Entorno (o ambiente) de control

Este componente es la base para el resto de los componentes del control; un ambiente de
control débil origina que sin importar el adecuado diseño del resto de los componentes,
no se pueda confiar totalmente en estos. El ambiente de control fija el nivel de disciplina
y estructura que hay en la empresa.
Algunas áreas clave al analizar este componente por parte del auditor se enlistan a
continuación:
 Integridad y valores éticos. Existe en la empresa desde la alta dirección hasta
los niveles iniciales de personal un compromiso con valores de integridad y
éticos, tanto en palabras como en hechos, con lo cual se busca desincentivar
cualquier tipo de conducta inapropiada.
 Compromiso con la competencia. La empresa toma medidas para que su
personal operativo y directivo conozca cómo realizar su trabajo de una manera
eficiente y adecuada.
 Participación efectiva de los responsables del gobierno de la entidad. Existen
órganos independientes que efectivamente estén vigilando el adecuado
funcionamiento de la empresa.
 Estructura organizacional y asignación de autoridad y responsabilidad.
Existe una estructura organizacional adecuada para llevar a cabo los objetivos,
definiéndose los niveles de autoridad y responsabilidad para cada uno de los
elementos de esta estructura.
Proceso de valoración de riesgo de la entidad
El componente del proceso de valoración de riesgo de la entidad consiste en que el
auditor evalúe lo adecuado del proceso interno de la entidad para identificar los riesgos
de negocio de la empresa (relevantes para la información financiera), las estimaciones
de la importancia de los mismos, la evaluación de la probabilidad de ocurrencia y la
toma de decisiones respecto a dichos riesgos.
El proceso de valoración del riesgo brinda a la empresa la información que necesita para
determinar qué riesgos de negocio y de fraude deben atenderse, y en su caso, las
medidas a tomar. Estará a decisión de la empresa realizar las gestiones para tratar
riesgos específicos o, en su caso, asumir dichos riesgos, debido al costo beneficio que
implica mitigarlos o eliminarlos.
El proceso de valoración de riesgo normalmente trata las siguientes cuestiones: cambios
en el entorno operativo, nuevas tecnologías, crecimiento rápido, contrataciones de
personal de alta dirección, nuevos modelos de negocio, productos o actividades.
En caso de que se identifiquen riesgos de incorrección material no identificados por la
administración, el auditor deberá cuestionar las razones por las cuales fallaron los
procesos de la administración de la empresa para detectarlos y si dichos procesos son
adecuados a las circunstancias.
Sistemas de información
Un sistema de información se integra por la infraestructura, software, personas,
procedimientos y datos con los que cuenta un negocio o empresa para dirigirla, alcanzar
sus objetivos e identificar y responder a los factores de riesgo.
El auditor deberá analizar primordialmente los sistemas de información relacionados
con la información financiera; en particular los sistemas relacionados con los procesos
operativos (de negocio) tales como: ventas, compras, nóminas, producción, etc.; así
como los sistemas de contabilidad que son donde se asientan los registros contables
correspondientes.
Al analizar los sistemas de información como parte del proceso de evaluación de los
componentes del control interno, deberá considerarse lo siguiente:
Identificar las fuentes de información utilizadas. En este punto deberán analizarse los
tipos de transacciones significativas para los estados financieros, cómo se originan, qué
registros contables se generan y cómo captan los sistemas los hechos y condiciones
significativos para los estados financieros
Captación y proceso de información. En este punto deberán identificarse los procesos de
información financiera para las transacciones habituales y no habituales, así como la
inclusión de estimaciones contables y/o revelaciones significativas.
Utilización de la información generada. En este punto se analizará la forma de
comunicar por la empresa la información financiera, los informes resultantes y su
utilización en la empresa, así como los informes a los responsables del gobierno de la
empresa y a terceros, tales como las autoridades regulatorias.
Debido al alto nivel y complejidad actual de los sistemas de información,
principalmente en empresas de gran tamaño, puede ser conveniente que en el proceso de
evaluación de este componente, el auditor se apoye en el trabajo de especialistas de
Tecnología de Información (TI).
Actividades de control
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que
las directrices de la administración se lleven a cabo. Estos controles se refieren a riesgos
que, si no se mitigan, pondrían en riesgo el llevar a cabo los objetivos de la empresa.
Las actividades de control pueden clasificarse en los siguientes cuatro tipos:
 Preventivos. Controles para evitar errores o irregularidades.
 De detección. Controles para identificar errores o irregularidades después de
que hayan ocurrido para tomar medidas correctivas.
 De compensación. Controles para brindar cierto grado de seguridad cuando es
incosteable la aplicación de otros controles más directos. Ejemplos: segundas
firmas, supervisión de terceros, supervisión selectiva interna, etcétera.
 De dirección. Controles para orientar al personal hacia los objetivos deseados,
por ejemplo las políticas y los procedimientos.
Algunos controles comunes a nivel del proceso operativo incluyen temas como los
siguientes:
Segregación de funciones: donde reduce la oportunidad de que una persona por sí
misma pueda llevar a cabo u ocultar errores o fraudes.
Controles de autorizaciones: define quién tiene la autoridad para aprobar diversas
transacciones, comunes o no comunes.
Conciliaciones de cuentas: incluye preparar y revisar conciliaciones oportunamente y
tomar decisiones sobre posibles diferencias.
Controles de aplicación e TI: estos se incluyen en las aplicaciones de los sistemas de
información, los cuales son automatizados o parcialmente automatizados.
Revisión de resultados reales: comparar los resultados reales contra los presupuestados
y periodos anteriores, así como analizar comportamientos inesperados de los resultados.
Controles físicas: están relacionados con la seguridad física de los activos, acceso a
instalaciones, registros contables, sistemas de información, archivos de datos, etcétera.
Seguimiento (o monitoreo) de los controles
El seguimiento o monitoreo evalúa la eficacia de la ejecución del control interno en el
tiempo y su objetivo es asegurarse de que los controles trabajen adecuadamente o, en
caso contrario, tomar las medidas correctivas necesarias. El seguimiento le permite a la
dirección de la empresa saber si los controles internos son eficaces, están
implementados adecuadamente, se usan y se cumplen diariamente, o si necesita
modificaciones o mejoras.
El seguimiento se da por la dirección de la empresa, mediante actividades periódicas,
evaluaciones específicas o una combinación de ambas. Asimismo, el seguimiento de la
dirección puede incluir el uso de información externa que pueda resaltar problemas o
áreas de oportunidad: quejas de clientes, comentarios de organismos terceros e informes
de auditores externos o consultores sobre al control interno.
De la Guía para el uso de las Normas Internacionales de Auditoría en auditorías de
Pequeñas y Medianas Entidades, emitida por la International Federation of
Accountants, se incluye la siguiente tabla que establece la forma en que interactúan los
cinco componentes del control interno:

Como se observa, los componentes del control interno, analizados anteriormente, se

categorizan como controles generalizados y de cuentas específicas. Los generalizados
son los que, de manera indirecta, sirven para prevenir que ocurran incorrecciones, o para
detectarlas y corregirlas después que hayan ocurrido; los de cuentas específicas están
enfocados en riesgos sobre transacciones en particular y diseñados específicamente para
prevenir o detectar y corregir incorreciones.
Se esperaría que los controles generalizados fueran evaluados por el personal de
auditoría con mayor experiencia y, en su caso, los de cuentas específicas por el personal
de menor experiencia.