómo se logrará el objetivo del
PCP para confirmar la eficacia operativa del ITGC? (S07_6)

Al ejecutar procedimientos de auditoría para entornos de IT menos complejos, debemos considerar

cuidadosamente identificar las categorías del ITGC en el alcance, así como la relevancia de los ITGCs y
PCPs relacionados con la auditoría. Para cualquier PCP que determinamos que no es relevante,
documentamos la razón.

Categoría de ITGC Consideraciones de Scalability

Administración de cambios 1. Para sistemas de software comprados a los cuales la entidad no tiene la
capacidad para hacer cambios de programa, los PCPs pueden ser
cubiertos obteniendo evidencia de que no se han hecho cambios.
2. Si los servicios de IT relevantes son tercerizados — determinar si el
reporte Tipo II del auditor del servicio está disponible y puede otorgársele
confianza.
3. Determinar la frecuencia de los cambios hechos. El alcance de las
pruebas puede ser bastante reducido si se han hecho cambios mínimos.
 Categoría de ITGC
Acceso lógico
Operaciones de IT
Consideraciones de Scalability
1. Si los servicios de IT relevantes son tercerizados — determinar si el
reporte Tipo II del auditor del servicio está disponible y puede otorgársele
confianza.
2. Considerar en qué puntos los usuarios tienen acceso a la información
(p.ej., aplicación de la red, sistema operativo y base de datos) y limitar
las pruebas solamente a los puntos directos de acceso.
3. Los procedimientos pueden no ser necesarios para usuarios con acceso a
lectura solamente. Documentamos cómo concluimos que el acceso es
solamente para lectura.
Evaluar la probabilidad de que una falla de los controles relacionados pudiera
afectar los estados financieros o las revelaciones. Si la probabilidad es baja,
probablemente dejaríamos la categoría de Otro ITGC fuera del alcance

Ha considerado usted los tipos y complejidades de las aplicaciones de IT usadas por la entidad
para determinar si podemos agregar universos? (S07_2.2)

• Para entidades con varias aplicaciones de IT, debemos considerar si los ITGCs siguen un proceso
común que sea aplicable a muchas aplicaciones de IT. En tales casos, podemos probar los ITGCs una
vez y cubrir varias aplicaciones. En entidades menos complejas, con tecnología y procesos del
sistema de información de la gerencia centralizados, es más probable que podamos usar este
enfoque.

Si existen deficiencias de ITGC, ha considerado usted apropiadamente la complejidad de la

entidad y la naturaleza de sus controles internos antes de establecer una estrategia de “no
confiar” para los controles sobre la SCOT relacionada? (S07_9)

Cuando determinamos que una deficiencia de un ITGC resulta en una evaluación de ITGC ineficaz,
evaluamos el efecto, si lo hay, sobre nuestro CRA y procedimientos sustantivos.

Enfoque Descripción Posible resultado

Identificar y probar los Identificar y probar otros ITGCs
controles compensatorios o controles manuales
compensatorios que reduzcan suficientemente el riesgo
(S07_9.1) de aseveración equívoca material
asociado con ITGCs ineficaces a un nivel
aceptable.
Ejecutar otros Ejecutar otros procedimientos de prueba
procedimientos para obtener seguridad razonable de que
sustantivos (S07_9.2) el riesgo de aseveración equívoca
material asociado con ITGCs ineficaces no
ocurrió.
Ejecutar pruebas Probar el control de aplicación
directas de los subyacente, el control ITDM y la EAE
controles de aplicación, durante todo el período para obtener
controles ITDM y EAE seguridad razonable de que el control
(S07_9.3) funcionó eficazmente.
La evaluación de la categoría de ITGC es
ineficaz, la evaluación del ITGC en
conjunto es de soporte y confiamos en los
controles de aplicación, los controles
ITDM y la EAE.
La evaluación de la categoría de ITGC es
ineficaz; sin embargo, la evaluación del
ITGC en conjunto es de soporte y
podemos confiar en los controles de
aplicación, los controles ITDM y la EAE.
La evaluación de la categoría de ITGC es
ineficaz o la evaluación del ITGC en
conjunto no es de soporte; sin embargo,
aún podemos confiar en los controles de
aplicación, los controles ITDM y la EAE.
 Enfoque Descripción Posible resultado
No confiar en controles Modificar el riesgo de control a “no Modificar la naturaleza, oportunidad y
de aplicación y confiar en controles” y considerar el alcance de los procedimientos
controles ITDM efecto sobre nuestro CRA. sustantivos.
(S07_9.4)

• Al evaluar la eficacia operativa de los ITGCs, consideramos la jerarquía anterior para determinar la
respuesta más apropiada cuando existe una deficiencia de ITGC. Es importante que consideremos la
complejidad de la entidad y la naturaleza de sus controles internos antes de establecer una
estrategia de “no confiar” puesto que ésta muy probablemente tendrá un efecto significativo sobre
nuestro CRA y nuestros procedimientos sustantivos de auditoría. Por ejemplo, en entidades
relativamente estables, puede haber pocos cambios a programas durante el período de auditoría. Si
bien la entidad puede no tener un control eficaz de que solamente el personal autorizado puede
hacer cambios a programas, con base en nuestra revisión de los cambios a programas durante todo
el año, podemos obtener seguridad razonable de que solamente cambios autorizados fueron hechos
y probarlos apropiadamente. Estos otros procedimientos sustantivos pueden proporcionar suficiente
evidencia para tener una evaluación de soporte de un ITGC en conjunto, y aún podemos confiar en
los controles de aplicación, controles ITDM y EAE soportados por esa aplicación después de
probarlos, en lugar de establecer una estrategia de “no confiar”.
• Adicionalmente, podemos considerar confiar en pruebas directas sobre controles de aplicación,
controles ITDM y EAE. En situaciones donde tenemos ITGCs ineficaces, podemos ejecutar pruebas
directas de controles de aplicación seleccionando una muestra (por ejemplo 25 transacciones versus
una prueba de uno) y diseñar nuestra prueba sobre controles para verificar que el control de
aplicación está funcionando eficazmente durante todo el período. Para controles ITDM y EAE,
probaremos la corrección aritmética de los informes y la información de reporte hacia y desde la
documentación fuente en cada caso en que el informe es usado.

Ha considerado usted adaptar su workspace del compromiso GAMx v7.0 cuando no planea
confiar en los ITGCs? (GAMx v7.0 Functionality Changes y GAMx v7.0 Engagement
Workspace Customization – quick reference guide)

• GAMx v7.0 permite a los equipos adaptar a la medida el workspace del compromiso para eliminar las
pantallas de Comprender ITGCs y Diseñar y Ejecutar TOC de ITGC. Adicionalmente, la estrategia de
ITGC para probar controles es cambiada a Blanco para la Aplicación o Categoría. La pantalla de
Evaluar ITGC permanecerá en la herramienta pero la Evaluación de ITGC en Conjunto establecerá No
Soporte y no puede ser editada. Cualquier procedimiento de Pruebas sobre Controles que exista en el
compromiso es desasociado del objeto de Control y es ubicado en Evidencia Desasociada en Toda
Evidencia. Ver el facilitador GAMx v7.0 Functionality Changes para una descripción o ver la GAMx
v7.0 Engagement Workspace Customization (EWC) — quick reference guide para guía detallada
cuando adaptamos a la medida nuestro workspace del compromiso.
Diseñar y ejecutar pruebas sobre controles (S09 and E02)
Diseñamos y ejecutamos pruebas sobre controles para evaluar la eficacia operativa de los controles sobre
clases significativas de transacciones (SCOTs) y procesos de revelación significativa que tratan las
WCGWs para cada aseveración relevante de estados financieros para la cual planeamos confiar en los
controles.

GAM scalability — consideraciones clave:

The following scalability considerations can facilitate the determination of the audit strategy
for each SCOT and the affect on your substantive procedures:

Can tests of controls also

function as substantive tests
(i.e., dual-purpose tests)?
(S09_1.2)

Have you considered the effect of

ITGCs on the nature of the test of
Audit strategy for each controls strategy? Is a
Have you appropriately analyzed
SCOT [S02_2 and S03_5] benchmarking strategy
control exceptions and the effect
and impact on substantive appropriate for automated
on your audit strategy?
procedures (nature, timing aspects of controls and have you
(E02_2.1 and E02_2.2)
and extent) [S11_3, considered the effect of
S11_Appendices 2.2.1.1 purchased software systems?
and 2.2.1.2] (S09_1.3, S09_5 and
S09_Appendix 1)

Would rotating our tests of Have you used your walkthrough

controls for routine SCOTs be item as one of your sample items
appropriate? (S09_4.1) for test of controls? (S09_3.1.2)

Puntos clave de la metodología y consideraciones de ejecución de la auditoría:

Una vez que hayamos decidido que la estrategia apropiada es probar los controles sobre ciertas SCOTs o
el FSCP, determinamos la naturaleza oportunidad y alcance de nuestros procedimientos para diseñar
nuestras pruebas sobre controles.
La naturaleza de la prueba sobre controles es influida por el objetivo (prevenir o detectar y corregir) y la
categoría (aplicación, manual o manual dependiente de IT). La naturaleza de nuestra prueba sobre
controles con frecuencia involucra obtener evidencia de auditoría de una combinación de procedimientos,
incluyendo indagación, observación, inspección, re-cálculo y re-ejecución. Consideramos la evidencia de
auditoría disponible al diseñar los procedimientos y reconocemos que el alcance de la documentación
disponible de la entidad para soportar la eficacia operativa del control puede ser menos formal para
entidades privadas.

Pueden las pruebas sobre controles funcionar también como pruebas sustantivas (es decir,
pruebas de doble propósito)? (S09_1.2)

• Con frecuencia los procedimientos pueden ser diseñados tanto para evaluar la eficacia operativa de
los controles como para proporcionar evidencia sustantiva para soportar el saldo de cuenta que está
siendo auditado. Cuando diseñamos una prueba de doble propósito, nuestro programa de auditoría y
los papeles de trabajo relacionados documentan nuestros planes para ejecutar una prueba de doble
propósito.

• Por ejemplo, nuestro programa de auditoría y los papeles de trabajo relacionados podrían
describir una prueba de una conciliación para determinar si fue terminada oportunamente y
aprobada y si las partidas de conciliación fueron identificadas y resueltas apropiadamente
(pruebas sobre controles), y para verificar la corrección aritmética de la conciliación, cotejar los
saldos con la documentación de soporte y probar las partidas significativas de conciliación
(pruebas de detalles).
• Cuando se usan pruebas de doble propósito, los procedimientos ejecutados necesitan lograr ambos
propósitos — probamos los controles así como el saldo de cuenta mismo. No podemos confiar
solamente en la ausencia de excepciones proveniente de los procedimientos sustantivos como
evidencia de que los controles continúan siendo eficaces. Necesitamos documentar claramente la
naturaleza de la prueba de doble propósito y cómo los procedimientos prueban tanto la eficacia
actual de los controles como la exactitud del saldo de cuenta. Nuestra documentación debe
identificar los controles que probamos y la evidencia que examinamos para concluir que los controles
continúan operando eficazmente. Referirse a EY GAM S09_1.2 para guía adicional sobre pruebas de
doble propósito.

Ha considerado usted el efecto de los ITGCs sobre la naturaleza de la estrategia de prueba

sobre controles? Es apropiada una estrategia de puntos de referencia (benchmarking) para
aspectos automatizados de controles y ha considerado usted el efecto de sistemas de
software comprados? (S09_1.3, S09_5 y S09_Apéndice 1)

• Para controles manuales dependientes de IT (ITDMs), consideramos cuáles pruebas deben ser
ejecutadas sobre los ITGCs y los informes (EAE) generados por la aplicación de IT para obtener
evidencia de que podemos confiar en el informe.

• Por ejemplo, si estamos probando un control que la gerencia monitorea las cuentas por cobrar
vencidas y el informe de cuentas vencidas es usado para calcular la provisión para cuentas
dudosas, consideramos primero si existen controles de aplicación relacionados con el informe
de antigüedad que puedan ser probados para permitirnos confiar en este aspecto del informe.
Por ejemplo, si existe un control de aplicación para calcular apropiadamente la antigüedad de
cada factura y verificar la corrección aritmética del informe, y si existen ITGCs eficaces, una
prueba de uno probablemente será adecuada para permitirnos confiar en la funcionalidad de
antigüedad. También necesitaríamos probar la integridad de la información en el informe (bien
sea mediante prueba adicional sobre controles o probando la información de entrada (inputs) al
informe). Si no podemos identificar controles de aplicación para probar, o hemos decidido no
 hacer tal prueba, para cada caso del informe usado en la operación del control debemos
verificar que la antigüedad de las facturas de venta está siendo calculada correctamente, que
los pagos o créditos son registrados correctamente y que el informe está aritméticamente
correcto.
• En los casos donde deseamos confiar en los informes usados por la gerencia o usamos otra EAE en
nuestro proceso de auditoría, consideramos si una estrategia de puntos de referencia es apropiada.
Una estrategia de puntos de referencia puede reducir el alcance de las pruebas de EAE en períodos
después de la prueba inicial de detalles.

• La estrategia de puntos de referencia puede ser una estrategia útil cuando las entidades usan
sistemas de software comprado, hacen poco para adaptarlos y no hacen cambios frecuentes. En
estas situaciones, esperaríamos que los informes usados en los controles ITDM o como parte de
nuestros procedimientos sustantivos tuvieran cambios mínimos. Si bien los ITGCs sobre estos
sistemas de software comprados pueden no ser eficaces, aún podemos usar una estrategia de
puntos de referencia revisando los registros de cambios a programas generados por el sistema
para verificar que no se han hecho cambios a los informes aplicables, o para probar los cambios
que fueron hechos.

Beneficios de los puntos de Estrategia de puntos de Supuestos/premisas para

referencia referencia establecida para elegibilidad
• Ampliar los beneficios de • Controles de aplicación • Ningún cambio a programas
ciertas pruebas de aspectos • Información producida por subyacentes relacionados
automatizados para IT (p.ej., informes o con controles de aplicación
controles de aplicación y conciliaciones producidos (pruebas y documentos del
controles manuales por IT) usada en controles equipo)
dependientes de IT en manuales dependientes de • Probar el funcionamiento
períodos posteriores de la IT del programa subyacente
auditoría en un momento específico y
• Evidencia electrónica de
• Reducir o eliminar ciertos auditoría (EAE) en períodos posteriores,
procedimientos sustantivos verificar que no han
en los períodos actual y ocurrido cambios
posterior de la auditoría • Probar y confiar en ITGCs
(p.ej., procedimientos de administración de
sustantivos para establecer cambios u otras pruebas
la confiabilidad de la EAE) directas para concluir que
las aplicaciones de IT
funcionarán eficazmente a
través del tiempo
Referirse a SO9_5 y SO9_Apéndice 1 para más información sobre aplicación de una estrategia de puntos
de referencia a aspectos automatizados de controles y S09_Documentación, respecto a los
requerimientos de documentación relacionados

• En el alcance en que los ITGCs subyacentes sean considerados ineficaces, ejecutamos

procedimientos más extensos sobre la EAE utilizada para un control manual dependiente de IT para
determinar que el control está funcionando eficazmente. Cada vez que el control manual
dependiente de IT es usado, ejecutamos pruebas de la corrección aritmética de la EAE y probamos la
información del informe desde o hacia los documentos fuente originales.
 • Por ejemplo, al probar la antigüedad de las cuentas por cobrar, si hay ITGCs ineficaces,
podemos ejecutar pruebas de 25 facturas para determinar que su antigüedad está siendo
calculada apropiadamente, contra una prueba de uno si los ITGCs fueran eficaces. Además, si
estuvimos usando este informe en ambas pruebas, intermedia y de fin de año, necesitaríamos
ejecutar pruebas del informe a ambas fechas.
Diseñamos la oportunidad de nuestras pruebas sobre controles para poder concluir que el control estuvo
funcionando eficazmente según estaba diseñado durante todo el período de confianza. Sin embargo,
podemos probar los controles antes del fin del año y ejecutar procedimientos de actualización para
determinar que no se han hecho cambios entre el período de la prueba y el fin del año. El alcance de los
procedimientos de actualización se basa en un número de factores, incluyendo qué tan temprano en el
año ejecutamos nuestras pruebas sobre controles.

Ha usado usted su partida de recorrido como una de sus partidas de muestra para las pruebas
sobre controles? (S09_3.1.2)

• Consideramos si se pueden ejecutar pruebas sobre controles simultáneamente con nuestro

recorrido. Específicamente, para ciertos controles de aplicación una prueba de uno es apropiada (es
decir, si podemos confiar en los ITGCs), nuestros procedimientos durante el recorrido pueden
funcionar como nuestra prueba sobre controles. En otros casos, podemos también usar la partida de
selección de muestra proveniente del recorrido de la SCOT para representar una de nuestras
partidas de muestra para nuestra prueba sobre controles. Por ejemplo, si hemos recorrido y probado
los controles de una conciliación mensual como parte de nuestros procedimientos de recorrido,
solamente necesitaríamos probar una conciliación adicional de un mes (siempre y cuando hayamos
ejecutado los procedimientos apropiados de pruebas sobre controles para ambas partidas de
muestra).
Para determinar nuestros tamaños de muestra, comenzamos en el número mínimo de partidas para
prueba y consideramos los otros factores en S09_3 que pudieran llevarnos a elevar el tamaño de la
muestra. Los tamaños de muestra mínimos (los cuales están listados en S09_3.1.1) se basan en la
expectativa de que estamos probando más de un control para una aseveración relevante y que no
encontraremos excepciones de control en la operación del control. En muchos casos, las entidades
privadas pueden tener solamente un control clave por aseveración relevante. En estos casos, se requiere
un tamaño de muestra mínimo de 60 partidas para controles manuales ejecutados diariamente o muchas
veces por día.

Sería apropiado rotar nuestras pruebas sobre controles para SCOTs rutinarias?
(S09_4.1)

• Las pruebas sobre controles para SCOTs rutinarias pueden ser rotadas cuando todos los criterios de
S09_4.1 se cumplen (Nota: las pruebas sobre controles para SCOTs no rutinarias o de estimación o
para el FSCP no pueden ser rotadas). S09_4.1 también lista situaciones en las cuales no podemos
rotar las pruebas sobre controles. Por ejemplo, no rotamos pruebas sobre controles donde los ITGCs
son ineficaces.

• Para aplicar una estrategia de confianza en controles, debemos probar los controles para una SCOT
rutinaria por lo menos una vez cada tres años, incluir la mayoría de las SCOTs rutinarias en nuestra
 estrategia de confianza en controles y no podemos tener un período de auditoría donde no hayamos
probado algunos controles sobre SCOTs rutinarias.

• Consideramos cuidadosamente cuándo podemos rotar las pruebas sobre controles. Esta puede
ser una estrategia eficaz cuando la entidad tiene procesos con pocos o ningún cambio de un año
a otro, controles que han funcionado exitosamente en años anteriores y controles que están
bien documentados. Usando una estrategia de rotación, podemos reducir el alcance de las
pruebas sobre controles en cualquier año determinado y aún confiar en los controles para varias
SCOTs rutinarias (lo cual tendrá un efecto positivo sobre la naturaleza, oportunidad y alcance de
nuestros procedimientos sustantivos).

• Cuando planeamos confiar en una estrategia de rotación para probar controles, recorremos
cada año los controles para cada SCOT, aunque éste puede no ser un año donde probamos los
controles relacionados, con el fin de determinar que los controles aún funcionan como fueron
diseñados y probados en años anteriores. Si existen cambios en los controles, los evaluamos
con el fin de determinar la importancia del cambio. Si el cambio tiene un efecto significativo
sobre la operación de la SCOT rutinaria de tal manera que ya no pueda ser una base para
confianza continua, no continuamos nuestra estrategia de rotación para esa SCOT. Por el
contrario, si el cambio no es significativo, probamos el nuevo control en el año actual para
determinar si podemos continuar confiando en los controles sobre esa SCOT en nuestra
estrategia rotativa.

Ha analizado usted apropiadamente las excepciones de control y el efecto sobre nuestra

estrategia de auditoría? (E02_2.1 y E02_2.2)

• Si identificamos una excepción de control, investigamos la naturaleza y causa de la excepción y

evaluamos su efecto sobre nuestra auditoría. La Sección E02_2 proporciona las guías para tratar
excepciones de control. Podemos concluir, después de apropiada consideración, que ciertas
excepciones de control son aleatorias en lugar de sistemáticas. (Sección E02_2.1). Si concluimos que
la excepción es sistemática, no ampliamos nuestro tamaño de muestra sino, en cambio, concluimos
que la excepción es una deficiencia en el control interno (referirse a E02_3), y no confiamos en el
control. En situaciones donde no hemos identificado otros controles que sean relevantes para la
aseveración significativa cubierta por el control ineficaz (lo cual puede ser probable en una entidad
menos compleja) o si los otros controles que son identificados en relación con esta aseveración
tampoco están funcionando eficazmente, modificamos nuestra evaluación del riesgo de control a “no
confiar en controles”.

Diseñar y ejecutar pruebas de asientos de diario y ejecutar

otros procedimientos obligatorios sobre fraude (S10, E03)
Diseñamos y ejecutamos ciertos procedimientos de detección de fraude para tratar los riesgos de omisión
de controles por parte de la gerencia, incluyendo:

• Probar la corrección de los asientos de diario y otros ajustes

• Evaluar la razón de negocios para transacciones inusuales significativas fuera del curso normal de
negocios
• Revisar estimaciones contables significativas en cuanto a evidencia de influencias de la gerencia
(documentadas en nuestro trabajo sustantivo E05)

GAM scalability — consideraciones clave:

The following scalability considerations have an effect on our design and execution of testing
journal entries:

Have you considered whether it is

Have you considered whether it is
sufficient to include for testing only the
sufficient to test only the required Influences affecting the
Have you considered also selecting required population of journal entries and
population of journal entries and other
unusual, unique and/or high-risk journal nature, timing and extent for other adjustments, or if, based on other
adjustments, or if, based on other factors,
entries and other adjustments for testing?
there is a need to include additions to the testing journal entries and factors, there is a need to include
(E03_1.2) other adjustments additions to the required population or to
required population or to test the entire
test entries selected from the entire
population?
population? (S10_1.4.2)

Puntos clave de la metodología y consideraciones de ejecución de la auditoría:

• En cada compromiso, se requiere que incluyamos los siguientes asientos de diario y otros ajustes en
el alcance y el universo para nuestras pruebas de asientos de diario (S10_1.4.1):

• Asientos de diario y otros ajustes hechos cerca del fin del período de reporte

• Ajustes posteriores al cierre

• Asientos de diario y otros ajustes hechos para registrar transacciones fuera del curso normal de
negocios
 Ha considerado usted si es suficiente incluir para prueba solamente el universo requerido de
asientos de diario y otros ajustes, o si, con base en otros factores, hay necesidad de incluir
adiciones al universo requerido o probar asientos seleccionados del universo completo?
(S10_1.4.2)

• Determinamos la necesidad de incluir otros asientos de diario provenientes de todo el período en

nuestro universo para prueba considerando lo siguiente:

Influences on the extent of testing journal entries and

other adjustments from throughout the period

Management’s opportunity to manipulate earnings based on our

Not present Present
understanding of SCOTS and FSCP (S10_1.1)

Not present Management’s incentive to manipulate earnings (S10_1.2) Present

Not present Inappropriate or unusual activity identified through inquiries (S10_1.3) Present

Substantive Audit approach (see below) Controls based

Additional considerations regarding the nature and risk of management’s

Less More
opportunity to manipulate earnings (see below)

Additions to the required population

Scenario 1 Scenario 2 Scenario 3

No additional journal Journal entries from The entire population of

entries are included in various classes of journal entries is
the population of transactions, periods considered for testing.
testing. or account balances
are included in the
testing population.

• Las consideraciones sobre la estrategia de auditoría incluyen la naturaleza de la evidencia que

planeamos obtener mediante pruebas sustantivas de un saldo de cuenta significativa y si mediante
estas pruebas será obtenida evidencia suficiente respecto a lo apropiado del registro de asientos de
diario.
• Las consideraciones adicionales respecto a la naturaleza, y el riesgo de que la gerencia tenga
oportunidad para manipular las utilidades, incluyen el hecho de que cuando han sido identificados
riesgos de aseveración equívoca material proveniente de fraude (por ejemplo, el riesgo de
 manipulación de ciertas cuentas de reserva), ampliamos el universo de asientos del cual
seleccionaremos los asientos para prueba con el fin de incluir asientos hechos a las cuentas
significativas relacionadas.
• Discutir con el socio a cargo de la auditoría si se ha determinado que la probabilidad de omisión por
parte de la gerencia es más alta.
• Involucrar a ejecutivos del compromiso para determinar los objetivos y planear el alcance de los
procedimientos de asientos de diario.
• Para obtener los asientos de diario, podemos usar una herramienta específica (p.ej., herramienta
interna de EY, Access, Excel) para acceder y analizar los asientos, o aún usar el sistema propio de la
entidad (algunos sistemas de IT tienen herramientas de extracción de datos construidas dentro de los
mismos; mediante indagaciones ad hoc sobre la aplicación del mayor general de la entidad, podemos
realizar este análisis). Cuando usamos una herramienta de la entidad, necesitamos establecer
algunas bases para determinar que la entidad nos ha dado lo que solicitamos (concepto similar a
Evidencia Electrónica de Auditoría).
• Generalmente, una revisión manual de asientos de diario es suficiente solamente para las entidades
más pequeñas, menos complicadas. Consideramos obtener ayuda de profesionales de IT con los
procedimientos de coordinación y captura de información, donde sea apropiado.

Ha considerado usted seleccionar para prueba también los asientos de diario y otros ajustes
inusuales, únicos y/o de alto riesgo? (E03_1.2)

• Analizamos más a fondo el universo de asientos de diario que hemos obtenido para identificar
asientos específicos que parecen inusuales o de alto riesgo. Podemos filtrar el universo con base en
el juicio profesional para identificar asientos que están:

• Por encima de cierto límite

• Hechos para cuentas no relacionadas

• Hechos por personas que típicamente no hacen asientos de diario

• Hechos en momentos inusuales del día

• Hechos por cifras redondas

• Una vez que hayamos analizado y filtrado el universo de asientos de diario y otros ajustes que
incluimos en nuestro alcance de pruebas, ejercemos nuestro juicio profesional para seleccionar
asientos de diario específicos para prueba. Generalmente nos enfocamos en asientos de diario y
ajustes manuales o no estándar (ejemplos de características de riesgo único o más alto se incluyen
en E03_1.2).

• Cuando hemos adoptado una estrategia solamente sustantiva y creemos que obtendremos suficiente
evidencia respecto al registro apropiado de los asientos de diario a través de los procedimientos
sustantivos ejecutados sobre cuentas significativas (es decir, que podemos haber examinado ya
estos importantes asientos de diario que forman el saldo de cuenta como parte de nuestros
procedimientos sustantivos, y así no necesitamos probarlos de nuevo como parte de nuestras
pruebas de asientos de diario), puede ser apropiado, después de considerar hechos adicionales,
seguir el Escenario 1 con respecto a asientos de diario, más allá del universo requerido descrito
anteriormente, que afectan esas cuentas significativas (es decir, no se requiere incluir asientos de
diario adicionales en nuestro universo de prueba (S10_1.4.2)).
Diseñar procedimientos sustantivos (S11) y ejecutar
procedimientos sustantivos (E05)
Diseñamos y ejecutamos procedimientos sustantivos de manera que la combinación de nuestros
procedimientos (incluyendo pruebas sobre controles) proporcione suficiente evidencia de auditoría para
reducir el riesgo de auditoría a un nivel aceptablemente bajo y permitirnos sacar conclusiones razonables
sobre las cuales basar nuestra opinión.

GAM scalability — consideraciones clave:

The following scalability considerations should be considered in determining the nature,

timing and extent of our substantive audit procedures:

Have you customized the PSPs based on the CRA

Have you properly considered that the
form and extent of our audit
documentation is influenced by the
nature, size and complexity of the entity
and its internal control as well as the
availability of information from the
entity? (E05_1.8)
assigned to each significant assertion
(considering the two situations in which a PSP
may not be applicable—see S11_2.3) and
designed OSPs where appropriate? Have you
developed an audit program that is specific to
the nature, timing and extent of the procedures
that must be performed? (S11_2)

Have you appropriately set testing

thresholds based on TE and the CRA for
each significant assertion? Are there
circumstances where the testing
threshold for specific accounts and
assertions can be greater than TE?
Have you appropriately considered your
(S11.3 and S11 Appendices 2.2.1.1 and
CRA in determining the sampling strategy
Nature, timing and extent of 2.2.1.2)
to test the related populations? Have you
considered the level of assurance substantive procedures
obtained from OSPs in determining based on CRA and other
sample sizes? (S11_Appendix 4.2 and EY
factors For entities that are relatively stable and
GAM Supplement for audit sampling)
have fewer significant changes from year
to year, have you considered any
documentation that can be updated and
carried forward from the prior year?
Additionally, have you designed
substantive analytical procedures based
on known trends over multiple years and
Have you designed more limited considered the use of predictive analytical
procedures for “not significant” procedures when the expectation is that
accounts? (S11_6.1) these trends will continue?
Have you considered the impact of EAE (S11_Appendix 1)
that was tested as part of your test of
controls procedures or was benchmarked
in the prior years?
(S11_3.6 and S09_Appendix 1)
Puntos clave de la metodología y consideraciones de ejecución de la auditoría:
Evaluación del riesgo
de control Confiar en controles No confiar en controles
Evaluación del riesgo de
Confiar en controles No confiar en controles
control
Evaluación de riesgo
Más bajo Más alto Más bajo Más alto
inherente
CRA Mínimo Bajo Moderado Alto
PSPs Procedimientos analíticos Procedimientos analíticos en un nivel más alto
de desagregación soportados por pruebas de
información subyacente
Adaptar para incluir pruebas menos extensas Adaptar para incluir pruebas más extensas de
de detalles de partidas clave* para cuentas detalles de partidas clave * y muestras
del balance general representativas para cuentas del balance
general y pruebas de detalles o transacciones
para cuentas del estado de resultados
N/A Pruebas de detalles N/A
Pruebas de detalles en
en límites más bajos
límites más bajos * y/o
* y/o probar una
ampliar la muestra
muestra
representativa para
representativa para
PSPs para responder a
PSPs para responder
riesgos inherentes más
a riesgos inherentes
altos y riesgos
más altos y riesgos
significativos
significativos
OSPs Procedimientos Considerar Considerar Considerar técnicas
analíticos procedimientos procedimientos analíticas de predicción
generalmente no analíticos sustantivos analíticos sustantivos soportadas por pruebas
necesarios a menos para tratar riesgos para tratar WCGWs de información
que suficiente inherentes más altos no tratadas por PSPs subyacente
evidencia de y responder soportados por
auditoría no sea específicamente a pruebas de
obtenida de PSPs riesgos significativos información
subyacente
Pruebas de detalles Considerar pruebas Considerar pruebas Diseñar pruebas de
generalmente no de detalles de de detalles de detalles de partidas
necesarias partidas clave* para partidas clave* y clave * y muestras
tratar riesgos muestras representativas para
inherentes más altos representativas para identificar y cuantificar
tratar WCGWs que aseveraciones
Considerar pruebas no son tratadas por equívocas materiales.
de detalles para PSPs Adicionalmente,
responder diseñar pruebas de
específicamente a detalles para responder
riesgos significativos específicamente a
riesgos significativos
Ejemplo de límites de prueba**(% del ET):
Para cuentas del activo o
75%—100% 50%—75% 25%—50% 10%—25%
ingresos
Para cuentas del pasivo o
25%—50% 15%—25% 10%—15% 5%—10%
gastos
Oportunidad (antes de la
fecha del balance Hasta 6 meses Hasta 3 meses Hasta un mes
general)
* Ejercemos el juicio profesional al establecer los límites de prueba de partidas clave con base en el CRA de la aseveración
relevante, la naturaleza del procedimiento planeado y la composición del saldo probado, entre otras cosas. Si no son
seleccionadas partidas clave para prueba, determinamos cómo obtener evidencia de auditoría sustitutiva apropiada (p.ej.,
bajando nuestro límite de prueba o seleccionando una muestra representativa pequeña).
** Ejercemos el juicio profesional al establecer límites de prueba. La determinación de límites de prueba debe depender primero
de la composición del saldo de cuenta que está siendo probado, considerando el CRA de la aseveración relevante así como la
naturaleza del procedimiento planeado. Los rangos provistos son ilustrativos para indicar que a medida que el CRA aumenta
nuestros límites de prueba disminuirían para resultar en un alcance de prueba aumentado. Los límites de prueba de ejemplo en
esta tabla se basan en un ejemplo específico que se puede encontrar en S11_Apéndice 2.2.1.1 Cuentas del activo e ingresos, y
S11_Apéndice 2.2.1.2 Cuentas del pasivo y gastos.
 Ha adaptado usted los PSPs con base en el CRA asignado a cada aseveración significativa
(considerando las dos situaciones en las cuales un PSP no puede ser aplicable — ver S11_2.3)
y diseñado OSPs donde sea apropiado? Ha desarrollado usted un programa de auditoría que
sea específico para la naturaleza, oportunidad y alcance de los procedimientos que deben ser
ejecutados? (S11_2)

Diseñar un programa de auditoría que sea específico para la naturaleza, oportunidad y alcance de los
procedimientos a ser ejecutados es crítico para ejecutar una auditoría eficaz. Proporcionar información
específica sobre partidas tales como: con quién hablar, las especificaciones de la política contable de la
entidad o el proceso para la cuenta específica, el número de partidas a ser probadas, los límites de
prueba, el período a ser cubierto por los procedimientos, los informes a ser utilizados, la precisión
requerida, la naturaleza de los procedimientos analíticos sustantivos y de predicción (incluyendo
expectativas sobre relaciones) y cómo manejar las excepciones ayudará a asegurar que los miembros del
equipo que ejecutan los procedimientos tengan instrucción específica sobre cómo auditar la cuenta y que
la estrategia de prueba del programa de auditoría es apropiada. Esta clase de especificación en el
programa de auditoría no solamente nos ayudará a confiar en la calidad (sin revisarla) sino que también
nos permitirá ejecutar los procedimientos más eficientemente “haciendo lo correcto la primera vez”.

• Por ejemplo, el PSP, “Probar la valuación de inventario para verificar que es ejecutada de acuerdo
con las políticas contables del cliente o el marco aplicable de reporte de información financiera”,
debe ser complementado para incluir información tal como la forma en que la entidad valora su
inventario (p.ej., costo promedio), qué informe debe ser utilizado para seleccionar las partidas de
muestra y en qué período (p.ej. el informe de costo promedio al 30 de septiembre), cuantas partidas
deben ser probadas (p.ej., partidas superiores a X% del ET, el número específico de partidas
aleatorias para probar o la información de entrada (inputs) al MicroSTART para calcular el tamaño
apropiado de la muestra), cómo probar los valores relacionados (p.ej., obteniendo la factura más
reciente y comparándola con el informe de costo promedio), y que investigación adicional ejecutar
(p.ej., para partidas con diferencias superiores al 5%, obtener explicación sobre por qué ocurrieron
las diferencias y extrapolar cualquier diferencia sobre el universo completo). El programa de
auditoría debe basarse en los PSPs aplicables, lo cual proporciona el nivel mínimo de evidencia
sustantiva de auditoría, con base en las cuentas significativas y aseveraciones identificadas. Debe ser
considerado cada PSP para determinar si es aplicable y si el PSP específico fue o no cubierto por
otros procedimientos o una prueba de doble propósito. Las pruebas de doble propósito son aquéllas
que son diseñadas para ejecutar simultáneamente una prueba sobre control y una prueba sustantiva.
Ver también Diseñar y ejecutar pruebas sobre controles (S09 y E02) de esta guía para discusión
sobre el uso de pruebas de doble propósito.

• Los OSPs son diseñados en situaciones donde la evidencia obtenida de PSPs no es suficiente para
sacar conclusiones sobre saldos de cuenta específicos. La necesidad de OSPs es más generalizada en
circunstancias donde no hemos probado los controles. Puesto que los PSPs representan el nivel
mínimo de evidencia sustantiva de auditoría, con base en nuestro CRA determinamos el alcance de
OSPs a ser diseñado. Los OSPs también se usan para tratar riesgo inherente más alto y los riesgos
significativos que son identificados.

• Diseñamos pasos del programa de auditoría para conectar los procedimientos en el mismo nivel de
especificación en que diseñamos nuestros PSPs y OSPs con base en la oportunidad cuando los
procedimientos intermedios fueron ejecutados y nuestro CRA (es decir, proporcionar información
específica sobre la naturaleza, oportunidad y alcance de los procedimientos de conexión en nuestro
 programa de auditoría). En limitadas circunstancias, podemos ejecutar procedimientos más
temprano de lo que sugiere GAM (p.ej., si la entidad ejecuta sus procedimientos de inventario físico al
30 de septiembre cuando el CRA para existencia de inventario es moderado). En estos casos,
debemos ejecutar procedimientos de auditoría más extensos en el período de conexión para tratar el
riesgo de aseveración equívoca material en ese período. Debemos ser cuidadosos al diseñar los
procedimientos de auditoría apropiados en el período de conexión.

• Las cuentas del estado de resultados y las SCOTs relacionadas generalmente son más predecibles
puesto que representan transacciones acumuladas durante un período de tiempo, mientras que las
cuentas del balance general incluyen los efectos netos de las transacciones en un momento
específico y son bastante influidas por la discreción de la gerencia (p.ej., la oportunidad de los
desembolsos de efectivo para cuentas por pagar). Además, la relación de ciertas cuentas del estado
de resultados generalmente se mueve en la misma dirección (p.ej., ingresos y costo de ventas).
Como resultado, los procedimientos analíticos pueden proporcionar suficiente evidencia de auditoría
para cuentas del estado de resultados cuando nuestro CRA es mínimo, y procedimientos analíticos
sustantivos más extensos (y/o algunas pruebas de partidas clave) son ejecutados cuando nuestro
CRA es bajo. En situaciones donde nuestro CRA es moderado o alto, los procedimientos analíticos
generalmente no proporcionan suficiente evidencia de auditoría para las cuentas del estado de
resultados y diseñamos pruebas adicionales de detalles.

• Para cuentas del estado de resultados con un CRA moderado o alto (es decir, cuando no hemos
probado los controles o los hemos probado y encontrado ineficaces), incluimos pruebas de
detalles o transacciones para complementar nuestros procedimientos analíticos para cuentas
del estado de resultados. Como resultado de nuestro CRA moderado o alto, debemos ejecutar
pruebas que cubran un período durante todo el año. El alcance de las pruebas se basa en
nuestro juicio profesional. Generalmente, podemos usar un tamaño de muestra de 25 para
ejecutar pruebas de transacciones cuando hemos obtenido alguna evidencia de auditoría de
otros procedimientos tales como procedimientos analíticos sustantivos o pruebas de partidas
clave (p.ej., probar transacciones de ingresos que superan un límite apropiado) y si nuestra
expectativa es encontrar pocos o ningún error. Si esperamos no tener evidencia de auditoría de
otros procedimientos, aumentamos nuestro tamaño de muestra a 60 partidas. Consideramos
probar la mayoría de nuestras partidas de muestra hasta una fecha intermedia (p.ej. hasta el 30
de septiembre) de acuerdo con el universo total esperado y luego ejecutar pruebas de las
partidas restantes al fin del año para representar las transacciones del cuarto trimestre. El
siguiente es un ejemplo de procedimientos ejecutados (además de los procedimientos analíticos
detallados y/o pruebas de partidas clave) para transacciones de ventas que son libre a bordo
(FOB) punto de embarque (es decir, el ingreso se reconoce sobre el embarque) con el fin de
probar las aseveraciones de ocurrencia y medición (y donde hemos obtenido alguna evidencia
de auditoría de otros procedimientos):

- Seleccionar 25 facturas de venta del mayor general y/o el registro de ventas (usando EY
Random) de todo el año, y:

• Cotejar los detalles del conocimiento de embarque (o evidencia de embarque) para

confirmar que la factura es generada en el día correcto y por la cantidad correcta

• Cotejar los precios en la factura con la lista maestra de precios

• Recalcular la factura total con base en las cantidades embarcadas y el precio de venta
 • Rastrear la factura al mayor general en cuanto a ingresos, y al libro auxiliar de cuentas
por cobrar (antigüedad de la cuenta por cobrar)

• Cotejar la factura con el efectivo recibido posteriormente como prueba de pago de esa
factura (para obtener evidencia de que la venta no es ficticia)

Ha establecido usted apropiadamente límites de prueba con base en el ET y el CRA para cada
aseveración significativa? Existen circunstancias donde el límite de prueba para cuentas y
aseveraciones específicas puede ser mayor que el ET? (S11.3 y S11 Apéndices 2.2.1.1 y
2.2.1.2)

Consideramos los límites de prueba en la tabla anterior para determinar el alcance de las pruebas. Sin
embargo, también debemos considerar criterios cualitativos al seleccionar partidas para prueba que
tienen mayor probabilidad de contener aseveraciones equívocas materiales. Generalmente no
establecemos límites de prueba por encima del ET; sin embargo, en ciertas circunstancias, establecer
límites por encima del ET puede justificarse.

• Cuando los errores detectados y para los cuales la prueba está diseñada no tienen un impacto de uno
a uno sobre la base usada para determinar la MP. Por ejemplo, al ejecutar pruebas de corte de
ingresos, un error de ingresos solamente afecta la utilidad antes de impuestos (si esa es la base
usada para determinar la MP) por el importe del margen bruto. Como resultado, nuestro límite de
prueba puede representar el ET dividido por el porcentaje de margen bruto (suponiendo que el CRA
establecido es mínimo, lo cual permite probar al nivel de ET).

• En situaciones donde un número significativo de partidas en el universo relevante están por encima
del ET, planeamos confiar en los controles y tenemos diseñados otros procedimientos sustantivos
para tratar la misma aseveración, podemos aumentar nuestro límite de prueba de manera que el
número de partidas clave seleccionadas sea consistente con la evidencia que necesitamos obtener de
esta prueba. Por ejemplo, cuando seleccionamos para confirmar saldos de cuentas por cobrar (AR)
(con un número significativo de saldos de AR mayores que el ET) donde tenemos un CRA preliminar
bajo y estamos ejecutando otros procedimientos sustantivos sobre la aseveración de existencia
(p.ej., estamos ejecutando pruebas de contratos clave y verificando que el ingreso es reconocido en
el período apropiado junto con las cuentas por cobrar relacionadas y el ingreso diferido), podemos
usar un límite de prueba superior al ET.
Ver S11_Apéndices 2.2.1.1 y 2.2.1.2 para información adicional sobre determinación de límites de
prueba.

Para entidades que son relativamente estables y tienen pocos cambios significativos de un
año a otro, ha considerado usted alguna documentación que pueda ser actualizada y
trasladada desde el año anterior? Adicionalmente, ha diseñado usted procedimientos
analíticos sustantivos con base en tendencias conocidas por varios años, y considerado el uso
de procedimientos analíticos de predicción cuando la expectativa es que estas tendencias
continuarán? (S11_Apéndice 1)

Para la auditoría de una entidad menos compleja y (o) una entidad que opera en un entorno estable,
puede haber una mayor oportunidad de usar documentación trasladada y diseñar procedimientos
analíticos con base en las tendencias e información del año anterior.
• Determinar memorandos u otros papeles de trabajo que fueron usados en la auditoría del año
anterior y lo apropiado de actualizar esos documentos revisándolos y documentando solamente los
cambios desde el año anterior. Ciertos papeles de trabajo que proporcionan evidencia en el año
anterior también pueden ser relevantes en el año actual. Por ejemplo, los papeles de trabajo que
proporcionan información sobre el gasto de arrendamiento en un convenio de arrendamiento de
varios años pueden ser actualizados año tras año con procedimientos de auditoría adicionales
mínimos.

• Considerar diseñar procedimientos analíticos con base en tendencias de varios años o considerar
información obtenida de procedimientos de auditoría del año anterior con el fin de diseñar
procedimientos analíticos de predicción en áreas tales como: gasto de depreciación y amortización,
gasto de nómina, gasto por intereses, ingresos derivados de contratos anuales o a largo plazo,
antigüedad de cuentas por cobrar y la provisión relacionada para cuentas dudosas, antigüedad de
inventario y reservas relacionadas de E&O, etc. En negocios que son menos susceptibles a cambios,
podemos diseñar procedimientos analíticos sustantivos que proporcionen evidencia de auditoría
primaria para cuentas o aseveraciones significativas. Podemos tener un nivel de precisión más alto
en nuestras expectativas con base en los resultaos de auditorías de varios años. Cuando ejecutamos
procedimientos analíticos, podemos obtener un grado más alto de evidencia de auditoría cuando
tenemos una base de comparación que se extiende más allá de un año (p.ej., comparando las
categorías de antigüedad de cuentas por cobrar del año actual con cada uno de los últimos tres años
contra el año anterior solamente).

• Considerar aprovechar la documentación de revisión analítica desarrollada y usada por la gerencia

para su monitoreo interno y reportes, donde sea apropiado. Al diseñar procedimientos analíticos, es
importante discutir con la gerencia sobre los tipos de medidas usadas por ellos para monitorear y
administrar el negocio. Por ejemplo, en entornos menos complejos, la gerencia se enfoca solamente
en unas pocas medidas clave para analizar (p.ej., tales como las que se encuentran en reportes
“Dashboards” a la gerencia) pues ellos creen que esto les da una imagen clara de las operaciones de
la entidad. Estas discusiones con la gerencia son muy útiles para diseñar nuestros procedimientos
analíticos y enfocarnos en las medidas que son importantes para la entidad, y para reunir evidencia
de auditoría a fin de poner a prueba los importes registrados en los estados financieros de la entidad.

• Adicionalmente, en estos entornos, diseñar nuestros procedimientos sustantivos sobre una base
anual debe ser un ejercicio menos extenso puesto que podemos revisar aquellos procedimientos
ejecutados en el año anterior y actualizarlos para reflejar cualquier cambio en el negocio de la
entidad, el entorno de control, los riesgos significativos, el ET, nuestro CRA y la estrategia de
auditoría relacionada, y las normas de contabilidad y auditoría en el año actual. También debemos
actualizar nuestros procedimientos sustantivos de auditoría.

Ha considerado usted el impacto de la EAE que fue probada como parte de nuestros
procedimientos de pruebas sobre controles o puntos de referencia en los años anteriores?
(S11_3.6 yS09_Apéndice 1)

Es necesario diseñar procedimientos de auditoría apropiados para establecer una base de confianza en
toda la EAE que será usada para ejecutar nuestros procedimientos sustantivos. Debemos dar una
consideración apropiada al uso de puntos de referencia en la EAE si podemos confiar en los ITGCs y/o la
entidad tiene sistemas de software que permitan la revisión de cambios a programas generados por el
sistema que pudieran confirmar cuáles cambios, si los hay, han sido hechos a los informes usados como
EAE.

• Una revisión cuidadosa de toda la EAE debe ser ejecutada al diseñar y realizar procedimientos
sustantivos de auditoría y debemos prestar atención a los informes en los cuales se pueden usar
puntos de referencia o que han sido probados mediante procedimientos de pruebas sobre controles
donde pruebas adicionales pueden no ser necesarias. Por ejemplo, para un informe de antigüedad de
cuentas por cobrar que es utilizado como base para que la gerencia establezca la provisión de fin de
año para cuentas dudosas, debemos considerar si ya han sido ejecutadas pruebas para confirmar
que la antigüedad de esas facturas ha sido calculada apropiadamente y que el informe está
aritméticamente correcto. Si esos procedimientos fueron ejecutados en años anteriores y hemos
examinado evidencia de que la aplicación que fundamenta el informe permanece sin cambio,
podemos no necesitar ejecutar pruebas similares en el año actual.

• Muchas entidades privadas usan hojas de cálculo electrónico como una parte significativa de su
análisis de cuenta y reportes. Es importante que comprendamos las hojas de cálculo usadas y,
dependiendo de nuestro CRA, diseñemos procedimientos adecuados para probar las hojas de cálculo
(obtener documentación fuente para soportar la información dentro de la hoja de cálculo, probar
matemáticamente la hoja de cálculo, etc.) Si no existen controles respecto a la seguridad y la
integridad de la información de la hoja de cálculo, será necesario ejecutar pruebas similares cada vez
que la hoja de cálculo es usada en nuestros procedimientos de auditoría.
La naturaleza y alcance de los procedimientos sobre estimaciones contables deben ser considerados con
base en la evidencia de auditoría que podemos obtener de la entidad para soportar su estimaciones y los
controles que rodean la estimación o, alternativamente, de actividad posterior que valida (o invalida) la
estimación a la fecha del informe.
Las entidades menos complejas pueden no tener departamentos de contabilidad o sistemas sofisticados
que pueden ser usados para desarrollar estimaciones. En esos casos, podemos determinar que el mejor
enfoque es desarrollar nuestra propia estimación puntual o rango para evaluar la estimación de la
gerencia. Esto también puede resultar en el uso de un especialista interno. Al diseñar nuestros
procedimientos de auditoría sobre estimaciones, debemos tener una comprensión completa del proceso
de la gerencia de manera que podamos determinar el enfoque más eficaz para auditar la estimación.

Ha diseñado usted procedimientos más limitados para cuentas “no significativas”? (S11_6.1)

Al determinar la naturaleza, oportunidad y alcance de nuestros procedimientos de auditoría, diseñamos

más procedimientos limitados para cuentas “no significativas” que consisten en comprender (mediante
indagación) la naturaleza y propósito de la cuenta, y procedimientos analíticos sustantivos y pruebas
limitadas de detalles, cuando sea apropiado, con el fin de confirmar que nuestra evaluación de la cuenta
como no significativa es apropiada. Por ejemplo, si hemos determinado que propiedad, planta equipo es
una cuenta no significativa con base en la insignificancia de las adiciones o enajenaciones en el año actual,
y que el gasto de depreciación es un porcentaje consistente de PPE al costo, diseñamos y ejecutamos
procedimientos limitados para asegurar que nuestras suposiciones son correctas. Si probamos que
nuestras suposiciones son incorrectas, cuestionamos si la designación de la cuenta como “no
significativa” aún es apropiada.
Para cuentas insignificantes, no ejecutamos procedimientos distintos de aquéllos como parte de la
revisión analítica general para cualquier cambio significativo inesperado o falta de cambios esperados en
estas cuentas. Si algo llama nuestra atención respecto al riesgo de aseveración equívoca material,
podemos necesitar cambiar nuestro enfoque de auditoría para considerar la cuenta como significativa.

Ha considerado usted apropiadamente su CRA al determinar la estrategia de muestreo para

probar los universos relacionados? Ha considerado usted el nivel de seguridad obtenida de los
OSPs al determinar los tamaños de muestra? (S11_Apéndice 4.2 y Suplemento para
muestreo de auditoría de EY GAM)

Al determinar los tamaños de muestra usando EY/MicroSTART, usamos varios parámetros para
determinar nuestro tamaño de muestra apropiado, incluyendo: ET, CRA para la aseveración que estamos
probando, cobertura de partidas clave, el método de selección de la muestra y la seguridad proveniente
de otros procedimientos sustantivos. La tabla siguiente proporciona información sobre cómo determinar
del nivel de seguridad proveniente de otros procedimientos sustantivos para usar en EY/MicroSTART:

Impacto para la muestra

Nivel de seguridad Nivel de evidencia obtenida
Persuasiva Otros procedimientos sustantivos
(excluyendo partidas clave) proporcionan
evidencia de que existe una remota
probabilidad (es decir, menos de 5%) de
que una aseveración equívoca exceda el
ET.
Corroborativa Otros procedimientos sustantivos
(excluyendo partidas clave) proporcionan
evidencia de que es más que probable (es
decir, más de 50%) que el saldo restante
(sin incluir partidas clave) esté libre de
aseveraciones equívocas que excederían
el ET.
Alguna Otros procedimientos sustantivos
(excluyendo partidas clave) proporcionan
seguridad más que negativa de que la
cuenta no está errónea por encima del ET,
pero menos evidencia de que por lo
menos es más que probable.
Poca El plan de auditoría no incluye ningún otro
procedimiento sustantivo u otros
procedimientos sustantivos proporcionan
solamente seguridad negativa.
representativa
No es necesario muestreo
representativo adicional
1. Cuando el CRA es mínimo —
no es necesario muestreo
representativo adicional
2. Cuando el CRA es bajo,
moderado o alto — reduce el
alcance de muestreo
representativo
Reducir el muestreo
representativo en comparación
con situaciones donde tenemos
poca seguridad proveniente de
otros procedimientos
Cantidad más significativa de
muestreo representativo

Usamos técnicas de muestreo después de haber seleccionado las partidas clave si aún existe el riesgo de
aseveración equívoca material en el universo restante en conjunto. Necesitamos considerar nuestro CRA
para determinar cuál debe ser la estrategia de muestreo apropiada. Determinamos la estrategia de
muestreo apropiada con base en la evidencia que se necesita proporcionar, nuestro CRA, nuestra
expectativa de errores y el tipo de información disponible de la entidad. Por ejemplo, cuando tenemos un
CRA alto y esperamos más que unas pocas aseveraciones equívocas, muy probablemente usamos
Muestreo de Estimación de Variables porque deseamos estimar los efectos monetarios potenciales de las
aseveraciones equívocas en las partidas de muestra para el universo completo.
Cuando estamos usando EY/MicroSTART para determinar los tamaños de nuestra muestra, consideramos
qué seguridad hemos obtenido de otros procedimientos sustantivos. Los niveles de seguridad son
persuasiva, corroborativa, alguna o poca, como se describe en la tabla anterior. Determinar el nivel de
seguridad puede tener un efecto significativo sobre el tamaño de muestra resultante. En un entorno
menos complejo, ciertos procedimientos analíticos pueden proporcionarnos una mejor evidencia de
auditoría (es decir, más relevante y confiable) que nos permita tener un nivel más alto de seguridad
proveniente de otros procedimientos sustantivos de lo que sería el caso de un procedimiento analítico
similar en una entidad más compleja. Por ejemplo, donde estamos utilizando EY/MicroSTART con el fin de
seleccionar nuestro tamaño de muestra para probar precios de inventario y la entidad tiene un número
limitado de productos con precios de venta fijos y costos de manufactura consistentes, puede ser posible
usar una analítica de predicción para determinar el margen bruto, lo cual puede proporcionar un nivel
considerable de seguridad proveniente de otros procedimientos de auditoría al determinar la valuación de
partidas de inventario. Ese mismo procedimiento analítico en una entidad más compleja puede no
proporcionar el mismo nivel de evidencia debido un mayor número de productos vendidos y margen bruto
que es mayormente afectado por la mezcla de ventas de esos productos.

• Ver el Suplemento para Muestreo de Auditoría de EY GAM para consideraciones y requerimientos

adicionales cuando determinamos la técnica de muestreo y el tamaño de la muestra.

Ha considerado usted apropiadamente que la forma y alcance de nuestra documentación de

auditoría son influidos por la naturaleza, tamaño y complejidad de la entidad y su control
interno, así como la disponibilidad de información proveniente de la entidad? (E05_1.8)

Al ejecutar nuestros procedimientos de auditoría, evaluamos la relevancia y confiabilidad de la

información que obtuvimos como evidencia de auditoría. La siguiente tabla proporciona factores que
influyen en la confiabilidad de la evidencia de auditoría:

Reliability of audit evidence

Reliability of audit evidence influenced by source and nature/circumstances under which obtained

More reliable: Less reliable:

► Obtained from independent sources ► Obtained from the entity
► Supported by effective internal controls ► Supported by ineffective internal controls
► Obtained directly ► Obtained indirectly
► Documented ► Verbal
► Original documents ► Copied or faxed documents

• El nivel de evidencia disponible para evaluar la relevancia y confiabilidad de la información que

hemos obtenido generalmente está correlacionada directamente con la naturaleza, tamaño y
complejidad de la entidad y sus controles internos. Si bien la naturaleza de la evidencia obtenida en
una entidad menos compleja puede no estar al nivel de la que recibiríamos de una entidad más
sofisticada, necesitamos usar el juicio profesional para determinar si podemos confiar en la evidencia
de auditoría proporcionada, o si se necesitan pruebas adicionales o evidencia corroborativa para
reducir exitosamente el riesgo de auditoría a un nivel aceptablemente bajo. Tomar como referencia
la tabla anterior para determinar la confiabilidad de la evidencia obtenida.
Ernst & Young

Assurance | Tax | Transactions | Advisory

About Ernst & Young

Ernst & Young is a global leader in assurance,
tax, transaction and advisory services.
Worldwide, our 141,000 people are united
by our shared values and an unwavering
commitment to quality. We make a difference
by helping our people, our clients and our
wider communities achieve their potential.

Ernst & Young refers to the global

organization of member firms of Ernst & Young
Global Limited, each of which is a separate
legal entity. Ernst & Young Global Limited,
a UK company limited by guarantee, does
not provide services to clients. For more
information about our organization, please visit
www.ey.com.

Ernst & Young LLP is a client-serving member

firm of Ernst & Young Global Limited
operating in the US.
© 2011 Ernst & Young LLP.
All Rights Reserved.