Contenido

INTRODUCCION................................................................................................................................2
Control Interno: Como instrumento para el diagnóstico de Auditoría Financiera....................3
Objetivos del control interno........................................................................................................3
Confiabilidad de la información.................................................................................................3
Eficiencia y eficacia de las operaciones.....................................................................................4
Cumplimiento de las leyes, reglamentos y políticas establecidas.............................................4
Control de los recursos, de todo tipo, a disposición de la entidad............................................4
Estructura de los componentes del Sistema de Control Interno...................................................5
Ambiente De Control.................................................................................................................5
Evaluación De Riesgos...............................................................................................................6
Actividades De Control..............................................................................................................6
Información Y Comunicación.....................................................................................................6
Supervisión Y Seguimiento........................................................................................................7
Factores de un Sistema de Control Interno...................................................................................8
Efectividad de un Sistema de Control Interno.............................................................................10
Enfoque COSO.............................................................................................................................11
COSO I.....................................................................................................................................11
COSO II....................................................................................................................................11
COSO III...................................................................................................................................12
COSO lV: ERM 2017...............................................................................................................13
Teoría del Riesgo.........................................................................................................................15
Papeles de trabajo.......................................................................................................................16
Marcas de Auditoría....................................................................................................................17
Clasificación de las marcas de auditoria..................................................................................18
Evidencia de Auditoría.................................................................................................................18
 INTRODUCCION

El sistema de control interno es un proceso de control integrado a las actividades

operativas de los entes, diseñado para asegurar en forma razonable la fiabilidad de la
información contable; los estados contables constituyen el objeto del examen en la
auditoría externa de estados contables, esta relación entre ambos muestra la importancia
que tiene el sistema de control interno para la auditoría externa de estados contables.

No todas las empresas tienen implementado un sistema de control interno, por razones de
política de la dirección o por razones de tamaño, porque en las pequeñas empresas la
estructura operativa no permite la implementación de un proceso de control integrado; el
conocimiento del sistema de control interno va a permitir desarrollar procedimientos de
comprobación de información más eficientes en empresas que no tiene implementado un
sistema de control interno.

En las empresas que tienen implementado un sistema de control interno, para que sea de
utilidad para la auditoría externa de estados contables, es necesario que el auditor
deposite confianza en los controles que realiza la empresa, para que el auditor decida
depositar confianza deberá evaluar el nivel de desarrollo y si funciona eficientemente;
esta tarea constituye la “Evaluación de las actividades de control de los sistemas que son
pertinentes a su revisión, siempre que, con relación a su tarea, el auditor decida depositar
confianza en tales actividades”.
 Control Interno: Como instrumento para el diagnóstico de Auditoría Financiera

Es el proceso integrado a las operaciones efectuado por la dirección y el resto del personal
de una entidad para proporcionar una seguridad RAZONABLE al logro de sus objetivos.

El término “razonable” reconoce que el Control Interno tiene limitaciones inherentes; esto
puede traducirse en que jamás el directivo y sus trabajadores deben pensar que, una vez
creado el sistema, han erradicado las probabilidades de errores y fraudes en la organización
y que todos sus objetivos serán alcanzados, ya que estarían obviando la posibilidad de que,
así estén establecidos los procedimientos más eficientes, se puedan cometer errores por
descuido, malas interpretaciones, desconocimiento o distracción del personal o
sencillamente que algunas personas decidan cometer un hecho delictivo. Por tanto, el
diseño del sistema debe ir enfocado a los recursos humanos y las vías y métodos para su
mejoramiento continuo.

La razonabilidad se basa, además, en la comprensión de que implementar un sistema de

control es costoso, y por ello, cada actividad de control que se establezca en la entidad
debe evaluarse sobre la base de cuánto cuesta implantarla y cuál es el beneficio que se
obtendrá de ella en el corto plazo. No es posible establecer controles que proporcionen una
protección absoluta del fraude y del desperdicio. Es más aconsejable establecer controles
que garanticen una seguridad razonable por su costo y realizar un monitoreo, evaluando la
eficacia de estos controles para poder identificar, oportunamente, cuando dejan de ser
necesarios.

Objetivos del control interno

Confiabilidad de la información

Este propósito hay que lograrlo no sólo de la información contable financiera como se
acostumbraba, sino de toda la información que se genera a lo largo y ancho de la entidad.

Para lograr este objetivo será necesario hacer un diseño eficiente de los canales para la
información y la comunicación alrededor de ella, y tener definidos cuáles serán los
indicadores de calidad (si es oportuna, clara, directa, etc.) para evaluar la misma. Un fin
importante en el diseño de estos canales es eliminar la duplicidad de información que hoy
se genera y que hace engorroso y burocrático el trabajo en algunas áreas. Con relación a la
información contable y financiera y la elaboración de los estados financieros, se mantienen
las regulaciones establecidas en las Normas Contables vigentes.

Eficiencia y eficacia de las operaciones

Es indispensable para el logro de este objetivo tener bien definidos los ciclos de
operaciones de la entidad (es decir, cuáles son las operaciones y en qué área comienzan y
en cuál área terminan), y los procedimientos que se generan en cada ciclo; estos
procedimientos quedarán establecidos en el “Manual de Procedimientos” de la
organización que será elaborado o actualizado si ya se posee, y la responsabilidad que tiene
el trabajador en hacer cumplir un procedimiento o parte de éste quedará explícito en el
“diseño del puesto de trabajo” que él ocupa; por tanto, es necesario establecer cuáles son
los indicadores con los que vamos a evaluar cómo se ha desempeñado cada área y cada
trabajador. Con todo lo anterior se logra, en primer lugar, organizar el trabajo en la entidad
a través de la definición de los ciclos y los procedimientos de trabajo que hay que cumplir
en cada ciclo; y en segundo lugar, tener establecidos niveles claros de responsabilidad y
autoridad así como el contenido de trabajo para cada puesto.

Cumplimiento de las leyes, reglamentos y políticas establecidas

Se cumplirá este objetivo en la misma medida que cada trabajador (de nuevo ingreso o no)
conozca su contenido de trabajo, a qué se dedica la entidad (misión), qué objetivos se
propone alcanzar y cómo aspira lograrlos (visión), y cuál es la base legal que la rige
(reglamento disciplinario, convenio colectivo de trabajo, políticas de superación del
personal, código de ética, reglas específicas de la actividad que realiza). Una vez más se
regresa a la idea de que el diseño del sistema de control debe estar enfocado a los recursos
humanos. La organización puede tener un sin número de manuales, leyes y políticas
establecidas y listas para ser mostradas a cualquier supervisor, pero si no ha informado al
hombre y lo ha hecho comprender su importancia e incidencia para con el Control Interno,
sólo está diseñando un sistema de Control Interno ficticio y en papeles.

Control de los recursos, de todo tipo, a disposición de la entidad

Tener en cuenta que el control de los recursos es una de las bases elementales del Control
Interno, y no sólo porque tribute a la toma de medidas en la ocurrencia de cada hecho, sino
porque han de crearse todos los mecanismos necesarios para garantizar el control
preventivo de los mismos. En consecuencia, la entidad deberá crear en cada uno de sus
procedimientos la base del control de los recursos, estableciendo mecanismos donde tanto
el trabajador como los funcionarios logren interiorizar el nivel de responsabilidad que les
corresponde en cada caso. En tal sentido, el control de los recursos de todo tipo parte de las
bases generales acorde a normas establecidas; no obstante, el control de los mismos deberá
establecerse a partir de las características elementales de cada entidad.

Características del Control Interno

 Es un proceso; es decir, un medio para lograr un fin y no un fin en sí mismo

 Lo llevan a cabo las personas que actúan en todos los niveles y no se trata
solamente de manuales de organización y procedimientos.
 En cada área de la organización, el funcionario encargado de dirigirla es
responsable por el Control Interno ante su jefe inmediato de acuerdo con los niveles
de autoridad establecidos; y en su cumplimiento participan todos los trabajadores
de la entidad independientemente de su categoría ocupacional.
 Aporta un grado de seguridad razonable, con relación al logro de los objetivos
fijados; no la total. - Debe facilitar la consecución de objetivos en una o más de las
áreas u operaciones en la entidad.
 Debe propender al logro del autocontrol, liderazgo y fortalecimiento de la autoridad
y responsabilidad de los colectivos.

Estructura de los componentes del Sistema de Control Interno

Ambiente De Control

El entorno de control aporta el ambiente en el que las personas desarrollan sus actividades
y cumplen con sus responsabilidades de control, marca la pauta del funcionamiento de una
organización e influye en la percepción de sus empleados respecto al control. Es la base de
todos los demás componentes del Control Interno, aportando disciplina y estructura.
Los factores del ambiente de control incluyen la integridad, los valores éticos y la
capacidad de los empleados de la entidad, la filosofía de dirección y el estilo de dirección,
la manera en que la dirección asigna la autoridad y las responsabilidades y organiza y
desarrolla profesionalmente a sus empleados así como la atención y orientación que
proporciona el Consejo de Administración.
 El ambiente de control tiene una incidencia generalizada en la estructuración de las
actividades empresariales, en el establecimiento de objetivos y en la evaluación de riesgos.

Evaluación De Riesgos

Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno como externo
que deben evaluarse. Una condición previa a la evaluación de los riesgos es el
establecimiento de objetivos en cada nivel de la organización que sean coherentes entre sí.
La evaluación del riesgo consiste en la identificación y análisis de los factores que podrían
afectar la consecución de los objetivos y, en base a dicho análisis, determinar la forma en
que los riesgos deben ser administrados y controlados, debido a que las condiciones
económicas, industriales, normativas continuarán cambiando, es necesario disponer de
mecanismos para identificar y afrontar los riesgos asociados con el cambio.

Actividades De Control

Son las políticas y los procedimientos que ayudan a asegurar que se llevan a cabo las
instrucciones de la dirección, ayudan a asegurar que se tomen las medidas necesarias para
controlar los riesgos relacionados con la consecución de los objetivos de la entidad.
Hay actividades de control en toda la organización, a todos los niveles y en todas las
funciones, incluyen una gama de actividades tan diversa como aprobaciones,
autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa,
salvaguarda de activos y segregación de funciones.
Las actividades de control pueden dividirse en tres categorías, según el tipo de objetivo de
la entidad con el que están relacionadas: las operacionales, la confiabilidad de la
información financiera y el cumplimiento de la legislación aplicable.

Información Y Comunicación

Hay que identificar, recopilar y comunicar información pertinente en tiempo y forma que
permitan cumplir a cada empleado con sus responsabilidades. Los sistemas de información
generan informes, que contienen información operativa, financiera y la correspondiente al
cumplimiento, que posibilitan la dirección y el control del negocio. Dichos informes
contemplan, no sólo, los datos generados internamente, sino también información sobre
incidencias, actividades y condiciones externas, necesaria para la toma de decisiones y para
formular informes financieros.
Debe haber una comunicación eficaz en un sentido amplio, que fluya en todas las
direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la
inversa. Las responsabilidades de control han de tomarse en serio. Los empleados tienen
que comprender cuál es su papel en el sistema de Control Interno y cómo las actividades
individuales están relacionadas con el trabajo de los demás. Asimismo, tiene que haber una
comunicación eficaz con terceros, como clientes, proveedores, organismos de control y
accionistas.

Supervisión Y Seguimiento

Los Sistemas de Control Interno requieren supervisión, es decir, un proceso que

compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo.
Esto se consigue mediante actividades de supervisión continua, evaluaciones periódicas o
una combinación de ambas cosas. La supervisión continua se da en el transcurso de las
operaciones, incluye tanto las actividades normales de dirección y supervisión, como otras
actividades llevadas a cabo por el personal en la realización de sus funciones.
El alcance y frecuencia de las evaluaciones dependerá de la evaluación de riesgos y de la
eficiencia de los procesos de supervisión.
Los Sistemas de Control Interno y en ocasiones, la forma en que los controles se aplican,
evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento
dado, pueden perder su eficacia o dejar de aplicarse. Las causas pueden ser la
incorporación de nuevos empleados, defectos en la formación y supervisión, restricciones
de tiempo y recursos y presiones adicionales.
Asimismo, las circunstancias en base a las cuales se configuró el Sistema de Control
Interno en un principio también pueden cambiar, reduciendo su capacidad de advertir de
los riesgos originados por las nuevas circunstancias. En consecuencia, la dirección tendrá
que determinar si el Sistema de Control Interno es en todo momento adecuado y su
capacidad de asimilar los nuevos riesgos.
Factores de un Sistema de Control Interno

Las organizaciones, para lograr sus objetivos, deben establecer un mínimo de reglas de
operatividad, a las que se puede denominar control interno. El control interno, como objeto
de revisión por parte del contador público, está sujeto a regulaciones nacionales e
internacionales, pero es responsabilidad de la gerencia su puesta en marcha y óptimo
funcionamiento. Esta investigación, de tipo analítico, que se llevó a cabo en el Municipio
Libertador del Estado Mérida, y cuyo objetivo era analizar los factores que inciden en el
control interno de una organización, tuvo como resultado fundamental el hecho de que las
empresas no diseñan el control interno bajo la óptica de sistemas, y no toman en cuenta los
factores recomendados por el informe COSO, ya que hacen énfasis en la estructura de la
organización y el control de ciertas áreas operativas, sin visualizar al sistema de control
interno de forma integral.

El Control Interno Organizacional como Objeto de Estudio

La organización puede visualizarse como un espacio con puntos de referencia claros,

normativas, autoridad y comportamiento planificable, donde se insertan individuos
con intereses particulares, experiencias y conocimientos; y, adicionalmente, los
individuos y la organización se encuentran inmersos en un intercambio permanente
entre sí mismos y con el entorno, y que, producto de estos intercambios, modifican la
actuación del individuo y de la organización y, a su vez, el entorno es modificado por
las actuaciones de los mismos.

Es importante, entonces, dado el intercambio constante entre los individuos y la

organización, establecer un mínimo de reglas que permitan la operatividad
organizacional. Este mínimo de normas se conoce como Sistema de Control Interno.
Sin embargo, pareciera que las organizaciones se han constituido más por hacer y
con base en la experiencia, que por estudios de planes de negocios y diseño
organizacional. Esto ocasiona que los sistemas de control interno no respondan a las
necesidades organizacionales.

Del Análisis del Control Interno Organizacional

De acuerdo con los parámetros de un sistema de control interno, se

establecieron una serie de preguntas a las organizaciones estudiadas,
relacionadas con el entorno de control, la evaluación de riesgos, el flujo de la
información, las actividades de control y la supervisión del sistema
propiamente dicho.

El entorno de control: El contexto o ambiente donde se desarrollan las

actividades organizacionales debe estar signado por la filosofía de gestión de la
gerencia, donde el control debe basarse en la integridad y el compromiso ético
de los accionistas, el cual debe reflejarse en todos los niveles de la
organización.
Efectividad de un Sistema de Control Interno

Radica en el cumplimiento de sus principios:

Autocontrol: Capacidad de cada servidor público para controlar su trabajo, detectar

desviaciones y efectuar correctivos.

Autorregulación: Aplicar de manera participativa los métodos y procedimientos

establecidos en la normatividad que permitan el desarrollo e implementación del Sistema
de Control Interno (SCI).

Autogestión: Capacidad para interpretar, coordinar y aplicar la función administrativa que

le ha sido asignada.
Enfoque COSO

El Informe COSO es un documento que contiene las principales directivas para la

implantación, gestión y control de un sistema de control.

Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe

COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 4 versiones del Informe COSO. La versión del 1992, la versión del
2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo, la versión 2013 y
2017.

Está diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y
para administrar los riesgos, proveer seguridad razonable para la administración y para la
junta directiva de la organización orientada al logro de los objetivos del negocio.

COSO I

En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework”

denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus
sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus
sistemas de control interno y generando una definición común de “control interno”.

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

• Eficacia y eficiencia de las operaciones

• Confiabilidad de la información financiera

• Cumplimiento de las leyes, reglamentos y normas que sean aplicables

COSO II

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e

irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros
grupos de interés.
Nuevamente el Committee of Sponsoring Organizations of the Treadway Commission,
publicó el Enterprise Risk Management – Integrated Framework y sus aplicaciones
técnicas asociadas.

Amplía el concepto de control interno, proporcionando un foco más robusto y extenso

sobre la identificación, evaluación y gestión integral de riesgo.

En septiembre de 2004 se publica el estudio ERM ( Enterprice Risk Management) como

una ampliación de Coso 1, de acuerdo a las conclusiones de los servicios de
Pricewaterhouse a la comision.

COSO III

En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que
introducirá este Marco Integrado de Gestión de Riesgos son:

 Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los

entornos
 Mayor confianza en la eliminación de riesgos y consecución de objetivos
 Mayor claridad en cuanto a la información y comunicación.
Algunos de los beneficios de utilizar el estándar COSO en las organizaciones son:
 Promueve la gestión de riesgos en todos los niveles de la organización y establece
directrices para la toma de decisiones de los directivos para el control de los riesgos
y la asignación de responsabilidades.
 Ayuda a la integración de los sistemas de gestión de riesgos con otros sistemas que
la organización tenga implantados
 Ayuda a la optimización de recursos en términos de rentabilidad
 Mejora la comunicación en la organización
 Mejora el control interno de la organización
COSO lV: ERM 2017

COSO ERM 2017 es una versión superior de COSO ERM 2004 (Marco Integrado
de Gestión de Riesgos Corporativos). COSO ERM 2004 es una versión que ha sido
valorada ampliamente por su aporte técnico para la administración de riesgos en los
últimos trece años transcurridos. Los especialistas en gestión de riesgos
aprovechamos significativamente las excelentes definiciones de COSO ERM 2004.

Pero hoy por hoy, la administración de riesgos se ha vuelto un campo que exige
más especialización y mejoradas visiones técnicas y metodológicas, pues los
riesgos existentes se han redefinido, han surgido nuevos tipos de riesgos, nuevas
formas de hacer negocios, nueva legislación, mayor automatización, nueva
tecnología, y se han definido nuevas clasificaciones de los riesgos. En las empresas,
cada vez más directores, ejecutivos y funcionarios aplican administración
estructurada sobre los riesgos. La gestión de riesgos se está consolidando como una
condición fundamental que además de prevenir las amenazas y su tratamiento
oportuno debe producir un valor superior.

El documento actualizado (COSO ERM 2017) destaca la importancia de considerar

el riesgo tanto en el proceso de establecimiento de estrategias como en el
desempeño de la administración.

La primera parte de la publicación actualizada ofrece una perspectiva sobre

conceptos y aplicaciones actuales -y en evolución- de la gestión de riesgos
corporativos. La segunda parte, el Marco, se organiza en cinco componentes que
acomodan diferentes puntos de vista y estructuras operativas, y mejoran las
estrategias y la toma de decisiones.
Proporciona una mayor comprensión del valor de la gestión del riesgo corporativo
cuando la empresa establece y ejecuta sus estrategias. Para entregar valor, no es
suficiente que la gestión de riesgos se realice exclusivamente sobre las operaciones.

 Viabiliza la alineación entre el rendimiento (desempeño) y la gestión de riesgos

corporativos para mejorar el establecimiento de metas de rendimiento y
 comprender el impacto del riesgo en el desempeño. La gestión del desempeño
ahora debe considerar entre sus variables a la gestión de riesgos, como un elemento
que agrega valor.
 Cumple con las expectativas de gobernanza (gobierno corporativo) y supervisión
(auditorias). La gestión de riesgos debe ser adoptada en forma estructurada a nivel
de gobierno corporativo para agregar mayor valor.
 Reconoce la globalización de los mercados y las operaciones y la necesidad de
aplicar un enfoque común, aunque adaptado, a través de las geografías. Piensa
globalmente, actúa localmente. Solo determinadas definiciones pueden constituirse
en estándares globales, otras definiciones necesitan flexibilidad local.
 Presenta nuevas formas de ver el riesgo para el establecimiento y logro de objetivos
en el contexto de una mayor complejidad empresarial. Una visión renovada de la
administración de los riesgos, con mayor énfasis en la entrega de valor más allá de
las definiciones originales.
 Amplía la información para responder a las expectativas de una mayor
transparencia ante las partes interesadas. Informes más eficientes sobre la gestión
de riesgos y el desempeño, considerando los reales intereses de información por
parte de las partes interesadas y los involucrados claves.
 Acondiciona las tecnologías en evolución y la proliferación de datos y análisis para
apoyar a la toma de decisiones. Aprovechamiento de visiones y herramientas
modernas (por ejemplo Business Intelligence, Business Analytics, Data Analysis).

Características y ventajas principales de COSO ERM 2017:

 Marco estructurado, fácil de comprender, con 5 componentes interrelacionados

divididos en 20 principios.
Los cinco componentes son:
 Gobierno y Cultura,
 Estrategia y Establecimiento de Objetivos,
 Desempeño,
 Revisión y Evaluación,
 Información, Comunicación y Reporte
  Los principios son manejables en tamaño y describen prácticas que pueden
aplicarse de diferentes maneras para diferentes organizaciones, independientemente
de su tamaño, tipo o sector. La adhesión a estos principios puede proporcionar a la
alta gerencia y directores una expectativa razonable de que la organización entiende
y se esfuerza por administrar los riesgos asociados con su estrategia y sus objetivos
corporativos.
 La gestión de riesgos ya no es más un proceso aislado, sino que se interrelaciona
con el modelo de negocio de la empresa.
 El Marco está centrado en el futuro y analiza varias tendencias que probablemente
las entidades enfrentarán y que tendrán un efecto en la gestión del riesgo
empresarial, tales como:

 Tratamiento de la proliferación de datos.

 Aprovechamiento de la inteligencia artificial y la automatización.
 Administración del costo de la gestión de riesgos.
 Fortalecimiento a las organizaciones con riesgos mejor administrados.

Teoría del Riesgo

El riesgo es inherente en todas las actividades de negocios y una de las mejores formas de
ilustrar la relación entre riesgo y recompensa es la filosofía básica de inversión, la cual
promueve la relación positiva entre riesgo y recompensa. A medida que el potencial de
recompensa se incrementa, lo mismo hace la posibilidad de pérdidas (riesgo). Desde una
perspectiva de inversión, los inversionistas necesitan evaluar sus objetivos y su tolerancia
al riesgo (apetito).

Pese a que la relación entre riesgo y recompensa varía según la actividad de negocios, hay
algunos elementos de riesgo presentes en todas las actividades de negocios. Es de
incumbencia de la gerencia incorporar alguna forma de evaluación de riesgos dentro de las
actividades de planeación estratégica.

La planeación estratégica es el proceso de adoptar una visión de largo plazo de la

organización. Cuanto más larga la visión, mayor incertidumbre existe respecto de los
riesgos y las oportunidades. Como los riesgos y las oportunidades cambian a lo largo del
tiempo, la gerencia debe estar preparada para adaptar sus planes y proceso. Un proceso
efectivo de administración de riesgo provee un mecanismo para evaluar continuamente los
riesgos y su relación con las oportunidades.

De acuerdo con David McNamee, en su publicación Bussiness Risk Assessment, “la

evaluación de riesgos de negocio se refiere a la evaluación de riesgos y oportunidades que
afectan el logro de las metas y objetivos organizacionales”.

El riesgo se evalúa en tres niveles:

1. Estratégico: Se usa para guiar a la organización a lo largo de un periodo de tiempo

de entre cinco y diez años. Por lo común, la alta gerencia lo practica.
2. Procedimental [o Proceso]: Se usa para desarrollar y administrar el periodo actual
de la actividad organizacional. El gerente de “proceso” es normalmente responsable
de la evaluación inicial. Él o ella deberá también ser responsable de monitorear el
riesgo del proyecto.
3. Operacional: Se usa en las operaciones de todos los días, es mayormente un asunto
de salud y seguridad. Esta evaluación se desarrolla normalmente en un nivel de
supervisión o por individuos o equipos de trabajo encargados de una asignación en
particular.

Papeles de trabajo

Son el conjunto de documentos, planillas o cédulas, en las cuales el auditor registra los
datos y la información obtenida durante el proceso de Auditoría, los resultados y las
pruebas realizadas.

Los papeles de trabajo también pueden constituir la información almacenada en cintas,

películas u otros medios (diskettes), y puede habilitarse sobre listados, y fotocopias de
documentos claves de la organización, sin incurrir a exceso de copiar todo el archivo.

Al preparar el auditor los papeles de trabajo debe evitar acumular exceso de

documentación, (Calidad Vs Cantidad), esto se simplifica utilizando marcas de auditoria,
es decir, certificando o validando información o actuaciones físicas que se tuvo a la vista,
mediante marcas y referencias previamente definidas.

Los papeles de trabajo tienen los siguientes propósitos:

 Soportar por escrito la planeación del trabajo de auditoría.

 Instrumento o medio de supervisión y revisión del trabajo de auditoría.
  Registra la evidencia como respaldo de la auditoria y de informe
 Se constituye en soporte legal en la medida de requerir pruebas.
 Memoria escrita de la auditoría

En los papeles de trabajo se registran:

 La planeación.
 La naturaleza, oportunidad y el alcance de los procedimientos de auditoría
desarrollados.
 Los resultados
 Las conclusiones extraídas y las evidencias obtenidas.
 Incluyen sólo asuntos importantes que se requieran junto con la conclusión del
auditor y los hechos que fueron conocidos por el auditor durante el proceso de
auditoría.

La NIA ¨Documentación¨ señala que la extensión de los papeles de trabajo es un caso de

juicio profesional por lo que es necesario y práctico documentar todos los asuntos
importantes que el auditor considere.

Marcas de Auditoría

Las marcas de auditoría, también conocidas como claves de la auditoría, son utilizadas
para la identificación de un proceso de auditoría, que implique medición o reconocimiento
de la fase del proceso por la que  pasa o transcurre el procedimiento de auditoría.

El  objetivo de las marcas de auditoría, además de informar la situación del proceso, es

certificar, facilitar y optimizar la descripción detallada de las revisiones efectuadas,
acelerar la revisión y clasificar para una fácil identificación de las técnicas y
procedimientos utilizados en la auditoría.

Dichas marcas tienen un significado, según su clasificación: estándar o específica.

Las marcas estándar son de uso general y simplificado; por ejemplo, las que muestran que
los datos están revisados, completos o incompletos. Y las marcas específicas son las
inusuales, y pueden variar según la forma o tipo de trabajo.
Clasificación de las marcas de auditoria

Por las características especiales de cada una, las marcas de auditoria pueden ser de dos
tipos:

Marcas de auditoria estándar

Las marcas estándar se utilizan para hacer referencia a técnicas o procedimientos que se
aplican constantemente en las auditorias y son interpretadas de la misma manera por todos
los auditores que las emplean. Son de utilización y aceptación general.

Marcas de auditoria específicas

Las marcas específicas no de uso común; en la medida en que se adopten deberán
integrarse al índice de marcas correspondiente y señalarse con toda claridad al pie o calce
de los papeles de trabajo. Estas dependen de cada auditoria específica y según el usuario.
No son las mismas marcas en una empresa que en otra, ni son las mismas en un tipo de
auditoria que en otro.

Ejemplo de marcas de auditoria

A manera de ejemplo, se incluyen los siguientes símbolos con sus respectivos significados
o descripciones:

Evidencia de Auditoría

Concepto NIA 500.- “Información utilizada por el auditor para alcanzar las conclusiones
en las que basa su opinión. La evidencia de auditoría incluye tanto la información
contenida en los registros contables de los que se obtienen los estados financieros, como
otra información.”

Esta norma de auditoría, es sin duda una de las más importantes relacionadas con el
proceso auditor y relativa a trabajo de campo, como quiera que proporciona los elementos
necesarios para que el ejercicio de Auditoría sea confiable, consistente, material,
productivo y generador de valor agregado a la organización objeto de auditoría, traducido
en acciones de mejoramiento y garantía para la empresa y la comunidad.

Una evidencia se considera competente y suficiente si cumple las características siguientes:

Relevante - Cuando ayuda al auditor a llegar a una conclusión respecto a los objetivos
específicos de auditoría.

Autentica - Cuando es verdadera en todas sus características.

Verificable - Es el requisito de la evidencia que permite que dos o más auditores lleguen
por separado a las mismas conclusiones, en iguales circunstancias.

Neutral - Es requisito que esté libre de prejuicios. Si el asunto bajo estudio es neutral, no
debe haber sido diseñado para apoyar intereses especiales.

La obtención de evidencia suficiente y competente en la auditoría es afectada por factores

como:

Riesgo inherente. Cuanto mayor sea el nivel de riesgo inherente mayor será la cantidad de
evidencia necesaria.

Riesgos de control; El control interno y su grado de implementación proporciona la

tranquilidad o desconfianza, susceptible de análisis y comprobación.

El auditor debe obtener evidencia mediante la aplicación de pruebas y procedimientos:

Pruebas de control.- Se realizan con el objeto de obtener evidencia sobre la idoneidad del
sistema de control interno y contabilidad.

Pruebas sustantivas.- Consiste en examinar las transacciones y la información producida

por la entidad bajo examen, aplicando los procedimientos y técnicas de auditoría, con el
objeto de validar las afirmaciones y para detectar las distorsiones materiales contenidas en
los estados financieros.