EVALUACIÓN DEL CONTROL INTERNO

(CONCEPTOS BÁSICOS)

Por M.Sc. Pedro Bejarano Velásquez

1. Introducción

El control no tiene el mismo significado para las personas, según el área de actividad
en que se desenvuelvan, esto puede dificultar su comprensión ya que su naturaleza es
considerablemente compleja, ya que también hay otras connotaciones para la
palabra control, tales como:
 Comprobar o verificar;
 Regular;
 Comparar con un patrón;
 Ejercer autoridad sobre alguien (dirigir o mandar);
 Frenar o impedir.
Evidentemente todas esas definiciones representan concepciones incompletas del
control, quizás definidas en un modo subjetivo y de aplicación; en definitiva, el control
debe entenderse como:
“Una función administrativa, ya que conforma parte del proceso de
administración, que permite verificar, constatar, palpar, medir, si la
actividad, proceso, unidad, elemento o sistema seleccionado está
cumpliendo y/o alcanzando o no los resultados que se esperan”.
En la auditoria, su naturaleza es concreta y aplicada, corresponde a un medio para
lograr un fin u objetivo superior, según Mantilla Blanco 2005, esto puede explicarse
mejor de la siguiente manera:
El control, es un conjunto de normas, procedimientos y técnicas a través de
las cuales se mide y corrige el desempeño para asegurar la consecución
de objetivos y técnicas.

2. El control interno

Un primer estudio sobre el control interno fue publicado en EEUU en1949 bajo el título
de Internal Control – Elements of a Cordinated System Its Importance to Management
and the Independent Public Accountant. Por ende, la primera definición hecha por la
profesión define el control interno de la siguiente manera:
El control interno comprende el plan de organización y todos los métodos y
medidas coordinados que se adoptan en un negocio para salvaguardar
sus activos, verificar la exactitud y la confiabilidad de sus datos contables,
promover la eficiencia operacional y fomentar la adherencia a las políticas
prescritas.1

1 Citado por Root, Steven J. (1998) Beyond COSO. Internal Control to Enhance Corporate
Governance. New York
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 2

Durante mucho tiempo ésta ha sido la definición más aceptada y utilizada sobre el
control interno, aun cuando una posterior definición dada por el AICPA 2 dividió el
control interno en dos componentes como lo son el control administrativo y el control
contable, cuyos conceptos se citan brevemente a continuación):
El control Administrativo; incluye pero no limita a, el plan de organización,
los procedimientos y registros relacionados con los procesos de decisión
que se refieren a la autorización de las transacciones por parte de la
administración.
Los controles contables abarcan el plan de organización, los
procedimientos y registros relacionados con la salvaguarda de los activos y
con la confiabilidad de los estados financieros.
Esta definición de amplia aceptación y difusión perduró hasta los años 90, pero
generaba confusión debido principalmente a la limitación existente en el alcance, a
nivel operacional, limitado solamente a la función contable, lo que dejaba por fuera
varios elementos.
Luego, se encuentra adicionalmente una definición paralela a la elaborada por el
AICPA la emitida por Institute Of Internal Auditors, que define al control interno de la
siguiente manera:
Son las acciones tomadas por la administración para planear, organizar, y
dirigir el desempeño de acciones suficientes que provean seguridad
razonable de que se estarán logrando los siguientes objetivos: Logro de
objetivos y metas establecido para las operaciones y los programas
 Uso económico y eficiente de los recursos
 Salvaguarda de activos
 Confiabilidad e e integridad de la información
 Cumplimiento con políticas, planes procedimientos, leyes y
regulaciones.
Cuando el Comité de Organizaciones Patrocinadoras de la Comisión Treadway,
conocido ampliamente como COSO3 (en inglés), publica en 1992 su reporte (informe),
genera una auténtica revolución en el concepto del control interno, que todavía se
está asimilando en su total dimensión.
Los principales aportes de COSO con relación al control interno, están referidos a:
1. Elaboración de una estructura conceptual integrada que unifica los distintos
conceptos y prácticas, a partir de la cual se realiza el diseño-implementación-
mejoramiento del control interno, por un lado, y por otro la evaluación y los reportes
sobre control interno.
2. Entendimiento del control interno en términos de sistemas: un proceso, afectado por
la junta, la administración y otro personal, diseñado para proveer seguridad
razonable en relación con los objetivos de la organización.
3. Posicionamiento estratégico del control interno en los máximos niveles gerenciales
(alta gerencia); que centra su atención en el negocio y no tanto en las
operaciones.

2 AICPA: American Institute of Certified Public Accountants (Instituto Americano de Contadores

Públicos)
3 COSO: Committtee of Sponsoring Organizations of de Treadway Commission
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 3

4. Combinación de objetivos de negocio, componentes de control interno y niveles

organizacionales.
4.1 Los objetivos del negocio son:
a) Efectividad y eficiencia de las operaciones
b) Confiabilidad del proceso de presentación de reportes financieros
c) Cumplimiento con leyes y regulaciones aplicables
d) Salvaguarda de activos (incorporado en 1994)
4.2. Los componentes del control interno son:
a) Ambiente de Control
b) Evaluación de Riesgos
c) Actividades de control
d) Información y comunicación
e) Monitoreo (Supervisión)
4.3 Niveles organizacionales:
Dependen de cada organización en particular. Los básicos, presentados por
COSO son los siguientes:
a) Sistema de control interno
b) Controles internos por secciones (departamentos, segmentos, unidades de
negocio, etc.)
c) Controles internos (de carácter operacional)
El Informe del Comité de Organizaciones Patrocinadoras de la Comisión Treadway
(COSO) define el control interno como:
Un proceso efectuado por el consejo de administración, la gerencia y otros
empleados y diseñado para brindar una seguridad razonable con respecto
al logro de los objetivos. Los controles deben promover la eficiencia,
reducir el riesgo de pérdida de activos, asegurar la confiabilidad de los
estados financieros y el cumplimiento de las leyes y reglamentaciones
pertinentes.
De acuerdo a esta definición, los controles internos incluyen políticas, procedimientos y
prácticas en cada uno de los niveles organizacionales, y tanto la gerencia como los
auditores internos deben comprender en profundidad los controles para
documentarlos. Los motivos para tal documentación varían, pero por lo general
provienen de requisitos legales.
Se debe evaluar y documentar los controles internos periódicamente para asegurar en
forma razonable la confiabilidad de los informes financieros. Además, las Normas
Internacionales recomiendan una evaluación periódica de la suficiencia de los
sistemas de control de las organizaciones y, en muchas empresas, la gerencia y otras
partes interesadas requieren una evaluación de la eficacia y eficiencia del control.

3. El control interno y las Normas

La SAS4 55, enmendada por SAS 78 y 94, exige conocer el control interno lo bastante
para planear la auditoría. Entre otras cosas incluye el conocimiento del diseño de los

4 SAS Statements on Auditing Standards (Declaraciones de Normas de Auditoría) Son

interpretaciones de las normas de auditoría generalmente aceptadas NAGA que tienen
obligatoriedad para los socios del American Institute of Certified Public Accountants AICPA
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 4

controles relevantes y determinar si han sido puestos en práctica. Al planear la

auditoría este conocimiento sirve para:
 Identificar los tipos de posibles errores
 Examinar los factores que influyen en el riesgo de error material
 Diseñar pruebas de controles, cuando se apliquen
 Diseñar pruebas sustantivas
Como lo define la SAS-78, el control interno es un proceso “efectuado por las máximas
autoridades de la entidad, y demás personal” designado para proporcionar una
razonable seguridad en relación con el logro de los objetivos de las siguientes
categorías:
a) seguridad de la información financiera;
b) efectividad y eficiencia de las operaciones y
c) cumplimiento con las leyes y regulaciones aplicables.
En nuestro país, dentro de las NAG 220 (Normas de Auditoria Financiera), la NAG 221.01
señala que la auditoria debe planificarse de tal forma que los objetivos del examen
sean alcanzados eficientemente. Entendiéndose que durante la planificación debe
considerar entre otros aspectos el de Control Interno; respecto al cual la NAG 221.04
señala que se debe evaluar el control interno relevante a los fines del examen,
conforme a la NAG 223. Al respecto la NAG 223.01 reza:
“Debe efectuarse un estudio y una evaluación apropiados del control
interno, como base para determinar la naturaleza, extensión y oportunidad
de los procedimientos de auditoría”.
El artículo 3ª del Reglamento aprobado por el DS 23215, detalla las atribuciones
conferidas a la Contraloría General de la República CGR (hoy Contraloría General del
Estado) por la Ley 1178 (SAFCO), entre ellas la de elaborar y emitir la normatividad
básica de Control Gubernamental Interno y Posterior Externo. Concordante con el
Art.18ª del mencionado Reglamento determina las Normas Básicas del Control
Gubernamental Interno, que forman parte integral del control gubernamental y son
normas generales que definen el nivel mínimo de calidad para desarrollar
adecuadamente las políticas, los programas, la organización, la administración y el
control de las operaciones de las entidades públicas. Es así que el año 2001, la CGR
publica los Principios y Normas Generales y Básicas de control Interno de aplicación
obligatoria en el país.

4. Componentes del Control Interno (COSO)

El control interno como se analiza en el apartado anterior (Según COSO) tiene cinco
componentes interrelacionados, que son:
1) El ambiente de control
2) La valoración del riesgo
3) Las actividades de control
4) La información y comunicación
5) La vigilancia o monitoreo (Supervisión)

(Instituto Norteamericano de Contadores Públicos Certificados), pero se han convertido en

estándar internacional, especialmente en nuestro continente.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 5

La integración del control interno en cinco componentes, aporta un marco útil al

auditor para considerar los efectos del control interno de una entidad. Sin embargo,
no necesariamente refleja cómo la entidad considera e implementa su control interno.
Igualmente, la primera consideración del auditor, es si un control específico se
relaciona a una o más afirmaciones de los estados financieros, más que al
componente específico al que pertenece.
En cada auditoría deberá obtenerse suficiente entendimiento de cada uno de los
cinco componentes del control interno, para que el plan de auditoría a los estados
financieros sea desarrollado con procedimientos para entender el diseño de los
controles importantes, y determinar que ellos han sido implantados y están en
operación.
A continuación, basados en la bibliografía consultada (citada al final de este
documento), se describen los conceptos que engloban cada uno de los componentes
del control interno.
1) El ambiente de control
El ambiente o entorno de control es la base de la pirámide de control interno,
aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por
lo que será fundamental para solidificar los cimientos de un eficaz y eficiente sistema
de control interno. Marca la pauta del funcionamiento de la Unidad e influye en la
concientización de sus funcionarios.
El ambiente de control representa la combinación de factores que afectan las
políticas y procedimientos de una entidad, fortaleciendo o debilitando sus controles.
Estos factores a considerar dentro del entorno de control serán la actitud de la
administración hacia los controles establecidos, la integridad y los valores éticos, la
capacidad de los funcionarios de la Unidad, el estilo de dirección y de gestión, la
manera en que la Dirección asigna autoridad y responsabilidad, la estructura
organizacional vigente y las políticas y prácticas de personal utilizadas.
Debe considerarse en la evaluación que los procedimientos existan, que
hayan sido apropiadamente notificados, que sean conocidos, que sean
adecuadamente comprendidos y que exista evidencia de que se aplican.
Actitud de la Administración hacia los controles internos establecidos (Estilo de
dirección y gestión)
El hecho de que una entidad tenga un ambiente de control satisfactorio depende
fundamentalmente de la actitud y las medidas de acción que tome la administración
que de cualquier otra cosa. SI el compromiso para ejercer un buen control interno es
deficiente, seguramente el ambiente de control será deficiente. La efectividad del
control interno depende en gran medida de la integridad y de los valores éticos del
personal que diseña, administra y vigila el control interno de la entidad.
La Dirección debe transmitir a todos los niveles de la estructura organizacional, de
forma contundente y permanente, su compromiso y liderazgo con los controles
implementados y con los valores éticos.
Será la autoridad superior del organismo la encargada de hacer comprender a todos
los funcionarios el papel que cada uno deberá cumplir dentro del sistema de control
interno.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 6

* Se percibe de parte de la Dirección del Organismo un compromiso permanente con

el sistema de control interno y con los valores éticos del mismo. El compromiso puede
manifestarse a través de reuniones, exposiciones, cursos.
* Las decisiones sustantivas de la Organización se toman luego de que se ha realizado
un cuidadoso análisis de los riesgos asumidos.
* Existe una actitud positiva hacia la función de rendición de cuentas, auditoría interna
y otro tipo de controles.
* Se utiliza el presupuesto de la Unidad como herramienta de control.
* Existe un compromiso permanente hacia la elaboración responsable de información
financiero – contable y de gestión.
Integridad y valores éticos
Dado que el control interno se sustenta en los valores éticos, la autoridad superior del
organismo debe procurar promover, difundir y monitorear el cumplimiento de los
mismos.
Estos valores éticos deben enmarcar el comportamiento de todos los funcionarios de
la Unidad, orientando su integridad y compromiso profesional.
Debe ser la Dirección del Organismo la que mediante actitudes (su ejemplo) y otros
mecanismos, busque crear una cultura apropiada a tales fines.
* Los funcionarios conocen la normativa vigente que regula su conducta en el
ejercicio de la función pública.
* Se enfatiza en la importancia de la integridad y el comportamiento ético, respetando
ciertos códigos de conducta aún cuando no estén escritos.
* Existe algún documento que recoja los valores y principios éticos que promueve la
Organización, por ejemplo a través de un código de conducta que determine la
política de la misma respecto de asuntos críticos donde puedan verificarse conflicto
de intereses.
* Se ha dado a conocer a todos los funcionarios involucrados y se ha verificado su
comprensión.
* Se ponen en conocimiento de terceros ajenos a la Organización pero vinculados a la
misma como ser Usuarios o Proveedores,
* Los funcionarios se comportan de acuerdo a las reglas de conducta definidas por la
Dirección.
* Se asignan periódicamente los premios y castigos a que da lugar el acatamiento o
no de las reglas y normas de conducta.
* Los premios y castigos son adecuados.
Competencia de los funcionarios
Tanto los jerarcas como los funcionarios en general, deben caracterizarse por poseer
un nivel de competencia acorde a las responsabilidades asumidas. Esto permitirá
comprender de mejor manera la importancia del desarrollo, implantación y
mantenimiento de un buen sistema de control interno.
* Se han analizado formal o informalmente las funciones principales a desarrollar.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 7

* Se ha efectuado un análisis de las competencias requeridas por los funcionarios para

desempeñar adecuadamente dichas funciones.
* Existe un plan de capacitación anual que contribuya al mantenimiento y
mejoramiento de las competencias de los funcionarios.
Estructura Organizativa - Organigrama
La estructura organizativa debe ser adecuada para cumplir con la misión y los
objetivos de la Unidad. Esta estructura se debe formalizar en un Organigrama, el cuál
debe ser difundido a todos los funcionarios. Si el tamaño de la estructura de la
organización no es apropiada para las actividades de la entidad, o el conocimiento y
la experiencia de los gerentes y personal clave no es la adecuada, puede existir un
mayor riesgo en el debilitamiento de los controles.
* La Organización cuenta con una estructura organizativa que manifiesta claramente
la relación jerárquico funcional existente.
* Contribuye al flujo de información entre áreas.
* La estructura organizativa es adecuada al tamaño y naturaleza de las operaciones.
* Existe un diagrama de la estructura organizativa vigente.
* El mismo ha sido difundido a toda la Organización.
Asignación de autoridad y responsabilidad
Cada funcionario debe conocer sus deberes y responsabilidades. Esto contribuye a
desarrollar la iniciativa de los mismos y a solucionar los problemas, actuando siempre
dentro de sus responsabilidades. Es importante que la asignación de autoridad y
responsabilidad esté acorde con los objetivos y metas organizacionales, y que éstos se
hagan a un nivel adecuado, sobre todo las autorizaciones para cambios en políticas o
prácticas; por lo tanto, los funcionarios deben conocer los objetivos de la Unidad
donde se desempeñan y cómo su función contribuye al logro de los objetivos
generales. Esto es fundamental para lograr un compromiso mayor en las personas que
se desempeñan en una Organización.
* Los funcionarios conocen los cometidos de la Organización y cómo su función
contribuye al logro de los mismos.
* Existe una clara asignación de responsabilidades, lo que implica que cada
funcionario desarrolla sus propias iniciativas y actúa dentro de sus
responsabilidades.
* La asignación de responsabilidad está directamente vinculada con la asignación de
autoridad.
* Los funcionarios que tienen asignadas responsabilidades deben rendir cuentas
periódicamente por tal asignación.
Métodos de control administrativo para supervisar y dar seguimiento al cumplimiento
de las políticas y procedimientos, Incluyendo la función de auditoria interna
El grado de supervisión continua sobre la operación que lleva a cabo la
Administración, da una evidencia importante de si el sistema de control Interno está
funcionando adecuadamente y de si las medidas correctivas se realizan en forma
oportuna.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 8

Políticas y prácticas de Personal

Se deben establecer políticas y prácticas de personal (dentro del ámbito normativo
vigente), que busquen lograr una administración de personal justa y equitativa. Si bien
existe una normativa vigente que impide a la Dirección de una Unidad moverse
libremente en este aspecto, se debe procurar lograr justicia y equidad en el personal a
la hora de capacitar, adiestrar, calificar, promover y disciplinar a los funcionarios.
* Existen procedimientos definidos para la promoción, selección, capacitación,
evaluación, compensación y sanción del personal.
* Los mismos son conocidos por todos los funcionarios.
* Los mismos se aplican en la realidad.
2) Valoración (Evaluación) de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser
evaluados. Una condición previa a la evaluación del riesgo es la identificación de los
objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.
La evaluación de riesgos consiste en la identificación y el análisis de los riesgos
relevantes para la consecución de los objetivos, y sirve de base para determinar cómo
han de ser gestionados.
A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad
disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los objetivos hayan sido apropiadamente
definidos, que los mismos sean consistentes con los objetivos institucionales, que hayan
sido oportunamente comunicados, que se hayan detectado y analizado
adecuadamente los riesgos, que se los haya clasificado de acuerdo a la relevancia y
probabilidad de ocurrencia.
Misión, Objetivos y Políticas
Los objetivos y políticas de una determinada Unidad deberán estar alineados y ser
consistentes con la misión de la misma, la cual es desarrollada a nivel del Inciso.
Es importante que los mismos se encuentren documentados y difundidos no solo a
toda la Organización, sino que también es importante su difusión a nivel de la
sociedad en general. Esto será importante a la hora de rendir cuentas de la gestión del
Organismo.
Misión: Expresa lo que es la Organización, para qué está, qué necesidades cubre. La
misión es definida a nivel de Inciso.
Objetivos: Expresan los propósitos de la Organización, mostrando hacia donde va la
misma.
Políticas: Expresan los medios que utiliza la Organización para conseguir los objetivos.
Dado el ambiente dinámico en donde interactúa la Unidad, los objetivos deberán
adecuarse a esos cambios.
* La misión de la Organización es conocida y comprendida por la Dirección y los
funcionarios de la Unidad.
* Los objetivos definidos para la Unidad son concordantes con la misión definida.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 9

* Existe un compromiso por parte de la Dirección de que los objetivos sean conocidos y
comprendidos por todos los funcionarios.
* Se han determinado los beneficiarios de las acciones desarrolladas por la
Organización.
* Los cometidos son difundidos adecuadamente a nivel de la sociedad, a los efectos
de rendir cuentas de la gestión del Organismo.
* Existe una definición adecuada de políticas por parte de la Dirección para alcanzar
los objetivos.
* Las mismas son difundidas y comprendidas por parte de todos los funcionarios.
* El presupuesto asignado a la Unidad es adecuado para el cumplimiento de los
objetivos.
* Existe por parte de la Dirección una priorización de objetivos, concordante con los
recursos asignados a la misma.
Objetivos a nivel de proceso o actividad
Se deben identificar los objetivos particulares a nivel de todos los procesos o
actividades desarrolladas por una Unidad, a los efectos de poder identificar los riesgos
que podrían amenazar la consecución de los objetivos vinculados a los mismos.
* Los objetivos particulares de los procesos sustantivos de la Unidad (entendiéndose por
procesos sustantivos los que agregan valor a la Unidad) se encuentran
identificados.
* Los mismos son concordantes con los objetivos generales de la Unidad.
* Se encuentran definidas las herramientas de medición (indicadores) del grado de
cumplimiento de los objetivos.
* Estas herramientas de medición se encuentran operativas en la realidad y se aplican.
Los riesgos que podrían afectar la consecución de los objetivos de la Organización,
tanto externos como internos, deben estar claramente identificados.
Para ello se debe realizar un “mapeo” de riesgos que incluya la especificación de los
procesos claves de la Organización, la identificación de los objetivos generales y
particulares de los mismos, y las amenazas y riesgos que pueden impedir que los
mismos se cumplan.
* Se encuentran identificados los riesgos tanto internos como externos, que podrían
interferir en que los objetivos de procesos sean cumplidos.
* Existen mecanismos definidos para la identificación de riesgos internos y los mismos
funcionan adecuadamente.
* Los mecanismos utilizados para identificar riesgos tienen en cuenta los siguientes
factores:
Futuros recortes de Presupuesto
Modificación de procedimientos
Dificultades en los sistemas de información
Falta de competencia y capacitación del personal
Modificación de autoridades
Falta de financiamiento
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 10

* Se tienen en cuenta las observaciones y recomendaciones de auditoría (Auditoría

Externa y/o Auditoría Interna) realizadas en el pasado.
* Están identificados aquellos riesgos que la Dirección entiende que no debe mitigar
(riesgo residual) y por lo tanto asume esa responsabilidad.
Estimación de Riesgos
Se debe estimar la probabilidad de ocurrencia de los riesgos identificados, así como
también cuantificar las posibles pérdidas que los mismos podrían ocasionar.
Por consiguiente, la estimación de riesgos debe hacerse a través de dos variables:
probabilidad (frecuencia en la ocurrencia del mismo) e impacto (consecuencia que
tendría el mismo si ocurriera).
* Existe una estimación de riesgos, considerando la probabilidad de ocurrencia y el
impacto de los mismos.
Manejo del cambio
Se debe disponer de procedimientos capaces de captar e informar oportunamente
cualquier cambio, tanto en el ambiente interno como externo, que puedan impedir
que los objetivos se consigan.
* Las Áreas están instruidas para informar a la Dirección de cualquier variación que
pueda afectar el cumplimiento de los objetivos de la Entidad o Área.
* Existen procedimientos capaces de captar e informar oportunamente cambios, tanto
internos como externos, que puedan determinar variantes en el análisis de riesgos.
* Los mismos son aplicados en la realidad.
Identificación de Riesgos relevantes a la información financiera
Incluyen eventos o circunstancias externas e internas que pueden ocurrir y afectar la
habilidad de la entidad en el registro, procesamiento, agrupación o reporte de
información, consistente con las aseveraciones de la Administración en los estados
financieros. Estos riesgos podrán surgir o cambiar, derivado de circunstancias como las
que se mencionan a continuación:
 Cambios en el ambiente operativo: Cambios en reglas o en la forma de realizar las
operaciones pueden resultar en diferentes presiones competitivas y, por lo tanto, en
riesgos diferentes.
 Nuevo personal: El nuevo personal puede tener un enfoque diferente con relación
al control interno.
 Sistemas de información nuevos o rediseñados: Cambios significativos y rápidos en
los sistemas de información pueden cambiar el riesgo relativo aI control interno.
 Crecimientos acelerados: Un crecimiento acelerado en las operaciones puede
forzar demasiado los controles y crear el riesgo de que éstos no se lleven a cabo o
se ignoren.
 Nuevas tecnologías: La Incorporación de nuevas tecnologías dentro de los procesos
productivos o los sistemas de información pueden cambiar los riesgos asociados
con el control interno.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 11

 Nuevas líneas, productos o actividades: El Incorporarse en negocios o transacciones

en donde la entidad tiene poca experiencia, puede crear nuevos riesgos asociados
con el control Interno.
 Reestructuraciones corporativas: Las reestructuraciones pueden estar
acompañadas de reducción de personal y cambios en la supervisión y segregación
de funciones, que pueden traer cambios en los riesgos asociados con el control
interno.
 Cambios en procedimientos contables: La adopción de un nuevo pronunciamiento
contable o un cambio en los ya existentes, puede afectar los riesgos relacionados
con la preparación de los estados financieros.
 Personal con mucha antigüedad en el puesto: Una persona con mucha
antigüedad en el puesto puede ignorar los controles por exceso de confianza,
inercias o vicios adquiridos.
 Operaciones en el extranjero: La expansión o adquisición de operaciones en el
extranjero, crean nuevos riesgos que pueden impactar el control interno, por
ejemplo, cambio en los riesgos considerados en las operaciones en moneda
extranjera.
El auditor deberá obtener un entendimiento suficiente de los procesos de evaluación
de riesgos de la entidad, con el objeto de conocer como la Administración considera
los riesgos relevantes respecto a los objetivos de los informes financieros y qué
acciones está tomando para minimizar esos riesgos. Este entendimiento debe incluir en
adición a lo mencionado anteriormente, un conocimiento de cómo la Administración
estima los riesgos, cómo mide la probabilidad de ocurrencia de los mismos y cómo los
relaciona con los estados financieros. La administración puede iniciar planes o
acciones para mitigar riesgos específicos o puede decidir aceptar un riesgo por el
costo que puede implicar el corregirlo u otras consideraciones.
La evaluación de riesgos de la entidad difiere de la consideración de
riesgos de auditoria que realiza el auditor en una auditoría de estados
financieros. El propósito de la evaluación de riesgos de la entidad es el de
identificar, analizar y administrar riesgos que pueden afectar los objetivos
de la entidad, en cambio en una auditoria de estados financieros, el
auditor identifica los riesgos y califica los riesgos inherentes y de control
para evaluar la probabilidad de que un error significativo pueda existir en
los estados financieros (Importancia relativa y riesgo de auditoria).

3) Actividades de Control
Las actividades de control son las políticas, procedimientos, técnicas, prácticas y
mecanismos que establece la Administración y que proporcionan una seguridad
razonable de que se van a lograr en forma eficaz y eficientemente los objetivos
específicos de la entidad, constituyen los procedimientos de control. El hecho de que
existan formalmente políticas o procedimientos de control, no necesariamente
significa que éstos estén operando efectivamente. El auditor debe evaluar la manera
en que la entidad ha aplicado las políticas y procedimientos, su uniformidad de
aplicación, qué persona las ha llevado a cabo y, finalmente, basado en dicha
evaluación, concluir si están operando efectivamente.
Los procedimientos de control persiguen diferentes objetivos y se aplican en distintos
niveles de la organización y del procesamiento de las transacciones. También pueden
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 12

estar integrados por componentes específicos del ambiente de control, de la

evaluación de riesgos y de los sistemas de Información y comunicación. Atendiendo a
su naturaleza, estos procedimientos pueden ser de carácter preventivo o detectivo.
Los procedimientos de carácter preventivo son establecidos para evitar errores
durante el desarrollo de las transacciones.
Los procedimientos de control de carácter detectivo tienen como finalidad detectar
los errores o las desviaciones que durante el desarrollo de las transacciones, no
hubieran sido identificados por los procedimientos de control preventivos.
Los procedimientos de control están dirigidos a cumplir con los siguientes objetivos:
a) Debida autorización de transacciones así como de actividades.
b) Adecuada segregación de funciones y, a la par, de responsabilidades.
c) Diseño y uso de documentos y registros apropiados que aseguren el correcto
registro de las operaciones.
d) Establecimiento de dispositivos de seguridad que protejan los activos.
e) Verificaciones independientes de la actualización de otros y adecuada valuación
de las operaciones registradas.
Las actividades de control se ejecutan en todos los niveles de la Unidad y en cada una
de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos, de
acuerdo a lo señalado en el punto anterior (Evaluación de Riesgos), lo cual se
representa en el siguiente diagrama:

En la evaluación del sistema de control interno no solo debe considerarse si fueron

establecidas las actividades relevantes para los riesgos identificados, sino también si las
mismas son aplicadas en la realidad y si los resultados conseguidos son los esperados.
Ante la variedad de actividades de control que pueden emplearse, las aquí
incorporadas lo son a título indicativo y descritas al sólo efecto de ilustrar la variedad
de controles típicos que deben utilizarse en cualquier organización y que el auditor
debe tomar en cuenta para su evaluación (es un punto de partida, hallándose sujeta
a mejoras e incorporación de aquellos aspectos no contemplados en ellas):
Identificación de Procedimientos de Control
Luego de identificar, estimar y cuantificar los riesgos, la Dirección debe determinar los
objetivos de control, y en base a ello debe establecer las actividades de control más
convenientes a implementar. La conveniencia estará dada por la efectividad de las
mismas y el costo a incurrir en su implantación.
Será importante en este punto no perder de vista la ecuación costo – beneficio.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 13

* Existen procedimientos de control para mitigar todos los riesgos identificados y

considerados significativos
* Los mismos se aplican apropiadamente.
* Dichos procedimientos son comprendidos por todos los funcionarios involucrados.
Oposición de intereses
Se debe asignar a personas diferentes las tareas y responsabilidades relativas a la
autorización, registro y revisión de las transacciones y hechos económicos de la
Organización
Esto disminuye considerablemente la posibilidad de cometer actos ilícitos y en caso
que se cometan, es más fácil su detección.
* Las tareas y responsabilidades vinculadas a la autorización, aprobación,
procesamiento y registración, pagos o recepción de fondos, auditoría y custodia de
fondos, valores o bienes de la Organización están asignadas a personas diferentes.
* Las conciliaciones bancarias son realizadas por personas ajenas al manejo de las
cuentas bancarias.
Coordinación entre áreas
Las áreas que componen una Organización deben actuar coordinadamente entre
ellas. Esto redundará en la consecución de los objetivos generales de la Organización
y no solo en la consecución de objetivos a nivel de Unidad independiente.
Que exista coordinación implica que los funcionarios conozcan las consecuencias de
sus acciones respecto a la Organización en su conjunto.
* Existe un flujo de información adecuado entre las distintas áreas de la Unidad.
* Los funcionarios son conscientes de cómo impactan sus acciones en la Organización
en su conjunto.
Documentación
La estructura de control interno y todas las transacciones y hechos significativos de la
Unidad deben estar claramente documentados y disponibles para su control.
* Existen documentos escritos acerca de la estructura de control interno de la Unidad.
* Los mismos se encuentran disponibles y al alcance de todos los funcionarios.
Niveles definidos de autorización
Los hechos significativos de una Organización deben ser autorizados y realizados por
funcionarios que actúen dentro el ámbito de su competencia.
La Dirección deberá autorizar los hechos significativos a realizar y los funcionarios
deberán ejecutar las tareas que les han sido asignadas, de acuerdo a los lineamientos
establecidos.
* Los procedimientos de control aseguran que las tareas son realizadas exclusivamente
por los funcionarios que tienen asignada la tarea.
* La delegación de tareas se encuentra dentro de los lineamientos establecidos por la
Dirección.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 14

Registro adecuado de las transacciones

Las transacciones y hechos que afecten a la Organización deben ser registrados
oportuna y adecuadamente.
* Las operaciones de egreso que se dan en la Organización se registran en tiempo y
forma, cualquiera sea la etapa del gasto en las que se encuentren (Afectación,
Compromiso, etc.).
* Lo mismo sucede con las operaciones de ingreso.
Acceso restringido a los recursos, activos y registros
El acceso a los recursos, activos y registros debe estar protegido por mecanismos de
seguridad, que permitan asignar responsabilidad en su custodia. Estas personas serán
las encargadas de rendir cuentas por su custodia y utilización.
Es importante destacar que los datos producidos por la Organización, los cuales son
fundamentales para cumplir con sus objetivos, deben ser considerados activos.
* Los procedimientos de control aseguran que solo las personas autorizadas tengan
acceso a los recursos y activos de la Organización.
* La responsabilidad por custodiar y rendir cuentas por esos recursos está asignada a
determinadas personas.
* Los procedimientos de control aseguran que solo las personas autorizadas tengan
acceso a los registros y datos de la Organización.
* Los permisos asignados para acceder a la información, tanto sea tangible como en
formato electrónico, son revisados periódicamente, asegurando el principio de “la
necesidad de saber”.
* Se realizan controles periódicos entre los recursos existentes y los saldos que arrojan
los registros (arqueos, conciliaciones, recuentos físicos).
* Existen procedimientos establecidos para la custodia de los recursos físicos.
* La(s) Tesorería(s) tienen las medidas de seguridad correspondientes.
* Los formularios como recibos, órdenes de compra y otros importantes están
prenumerados, guardados adecuadamente y asignada la responsabilidad por su
custodia.
Rotación del personal en las tareas sensibles
Las personas que llevan adelante tareas que puedan dar lugar a cometer
irregularidades, deben ser regularmente rotadas en sus puestos.
* Se rota a los funcionarios en las tareas que pueden dar lugar a irregularidades
(fraude, actos de corrupción).
Control del sistema de información
Con el objetivo de lograr su correcto funcionamiento, el sistema de información debe
ser controlado periódicamente. Esto se debe a que la toma de decisiones se respalda
en los sub -sistemas de información.
* Existen procedimientos que aseguran el acceso autorizado a los sistemas de
información.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 15

Control de la tecnología de la información

Los recursos tecnológicos deben ser regularmente testeados, a los efectos de lograr
cumplir con los requisitos del sistema de información.
* Los recursos tecnológicos son regularmente testeados, a los efectos de corroborar
que cumplen con los requisitos de los sistemas de información.
Indicadores de desempeño
Respetando el principio de que lo que no se puede medir, no se puede gestionar, la
Organización debe contar con métodos de medición de desempeño que permitan la
elaboración de indicadores para su monitoreo y evaluación.
La información será utilizada para monitorear y poder corregir los desvíos
oportunamente detectados.
* Existen indicadores y criterios para la medición de la gestión.
* Los indicadores son apropiados y se ajustan a la realidad de la Organización.
* Se revé periódicamente la validez de los mismos.
* Son consistentes con la misión y objetivos de la Unidad.
* Se analizan periódicamente los resultados obtenidos.
* Si se encuentran desvíos con lo previsto, se toman las medidas correctivas
apropiadas.
Manuales de procedimientos
Toda Organización debe contar con manuales de procedimientos, en los cuales se
desarrollará la forma óptima de llevar adelante los procesos de negocio. Es
fundamental que todos los funcionarios tengan documentada, la forma de
desempeñarse en la Organización.
* Existen manuales de procedimientos escritos para los procesos sustantivos de la
Unidad, en los cuales se desarrolla la forma óptima de llevar adelante el proceso.
* Se ha notificado a los funcionarios acerca de los mismos.

4 ) Información y Comunicación
Hay que identificar, recopilar y comunicar información pertinente en tiempo y forma
que permitan cumplir a cada funcionario con sus responsabilidades.
También deberá existir una comunicación eficaz en un sentido amplio, que fluya en
todas las direcciones a través de todos los ámbitos de la Unidad, de arriba hacia abajo
y a la inversa. La Dirección debe comunicar en forma clara las responsabilidades de
cada funcionario dentro del sistema de control interno implementado. Los funcionarios
tienen que comprender cuál es su papel en el sistema de control interno y cómo las
actividades individuales están relacionadas con el trabajo del resto.
Asimismo, deben contar con los medios para comunicar la información significativa a
los niveles superiores.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 16

Información y responsabilidad
Los datos de una Organización deben ser identificados, captados, registrados,
procesados en información y comunicados en tiempo y forma a los funcionarios, para
que estos puedan tomar decisiones acertadas y cumplir con sus responsabilidades.
* Están definidos los distintos reportes que deben remitirse a los distintos niveles internos
para la toma de decisiones.
* La información es apropiada de acuerdo a los niveles de autoridad y responsabilidad
asignados.
Flujo de Información
El flujo de información debe circular en todos los sentidos dentro de la Organización:
* La información circula en todos los sentidos dentro de la Organización (ascendente,
descendente, horizontal y transversal) y está disponible para quienes deben
disponer de ella.
Sistemas de Información integrado
Los sistemas de información dentro de una Organización deben estar integrados. Los
funcionarios de una unidad organizacional deben saber cómo se vincula la
información elaborada por el área donde se desempeñan, con la información
elaborada por el resto de las unidades de la estructura.
A su vez, el sistema de información debe estar condicionado a la Estrategia de la
Organización.
El sistema de información debe servir para:
 La toma de decisiones a todos los niveles
 Evaluar el desempeño del organismo
 Rendir cuentas
* Los funcionarios saben cómo se vincula la información elaborada por el área donde
se desempeñan, con la información elaborada por el resto de las unidades de la
estructura.
Flexibilidad al cambio
El sistema de información debe ser revisado, a los efectos de comprobar que sigue
siendo eficaz para la toma de decisiones a lo largo del tiempo.
Se debe constatar que la información elaborada sigue siendo relevante para los
objetivos de la Organización.
Toda vez que el organismo cambie su estrategia, misión, política u objetivos, se debe
analizar el impacto sobre su sistema de información.
* El sistema de información es revisado a lo largo del tiempo, a los efectos de
comprobar que sigue siendo eficaz para la toma de decisiones y que la
información elaborada sigue siendo relevante para los objetivos de la
Organización.
* Se analiza el sistema de información cada vez que el organismo cambia su
estrategia, misión, política u objetivos.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 17

Compromiso de la autoridad superior

Es imprescindible que la Dirección tome conciencia del grado de importancia del
sistema de información organizacional, para poder cumplir con sus objetivos. Este
compromiso se debe explicitar mediante la procura de recursos suficientes para poder
mejorarlo y volverlo más eficaz.
* La Dirección es consciente de la importancia del sistema de información
organizacional y este compromiso se explicita por ejemplo mediante la procura de
recursos suficientes para poder mejorarlo y volverlo más eficaz.
Comunicación, valores organizacionales y estrategias
La Organización debe contar con un sistema de comunicación multidireccionado,
que proporcione oportunamente a todos los funcionarios la información (relevante y
confiable), necesaria para poder cumplir con sus responsabilidades.
* Existen mecanismos que aseguran la comunicación en todos los sentidos.
* El sistema de comunicación proporciona oportunamente a todos los funcionarios la
información (relevante y confiable), necesaria para poder cumplir con sus
responsabilidades.
Canales de comunicación
Los canales de comunicación deben presentar un grado de apertura y eficacia
acorde a las necesidades de información internas y externas (sociedad, prensa, entre
otros).
* Existen canales de comunicación adecuados con terceros interesados y partes
externas (sociedad, prensa, entre otros).
Sistemas de información relevantes a los objetivos de los reportes financieros
Estos incluyen el sistema contable, consisten en los métodos y registros establecidos
para identificar, reunir, analizar, clasificar, registrar y producir información cuantitativa
de las operaciones que realiza una entidad económica. La calidad de los sistemas
generadores de información afecta la habilidad de la gerencia en tomar las
decisiones apropiadas para controlar las actividades de la entidad y preparar reportes
financieros confiables y oportunos.
Para que un sistema contable sea útil y confiable, debe contar con métodos y registros
que:
a) Identifiquen y registren únicamente las transacciones reales que reúnan los criterios
establecidos por la Administración.
b) Describan oportunamente todas las transacciones con el detalle necesario que
permita su adecuada clasificación.
c) Cuantifiquen el valor de las operaciones en unidades monetarias.
d) Registren las transacciones en el período correspondiente.
e) Presenten y revelen adecuadamente dichas transacciones en los estados
financieros
Los sistemas de comunicación incluyen la forma en que se dan a conocer las
funciones y responsabilidades relativas al control interno de los informes financieros, por
lo que el auditor debe obtener un entendimiento de las formas que la entidad utiliza
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 18

para informar las funciones, responsabilidades y cualquier aspecto importante con

relación a la información financiera.
5) Supervisión y Monitoreo (Vigilancia)
Una importante responsabilidad de la Administración es la de establecer y mantener
los controles internos, así como el vigilarlos, con objeto de identificar si éstos están
operando efectivamente y si deben ser modificados cuando existen cambios
importantes.
Los sistemas de control interno requieren supervisión, es decir, un proceso que verifique
la vigencia del sistema de control interno a lo largo del tiempo. Esto se consigue
mediante actividades de supervisión continuada, evaluaciones periódicas o una
combinación de ambas cosas.
Evaluación del sistema de control interno
La eficacia del sistema de control interno de toda Organización, debe ser
periódicamente evaluada por la Dirección y los mandos medios.
Los resultados de la evaluación deben ser comunicados a aquel ante quién se es
responsable.
* El sistema de control interno es evaluado periódicamente por la Dirección y los
mandos medios a los efectos de corroborar su vigencia.
* Existen herramientas definidas de autoevaluación que permiten evaluar el sistema de
control interno implementado.
Eficacia del sistema de control interno
Un sistema de control interno se considera eficaz si la dirección de la Unidad tiene la
seguridad razonable de que:
* Dispone de la información adecuada sobre hasta qué punto se están logrando los
objetivos operacionales de la Unidad.
* Se prepara de forma fiable la información financiera de la misma.
* Se cumplen las leyes y normativa a las que se encuentra sujeta.
Si bien el control interno es un proceso, su eficacia es el estado o la situación del
proceso en un momento dado.
* Se evalúa periódicamente la eficacia del sistema de control interno, teniendo en
cuenta si la Dirección de la Unidad tiene seguridad razonable de que:
* Dispone de la información adecuada sobre hasta qué punto se están logrando los
objetivos operacionales de la Unidad.
* Se prepara de forma fiable la información financiera de la misma.
* Se cumplen las leyes y normativa a las que se encuentra sujeta.
Validación de los supuestos asumidos
Se deben validar periódicamente los supuestos que sustentan los objetivos de una
Organización.
A modo de ejemplo, los objetivos de una Organización pueden apoyarse en supuestos
acerca de las necesidades de la sociedad. Por consiguiente será fundamental la
validación de estos supuestos a lo largo del tiempo.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 19

* Se validan periódicamente los supuestos que sustentan los objetivos de una

Organización.
Deficiencias detectadas
Se deben establecer procedimientos que aseguren que toda deficiencia detectada,
que afecte al Sistema de Control Interno o pueda llegar a afectarlo, pueda ser
oportunamente informada.
* Existen procedimientos que aseguran que toda deficiencia detectada que afecte al
Sistema de Control Interno o pueda llegar a afectarlo, pueda ser oportunamente
informada.

5. Para qué se evalúa el control interno

La evaluación del control interno, fundamentalmente se lo hace por dos motivos:

 Comprender el ambiente general de control en que opera la entidad.
 Distinguir aquellos controles que directamente influirán en el enfoque de
auditoría a emplear.
Independientemente del enfoque de auditoría que se utilice, siempre es
imprescindible efectuar un relevamiento de los sistemas de información, contabilidad y
control al comenzar una labor de auditoría. El conocimiento general de los sistemas de
información, contabilidad y control de un ente, por ser un factor totalmente
relacionado con la determinación de la naturaleza, alcance y oportunidad de las
pruebas de auditoría a realizar, necesariamente va a tener que efectuarse antes de la
etapa de ejecución de auditoría y, en ciertos casos, como primera tarea de la etapa
de planificación.
Este relevamiento puede ubicarse en el tiempo dividido en dos momentos:
 En la primer etapa, donde se van a considerar principalmente los aspectos
relacionados con el ambiente de control.
 En la segunda etapa, donde se va a analizar el sistema en forma minuciosa
únicamente para aquellos componentes donde se efectuará un enfoque de
auditoría hacia los controles y no un enfoque sustantivo.
Para este relevamiento, se necesitará lograr una clara comprensión del flujo de las
operaciones y una evaluación sobre el diseño de aquellos controles que se
determinen como controles clave.
Según Taylor y Glezen 1998, el estudio (evaluación) del Control Interno, se puede
resumir en los siguientes pasos que muestra el gráfico.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 20

Gráfico 1

ESTUDIO EVALUACIÓN PRELIMINAR

No
SON FIABLES LOS
CONTROLES

Si

PRUEBAS DE REVALUAR LOS

CUMPLIMIENTO CONTROLES

No
LOS CONTROLES
No FUNCIONAN

Si

PRUEBAS SUSTANTIVAS
LIMITADAS

AMPLIAR
PRUEBAS SUSTANTIVAS

6. Fases de la Evaluación del Control Interno

6.1. Evaluación Preliminar

En esta etapa, el auditor efectúa un análisis general del riesgo implícito en el trabajo
que va a realizar, con objeto de considerarlo en el diseño de sus programas de trabajo
de auditoria y para Identificar gradualmente las actividades y características
específicas de la entidad.
Aun cuando en esta etapa no se han probado los controles internos y, por lo tanto,
cualquier decisión preliminar, el auditor debe primeramente:
a) Comprender el ambiente de control establecido por la Administración para
detectar errores potenciales.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 21

b) Describir y verificar su comprensión de los procedimientos de control de la

Administración, incluyendo aquellos relativos a la evaluación de riesgos.
c) Conocer los procesos de mayor riesgo de la entidad y evaluar su importancia.
d) Evaluar el diseño de los sistemas de control en los procesos de mayor riesgo, para
determinar si es probable que sean eficaces para prevenir o detectar y corregir los
errores potenciales Identificados.
e) Formarse un juicio sobre la confianza que podrá depositarse en el control que será
evaluado.
Una vez que el auditor ha adquirido un conocimiento general de la estructura de
control interno, estará capacitado para decidir el grado de confianza que depositará
en los controles existentes, para la prevención y detección de errores potenciales
Importantes, o bien, definir si directamente los objetivos de auditoria se pueden
alcanzar de manera más eficiente y efectiva a través de la aplicación de pruebas
sustantivas.
La evaluación final de los procedimientos de control seleccionados, se hará después
de llevar a cabo las pruebas de cumplimiento de dichos controles.
6.2. Evaluación Final y Pruebas de Cumplimiento
La finalidad de las pruebas de cumplimiento es reunir evidencia suficiente para
concluir si los sistemas de control establecidos por la Administración prevendrán,
detectarán y corregirán errores potenciales que pudieran tener un efecto importante
en los estados financieros. Esta conclusión permite confiar en el control como fuente
de seguridad general de auditoría y disminuir el alcance de las pruebas sustantivas.
Las pruebas de cumplimiento están diseñadas para respaldar la evaluación de la
aparente confiabilidad de procedimientos específicos de control. La evaluación se
hará determinando si los procedimientos de control están funcionando de manera
efectiva, según se diseñaron, durante todo el periodo. Estas pruebas pueden implicar
el examen de documentación de transacciones para buscar la presencia o ausencia
de atributos específicos (controles detectivos).
Al efectuar una prueba de cumplimiento en una muestra de transacciones
seleccionadas, se puede determinar una tasa máxima estimada de desviaciones y así
llegar a una conclusión sobre la eficacia de los procedimientos de control durante el
periodo examinando.
Además de las pruebas que se describen, es necesario establecer por indagación y
observación e inspección de documentación, la forma en que la Administración se ha
asegurado que el sistema de control continúa operando efectivamente, a pesar de
posibles cambios en el medio ambiente.
Los procedimientos de auditoria podrían variar si como resultado de las
pruebas de cumplimiento presentan debilidades o desviaciones a los
procedimientos de control.

6.3. El Procesamiento Electrónico de Datos PED al evaluar la estructura del

control interno
Por la importancia que han adquirido los sistemas de PED en la Información contable.
por el volumen de operaciones procesadas en ellos, así como por la pérdida de
huellas visibles y concentración de funciones contables que frecuentemente se dan en
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 22

un ambiente de este tipo, el auditor debe conocer, evaluar y, en su caso, probar el

sistema de PED como parte fundamental del estudio y evaluación del control interno y
documentar adecuadamente sus conclusiones sobre su efecto en la información
financiera y el grado de confianza que depositará en los controles.

7. Evaluación de los controles: Puntos Fuertes, Puntos Débiles y

Controles Clave

Ya sea que se evalúe el control interno por el método COSO o SAS 55, el auditor
deberá tener una clara comprensión del sistema contable y de información financiera
y al evaluar estos sistemas detectará puntos fuertes y puntos débiles.
En esta parte es oportuno presentar el gráfico de Carlos Slosse, en su obra Auditoría un
nuevo enfoque empresarial, que esquematiza la determinación de estos puntos.
Gráfico 2

RELEVAMIENTO DE LOS SISTEMAS

PUNTOS FUERTES PUNTOS DÉBILES

Pruebas de Recorrido Evaluar Riesgos e Impacto

Considerar en Carta a
Gerencia
Es eficiente confiar ? Son ineficientes

No Si Planificar
Procedimientos
Sustantivos

Pruebas de
Cumplimiento

Prueba de Recorrido
Una prueba de recorrido consiste en seguir a través del sistema de información de la
entidad, reproducir y documentar, las etapas manuales y automáticas de un proceso
de gestión o de una clase de transacción, desde su inicio hasta su finalización,
sirviéndose de una transacción utilizada como ejemplo. Sirve para verificar la
comprensión del proceso de gestión, subproceso o actividad analizada, los riesgos y
los controles clave relacionados.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 23

Antes de realizar una prueba de recorrido, debe comprenderse el proceso global, del
principio al fin. En las pequeñas entidades, las pruebas de recorrido pueden realizarse
al mismo tiempo que se obtiene la comprensión del sistema de control interno.
Las pruebas de recorrido pueden ser uno de los procedimientos más efectivos para
entender una clase específica de transacciones, específicamente, una prueba de
recorrido permite:
• Confirmar que la comprensión del proceso por el auditor es completa y correcta, o
reajustar su percepción previa.
• Verificar la existencia de controles clave en las actividades ordinarias y si están
funcionando adecuadamente los controles clave automáticos.
• Confirmar la comprensión por el auditor del diseño de los controles clave
identificados.
• Verificar la consistencia y pertinencia de la documentación elaborada hasta el
momento, incluyendo los diagramas de flujo existentes.
Prueba de cumplimiento
Una prueba de cumplimiento es el examen de la evidencia disponible de que una o
más técnicas de control interno están operando durante el periodo de auditoría.
El auditor deberá obtener evidencia de auditoría mediante pruebas de cumplimiento
de:
 Existencia: el control existe
 Efectividad: el control está funcionando con eficiencia
 Continuidad: el control ha estado funcionando durante todo el periodo.
El objetivo de las pruebas de cumplimiento es quedar satisfecho de que una técnica
de control estuvo operando efectivamente durante todo el periodo de auditoría.
Puntos fuertes y puntos débiles
El siguiente gráfico (extractado del libro de Slosse) muestra la forma de la
identificación de los puntos fuertes y puntos débiles.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 24

Gráfico 3

CONOCIMIENTO DEL
SISTEMA DE CONTROL

IDENTIFICACION DE
PUNTOS FUERTES DE CONTROL

IDENTIFICACION DE
PUNTOS DÉBILES DE CONTROL

SUGERIR A
SATISFACEN EL NO SATISFACEN EL ANALIZAR EL IMPACTO LA DIRECCIÓN
OBJETIVO DE AUDITORIA OBJETIVO DE AUDITORIA SOBRE LA LABOR DE AUDITORIA SU ACCIÓN
CORRECTIVA

Si
No
No
SU IMPACTO
ES EFICIENTE CONFIAR EN ELLOS ?
ES SIGNIFICATIVO

Si

CAMBIAR EL ENFOQUE
POR UNO SUSTANTIVO
CONFECCIONAR PRUEBAS
QUE EVALUEN SU CUMPLIMIENTO

Control Clave
Una vez comprendido y analizado el sistema de información, contabilidad y control,
corresponde evaluarlo. La evaluación de los controles se basa fundamentalmente en
el criterio profesional. El proceso de evaluación de los controles generalmente implica
la realización de los siguientes pasos:
 Identificar los controles clave potenciales;
 Reconsiderar la evaluación inicial de enfoque y riesgo de auditoría;
 Evaluar las debilidades encontradas y el efecto que éstas tienen sobre el enfoque
previamente planificado.

En el (gráfico 4), elaborado de acuerdo a lo expuesto por Slosse en su libro Auditoria:

Un nuevo enfoque empresarial, se resume el proceso de identificación de un control
clave:
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 25

Gráfico 4

La identificación y selección de controles clave es un proceso de raciocinio y

comprensión del sistema de información, contabilidad y control. Como consecuencia,
de la identificación de determinados controles denominados claves, se necesita
comprobar su vigencia y correcto funcionamiento. Los procedimientos que tienden a
verificar ese correcto funcionamiento y vigencia, son las denominadas "pruebas de
cumplimiento" (que van a formar parte de los programas del trabajo de auditoría y su
realización preferentemente debe efectuarse al inicio de la fase de ejecución del
trabajo).

Un Control clave es aquel control que reúne dos condiciones:

 Proporciona satisfacción de auditoría relevante (en relación con los
objetivos de la auditoría frente a los controles o procedimientos que
ejecute la entidad)siempre que esté operando efectivamente
 Proporciona de modo más eficiente, seguridad y confianza, que otros
procedimientos

La existencia de errores o irregularidades en la realización de las pruebas de

cumplimiento, invariablemente implicará: un aumento en el alcance de las tareas, o la
conclusión de que ese control no se cumple en forma adecuada, o no está vigente y,
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 26

por lo tanto, deben modificarse los procedimientos de auditoría a emplear. En este

caso, se tendría que modificar esa prueba de cumplimiento por otra prueba de tipo
sustantivo. De ahí la importancia de realizar la prueba de estos controles con
anticipación a la fecha de cierre del período a auditar, ya que resultaría
problemático, detectar debilidades de control y no poder tomar acciones correctivas
oportunas en el plan de auditoría si estas pruebas son efectuadas con posterioridad a
dicha fecha.
Cabe aclarar que en una primera auditoría todas estas actividades relacionadas con
el conocimiento del sistema de información, contabilidad y control van a requerir más
labor que la necesaria para auditorias recurrentes, donde ya se conoce como opera
el sistema, cuál es su estructura y cuál es su ambiente general de control a través del
conocimiento acumulado y experiencia de trabajos anteriores, en esta situación el
relevamiento se limitará únicamente a obtener el conocimiento de las modificaciones
o cambios en los sistemas. Esta última tarea, normalmente se la conoce como
“procedimientos de actualización de sistemas”.
Al conocer la existencia de modificaciones o cambios en los sistemas, se debe tomar
nota de ellos y documentarlos en los papeles de trabajo. Se deberá identificar si sigue
siendo vigente el enfoque de auditoría planificado anteriormente, si es conveniente
modificarlo o, si con agregar cambios menores, se puede obtener la satisfacción de
auditoría deseada.

8. Métodos para documentar la evaluación del control interno

El auditor debe documentar su conocimiento y comprensión de la estructura de

control interno, como parte del proceso de planeación de la auditoria. La forma y
alcance de esta documentación se verán influidos por el tamaño y complejidad de la
entidad y la naturaleza de la estructura del control interno de la misma. Por ejemplo, la
documentación de una entidad grande y compleja, podrá incluir diagramas de flujo,
cuestionarios o árboles de decisiones. En cambio en una entidad pequeña, la
documentación en forma de Memorandum, podría ser suficiente.
Hay muchas formas de documentar la comprensión de los sistemas de información,
contabilidad y control. Dentro de las técnicas más conocidas se puede mencionar:
 Cursogramas o Diagramas de flujo
 Descriptivos (Descripciones narrativas)
 Cuestionarios
 Cuantitativo
8.1 Método de Cursogramas (Diagramas de Flujo)
Estos diagramas permiten representar gráficamente los circuitos operativos y ofrecen
con respecto a los otros dos métodos, las siguientes ventajas:
a) Permiten efectuar el relevamiento siguiendo una secuencia lógica y ordenada.
b) Permiten abarcar con un solo golpe de vista el circuito en su conjunto.
c) Evitan la duplicación de descripciones o contestaciones.
d) Facilitan la detección de debilidades de control interno.
e) Evitan los problemas de tipo semántico que implican la utilización de métodos
narrativos.
El empleo de cursogramas implica definir como mínimo los siguientes aspectos:
a) El código o simbología a ser empleado.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 27

b) La forma de diagramar.
Estos a veces se constituyen en una dificultad.-
8.2 Método descriptivo.
Este método consiste en una descripción detallada de las características del sistema
que se está evaluando, la que podrá consistir en explicaciones referidas a las
funciones, procedimientos, registros, formularios, archivos empleados y departamentos
que intervienen en el sistema.
Desventajas:
a. Muchas personas no tienen la habilidad de expresar sus ideas por escrito en forma
clara, concisa y sintéticas.
b. El eventual uso de palabras o expresiones incorrectas o inadecuadas puede dar
como resultado impresiones con las mismas características, sobre todo cuando se
trabaja en equipo y las anotaciones efectuadas se convierten en medios de
comunicación entre los integrantes del mismo.
c. Lo descripto puede quedar librada al cuidado que ponga en su lectura el siguiente
usuario de la información.
8.3 Método de cuestionarios
Este método se basa en la utilización de las listas de preguntas referidas a aspectos
básicos del sistema.
- Los cuestionarios usados suelen ser estándares.
- Los cuestionarios suelen estar divididos en secciones o áreas operativas.
Existen diversos tipos de cuestionarios:
1. Algunos llevan a que las preguntas se contesten en forma narrativa.
2. Otros a que las respuestas consistan en sí, no, o no aplicable. Las respuestas
negativas representan una debilidad.
3. Otros una combinación de ambos.
Ventajas:
a. Disminución de los datos.
b. Facilita la administración del trabajo. Sistematización de los exámenes.
Desventajas:
a. Formulación apropiada de las preguntas (no implica debilidad)
b. Omisión de aspectos importantes (estándares)
8.4 Método Cuantitativo (Desarrollado por Bande y Luppi)
Tiene por objeto limitar la subjetividad de las preguntas, para así permitir al auditor
interno o externo contar con conclusiones más precisas que le permiten respaldar más
firmemente la extensión dada a sus pruebas o el contenido de sus informes.
Este método se sienta sobre las siguientes bases:
1. Se emplean cuestionarios cuya estructuración implica el uso de sí, no, o no
aplicables como respuestas a las preguntas.
2. Se asigna a cada pregunta contenida en el cuestionario una ponderación dada por
su importancia relativa.
Poco importante 1, Importante 2, Muy importante 3
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 28

9. Resultados de la evaluación del control interno

Como consecuencia del análisis del control interno se identifican determinados

controles denominados clave, de los que se necesita comprobar su vigencia y
correcto funcionamiento. Esta comprobación se realiza a través de la aplicación de
“pruebas de cumplimiento” que formarán parte de los programas de trabajo de
auditoría, y su realización normalmente se deberá efectuar preliminarmente antes del
cierre del ejercicio.
La existencia de errores o irregularidades en la realización de las pruebas de
cumplimiento, invariablemente implicarán: o un aumento en el alcance de las tareas,
o la conclusión de que ese control no se cumple en la forma adecuada, o no está
vigente y por lo tanto, deben modificarse los procedimientos de auditoría a emplear.
En ese caso se tendrá que modificar esa prueba de cumplimiento por la de
cumplimiento de algún otro control que ahora se denominará clave, o por la
realización de otras pruebas de tipo sustantivo. De ahí la importancia de realizar la
prueba de estos controles con anticipación a la fecha del cierre del período.
Si durante el transcurso de su evaluación del control interno se hubieren detectado
hallazgos que evidencien deficiencias y/o incumplimientos en la estructura de control
interno, éstos deben ser evaluados respecto a su significatividad a efectos de incluirlos
en el informe resultante de la evaluación del control interno.
Del mismo modo, los hechos de responsabilidad que surjan de la evaluación del
control interno deberán ser incluidos en un informe independiente respecto de los
correspondientes a la confiabilidad de registros y estados financieros y al del
funcionamiento de los controles internos. Asimismo, los efectos significativos
correspondientes a deficiencias de control interno deben ser consideradas
adecuadamente en el informe sobre la confiabilidad de los registros y estados
financieros.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 29

Anexo
TIPOS DE CONTROL
Los controles de una entidad para su estudio en las tareas de la auditoría de confiabilidad sobre
los registros y estados financieros se pueden dividir en:
 Ambiente de control.
 Controles directos.
 Controles generales.
a) Ambiente de control
Determina el marco de control general. Anterior a cada control implantado, el ambiente de
control establece las condiciones en que operan el conjunto de los sistemas de información,
contabilidad y control y contribuye a su confiabilidad.
El ambiente de control tiene gran influencia en la determinación del enfoque de auditoría a
emplear y es imprescindible conocerlo en la primer etapa de la planificación.
El ambiente de control abarca:
• El enfoque hacia el control por parte de la gerencia o dirección superior (predisposición hacia
la aplicación de los controles establecidos para obtener información útil, confiable y
oportuna para la toma de decisiones).
• La organización y estructura del ente (organización formal que permita un adecuado flujo de
tareas y responsabilidades).
b) Controles directos
Los controles directos proporcionan satisfacción de auditoría directa sobre la validez de las
afirmaciones contenidas en los estados financieros. Están diseñados para evitar errores e
irregularidades que puedan afectar a los estados financieros y a las funciones de
procesamiento.
La efectividad en el funcionamiento de los controles directos, está totalmente vinculada con la
efectividad del ambiente de control y la existencia de adecuados controles generales.
Esta clasificación de control abarca a los siguientes controles sobre los cuales se presentan
algunos ejemplos:
- Controles gerenciales: Son los realizados por el nivel superior de la entidad. Incluyen entre otros
a los controles presupuestarios, que comprenden las tareas de preparación, revisión y
aprobación, y el control posterior del presupuesto; y los informes por excepción, que presentan
aquellas transacciones significativas, hechos inusuales o variaciones significativas respecto de lo
presupuestado.
- Controles independientes: realizados por personas o secciones independientes del proceso de
las transacciones. Entre los más comunes se pueden mencionar a las conciliaciones entre
registros contables generales e individuales, conciliaciones bancarias, recuentos físicos y
confirmaciones especiales de saldos.
- Controles o funciones de procesamiento: son todos aquellos incorporados en el sistema de
procesamiento de las transacciones. Ejemplos: Aprobación del legajo de desembolsos antes de
su pago, depósito íntegro de cobranzas y preparación de informes de recepción de bienes.
- Controles para salvaguardar activos: se refieren a la custodia e incluyen medidas de seguridad
tendientes a resguardar y controlar la existencia de los bienes, el acceso irrestricto a los mismos y
fijar límites de autorización para realizar determinadas operaciones.
c) Controles generales
Comprenden la organización divisional del ente o segregación de funciones.
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 30

Este tema es fundamental para que el auditor decida confiar o no en el sistema de información
del ente porque garantiza el correcto funcionamiento de los controles individuales a través de lo
que se conoce como el control por oposición de intereses.
El control por oposición de intereses consiste en que un miembro de la organización,
independiente de un proceso ocurrido, revise su realización y le brinde confiabilidad antes de su
verificación. A su vez, puede existir otra instancia de control según sea el momento de la
transacción en que se encuentre o la complejidad de la misma.
En toda organización, deberían estar claramente definidas y segregadas las siguientes tareas:
• Iniciar o decidir las transacciones
• Registrarlas
• Custodiar los activos
 EVALUACIÓN DEL CONTROL INTERNO Por M.Sc. PEDRO BEJARANO V. 31

Referencias Bibliográficas

 CONTRALORÍA GENERAL DEL ESTADO (Antes CGR) Manual de Normas de Auditoría

Gubernamental. La Paz. 2005
 CONTRALORÍA GENERAL DEL ESTADO (Antes CGR) Principios, Normas Generales y
Básicas de Control Interno gubernamental. La Paz. 2001
 NORMAS INTERNACIONALES DE AUDITORÍA:
NIA 300 Planeación de una Auditoría de Estados Financieros. 2004
NIA 315 Entendimiento de la entidad y su entorno y evaluación de los riesgos de
representación errónea de importancia relativa. 2004
NIA 520 Procedimientos analíticos 2004
NIA 530 Muestreo de la auditoría y otros medios de pruebas. 2004
 DECLARACIONES DE NORMAS DE AUDITORIA SAS (Statements on Auditing Standards)
SAS 55 Evaluación de la Estructura del Control Interno en una Auditoría de
Estados Financieros. 1988
SAS 78 Evaluación de la Estructura del Control Interno en una Auditoría de
Estados Financieros (Enmienda a la SAS 55). 1995
SAS 94 Consideración del Control Interno en una Auditoría de Estados
Financieros. 2001
 CGR-PROYECTO BID Manual de Auditoria Gubernamental: Parte I Criterios Básicos
de la Auditoria Gubernamental. Managua. 2009
 FONSECA LUNA Oswaldo. Auditoria Gubernamental Moderna. Lima. Edit. IICO. 2007
 MANTILLA BLANCO Samuel A.; BLANCO Sandra Y. Auditoría del control Interno. Edit.
ECOE. Bogotá. 2005
 MANTILLA D. Samuel A. Control Interno: Informe COSO. . Bogotá. Edit. ECOE2005
 MENDIVIL ESCALANTE Víctor M. Auditoria. México D.F. Edit. Thomson Learning. 2002
 SANCHEZ CURIEL Gabriel. Auditoria de Estados Financieros: Práctica Moderna
Integral. México DF. Edit. Pearson Prentice Hall. 2006
 MANTILLA BLANCO Samuel A.; BLANCO Sandra Y. Auditoría del control Interno. Edit.
ECOE. Bogotá. 2005
 TAYLOR Donald; GLEZEN William. Auditoria Conceptos y Procedimientos. México DF.
Edit. Limusa. 1998