rea.economistas.es · Web view“…El entorno de control, no previene, ni detecta y corrige una...

Cliente: Ref.: Ejercicio auditado: Preparado por:

Revisado por:

2.- Entendimiento del control interno de la entidad auditada (NIA-ES 315).

El siguiente documento, junto con el documento nº1, relativo al conocimiento de la entidad y su entorno, constituye una guía de posible redacción de la documentación sobre el entendimiento del control interno de la entidad auditada que la “NIA-ES 315: Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y su entorno, incluido su control interno”, requiere para cumplir con el objetivo marcado por dicha norma de ”identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones…” y en la elaboración del mismo se han considerado todas las cuestiones mencionadas en la NIA-ES 315. Ha de tenerse en cuenta que, según indica la propia NIA-ES (A3), “el auditor aplica su juicio profesional para determinar el grado de conocimiento necesario. La principal consideración del auditor es determinar si el conocimiento obtenido es suficiente para alcanzar los objetivos establecidos en la presente NIA…”. Algunas de las cuestiones mencionadas en este documento son requeridas por otras NIA-ES; por otra parte, puede que no todas ellas sean aplicables a todos los encargos de auditoría, Además, pueden existir otras cuestiones no contempladas en este documento, ya que la lista de documentación no es exhaustiva, por lo que habrá de adaptarse al trabajo de auditoría concreto.

En este cuestionario se documentará el entendimiento del control interno de la entidad auditada, mientras que el conocimiento de la entidad y su entorno se ha documentado en el cuestionario nº1.

I.- Objetivo del conocimiento de la entidad y su entorno, incluido su control interno

El objetivo de la NIA-ES 315 es Identificar y valorar los riesgos de incorrección material debida a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño e implementación de respuestas a los riesgos valorados de incorrección material.

II.- Trabajo realizado para el entendimiento del control interno

Debe obtenerse conocimiento del control interno relevante para la auditoría, tal y como requiere la NIA-ES 315 #12 y se detalla en la NIA-ES 315 (A42-A104). El hecho de que un control (individualmente o en combinación de otros) sea relevante para la auditoría es una cuestión de juicio profesional del auditor.

Los factores relevantes que deben considerarse al enjuiciar si un control (individual o combinado con otros) es relevante para la auditoría son (#A61):

1.- Importancia relativa calculada para la ejecución de la auditoría;2.-La significatividad del riesgo relacionado;3.- La dimensión de la entidad auditada;4.- La naturaleza de sus negocios, así como su organización y las características de su propiedad;5.- La diversidad y complejidad de sus operaciones;6.- Los requerimientos normativos aplicables;7.- Las circunstancias y el correspondiente componente del control interno.8.- Naturaleza y complejidad de los sistemas que forman parte del control interno.9.- Si un determinado control, de manera individual o en combinación con otros, previene o detecta y corrige una incorrección material, y el modo en que lo hace.

1


Revisado por:


Definición de control interno (NIA-ES #4 c)) y Controles Relevantes para la auditoría (NIA-ES #13)

“Es el proceso diseñado, implementado y mantenido por los responsables del gobierno de la entidad, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a:

OBJETIVOS DE LA ENTIDAD

Fiabilidad de la información financiera

Eficacia y eficiencia de las operaciones

Cumplimiento de las disposiciones legales y

reglamentarias aplicables

Componentes del control interno (NIA-ES #14 -24)

El marco de referencia de la NIA-ES 315 para el entendimiento del control interno se basa en el análisis de los cinco componentes del control interno, que determina cómo los diferentes aspectos del control interno afectan a la auditoría.

1.-Entorno de control (NIA-ES #14)

2.- Proceso de valoración del riesgo por la entidad (NIA-ES #15-17)

3.- Sistema de información, incluidos los procesos de negocio relacionados, relevante para la información financiera y la comunicación(NIA-ES #18-19)

4.- Actividades de control relevantes para la auditoría(NIA-ES #20-21)

5.- Seguimiento de los controles(NIA-ES #22-24)

2.1.- Entendimiento del Entorno de Control de la entidad (Ref.: NIA-ES 315 # 14)

En el análisis del Entorno de control se evaluará si a) la dirección ha creado y mantenido una cultura de honestidad y comportamiento ético, y si b) los puntos fuertes de los elementos del entorno de control proporcionan una base adecuada para los demás componentes del control interno y si éstos otros componentes no se hayan menoscabados por deficiencias en el entorno de control.

“…El entorno de control, no previene, ni detecta y corrige una incorrección material, sin embargo, puede influir en la evaluación del auditor de la eficacia de otros componentes del control interno, p .e.: el seguimiento de controles y el funcionamiento de determinadas actividades de control, y en consecuencia, en la valoración del auditor de los riesgos de incorrección material…”

En la evaluación del entorno de control han de tenerse en cuenta los siete elementos que son considerados relevantes por la norma (NIA-ES 315 A70), y cuyo análisis individual permite la evaluación global del Entorno de control. Documentamos dicha evaluación en el modelo de documento que se incluye a continuación:

2


Revisado por:


2.1.- Entendimiento del Entorno de Control de la entidad (Ref.: NIA-ES 315 # 14)

#

Elementos relevantes del

entorno de control (NIA-ES

315)

Controles y procesos implementados por la entidad1

Procedimientos realizados/Ref. al trabajo realizado:

Conclusión sobre el diseño y la

implementación de los elementos

1 Comunicación y vigilancia de la integridad y los valores éticos. (A70 (a))

2 3

1 En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:2 a) El modo (formalmente o de hecho) en que la Dirección comunica su opinión y decisiones a sus empleados sobre las prácticas empresariales y el comportamiento ético; b) si la Dirección dispone de un código de conducta escrito y si actúa de un modo acorde con dicho código); c) si existe un canal de denuncias adecuado para manifestar las conductas inapropiadas y si se tratan adecuadamente las denuncias presentadas; etc.3 Adjuntar documentación cómo:1) Código ético y de conducta de la entidad, si existe. Cómo se pone en conocimiento de todos los empleados (a través de la Intranet, con comunicaciones periódicas por escrito, a través de reuniones presenciales/de formación);2) Documento firmado por los empleados (realizar una comprobación de una muestra)dónde se ponga de manifiesto su conocimiento y entendimiento del Código ético y de conducta;3) Documentación de historial de quejas y denuncias recibidas, y el tratamiento dado a las mismas;…

3


Revisado por:


2.1.- Entendimiento del Entorno de Control de la entidad (Ref.: NIA-ES 315 # 14) (Cont.)

#


entorno de control (NIA-

ES 315)



Conclusión del diseño y la


2 Filosofía y estilo operativo de la dirección y órganos de gobierno.(A70 (d))

5 6

4En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:5a) El enfoque con el que la Dirección asume y gestiona los riesgos de negocio, si tiene criterios para la identificación y evaluación de los riesgos (incluido el de fraude); b) las actitudes y actuaciones de la Dirección con respecto a la información financiera, si es objetiva en relación a las políticas contables; c) como es la actitud de la Dirección respecto al procesamiento de la información, a las funciones de contabilidad y al personal administrativo/contable; etc…6 Adjuntar documentación cómo:1) Organigrama de la entidad;2) Actas de las reuniones del Comité de Auditoría, si es que existe;3) Actas de reuniones del Comité de empresa con la Dirección;…

4


Revisado por:



#


entorno de control (NIA-

ES 315)





3 Estructura organizativa (A70 (e))

8 9

7En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:8a) Identificar si la estructura organizativa está adaptada a las necesidades de la entidad y si existe un Manual Interno con los procedimientos formales de aprobación y si están parametrizados en el sistema informático (usuarios y tareas permitidas a cada uno de ellos); b)analizar si la estructura facilita un marco adecuado para la planificación, ejecución, control y revisión de las actividades de la entidad para alcanzar sus objetivos; c) si se han establecidas las áreas clave de autoridad y responsabilidad, así como las líneas apropiadas en las que debe fluir la información; etc.9 Adjuntar documentación cómo:1)Organigrama funcional de la entidad, que permita una adecuada segregación de funciones en los niveles operacionales y gerenciales;2) Manual Interno con el detalle de usuarios y tareas autorizadas para cada uno de ellos en el sistema informático; etc.

5


Revisado por:



#


entorno de control.

(NIA-ES 315)





4 Atributos y participación de los responsables del gobierno de la entidad. (A70 (c))

11 12

10 En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:11a) Identificar cual es la experiencia y reputación,(Comité de auditoría) y analizar si es adecuada para desempeñar sus funciones; b) si existe independencia con la Dirección, y si en algún caso forman parte de la misma, cómo se establecen las adecuadas salvaguardas; c) adecuación de sus actuaciones, su grado de participación (las preguntas que realizan a la dirección y seguimiento de las mismas), la información que reciben (suficiencia) y el examen que realizan de las actividades; d) si son conscientes de su responsabilidad en el control interno (incluido el fraude) y en la formulación de las cuentas anuales (si se preparan de conformidad con el marco de información financiera aplicable); etc.12 Adjuntar documentación cómo:1) Revisión de los CV de los miembros del Comité de auditoría para verificar su experiencia, formación y reputación;2) Revisar el Código de conducta de los responsables del gobierno de la entidad, si existe, a efectos de analizar si actúan de modo acorde con dicho código; etc.

6


Revisado por:



#


entorno de control(NIA-ES 315)





5 Asignación de la autoridad y responsabilidad.(A70 (f))

14 15

13 En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:14 a) El modo en el que se asignan la autoridad y responsabilidad respecto a las actividades de explotación y si está recogido en un Manual Interno de la Entidad, si existe, incluyendo los procedimientos formales de aprobación y si están parametrizados en el sistema informático (usuarios y tareas permitidas a cada uno de ellos); b) las relaciones de información permiten que el personal conozca los objetivos de la entidad, como se relacionan sus funciones individuales y contribuyen a la consecución de dichos objetivos, y también su responsabilidad al respecto; etc.15 Adjuntar documentación como:1)Organigrama funcional de la entidad, que permita asegurar una adecuada segregación de funciones en los niveles operacionales y gerenciales; 2)Manual Interno con el detalle de usuarios y tareas autorizadas para cada uno de ellos en el sistema; etc.

7


Revisado por:



#


entorno de control

(NIA-ES 315)





6 Políticas y prácticas de recursos humanos. (A70 (g))

17 18

16 En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:17 a) Identificar si los criterios usados permiten la selección del personal más adecuadamente calificado para la ejecución del trabajo encomendado; b) analizar si el departamento de RRHH dispone de un plan de formación y de carrera por niveles/categorías, y este plan incluye procedimientos de orientación, formación, valoración y asesoramiento; c) si existe buen ambiente de trabajo, y los incentivos salariales y extra-salariales son razonables y permiten asegurar que no existan altas tasas de rotación; etc.18 Adjuntar documentación como:1) Plan de formación y de carrera por niveles/categorías.2) Manual Interno de RRHH con las políticas relacionadas con la selección, evaluación, orientación promoción, compensación y actuaciones correctoras; etc.

8


Revisado por:



#


entorno de control

(NIA-ES 315)


Procedimientos realizados/Ref. al trabajo realizado



7 Compromiso de la dirección con la competencia profesional.(A70 (b))

20 21

19 En las columnas de “Controles y procesos implementados por la entidad” y “Procedimientos realizados” , se deberá incluir la relación de los controles y procesos claves implementados por la entidad, y el trabajo que hemos realizado para su comprobación. A modo de ejemplo citamos los siguientes para este elemento del Entorno de control:20 a) Si la Dirección considera los diferentes niveles de competencia profesional que se requieren para determinados puestos, fundamentalmente en el área de financiera, contable y de TI, y el modo en que dichos niveles deben traducirse en cualificaciones y conocimientos requeridos; b) si existe algún documento y/o manual dónde se concreten las condiciones de capacidad y conocimientos requeridos, relacionando éstos con el plan de formación necesario para diferentes puestos y categorías profesionales; etc.21 Adjuntar documentación cómo:1) Revisión de los CV de los empleados de los principales departamentos financiero/contable y de los miembros del Comité de auditoría para verificar su experiencia, formación y reputación;2) Revisar el manual o documento, si existe, a efectos de analizar si actúan de modo acorde con las condiciones de capacidad y conocimientos requeridos en el mismo; etc.

9


Revisado por:


Conclusión Global sobre el Entorno de Control:22

RESUMEN DE RIESGOS IDENTIFICADOS (*)

Nº Referencia Descripción de la situación Riesgo identificado

(*) Dadas las consecuencias que pueden tener los riesgos identificados en los siete elementos relevantes del entorno de control, debido a su no implementación o incompleto o ineficaz diseño, deberá darse consideración especial a la identificación de la situación y/o los factores que las hayan originado, tales como presiones del mercado, de la dirección, del sector o de la situación financiera de la entidad, incentivos, objetivos de beneficios, complejidad de la estructura y transparencia del accionariado, historial de riesgos, etc....

22 En función de las Conclusiones sobre el diseño y la implementación de cada uno de los siete elementos relevantes del Entorno de control, podremos concluir de forma global sobre el Entorno de control.

Como ejemplo indicamos que podría concluirse de esta forma, de acuerdo a la terminología empleada por la NIA-ES 315, siempre en función de la valoración dada a los posibles riesgos identificados:

1.-Entorno de control satisfactorio: (“De acuerdo a la información sobre los elementos del entorno de control de la entidad, descritos en el cuadro, no se han identificado deficiencias de control significativas que impliquen riesgos de incorrección material. El entorno de control de la entidad parece confiable, y las conductas y código ético de la misma son prudentes y adecuados a las circunstancias de la entidad”).2.- Entorno de control no satisfactorio: (“De acuerdo a la información sobre los elementos del entorno de control de la entidad, descritos en el cuadro, se han identificado deficiencias de control significativas las cuales podrían implicar riesgos de incorrección material y se enumeran en el cuadro adjunto . El entorno de control de la entidad no parece confiable, y las conductas y código ético de la misma no son suficientemente prudentes y adecuados a las circunstancias de la entidad”).

10


Revisado por:


2.2.- Proceso de Valoración del riesgo por la entidad (Ref.: NIA-ES 315 # 15-17)

El "proceso de valoración del riesgo por la entidad" constituye la base con la que la Dirección determina el modo en que los riesgos han de gestionarse. Si dicho proceso es adecuado a las circunstancias, cuestión que corresponde al juicio profesional del auditor , (naturaleza, dimensión y complejidad de la entidad) nos facilitará la identificación de los riesgos de incorrección material.

En este apartado se trata de obtener y documentar nuestro entendimiento del proceso que realiza la dirección de la entidad para evaluar los riesgos y el resultado de dicho proceso, y el documento que se incluye a continuación representa una guía para dicha evaluación y documentación:

#Proceso de

valoración del riesgo

(NIA-ES 315)

Procesos realizados por la entidad23

Procedimientos realizados/Ref.

al trabajo realizado

Conclusión sobre si el proceso es

adecuado

1 Identificación de los riesgos de negocio relevantes para la preparación de la información financiera (#15 (a))

24

23 Realizar una descripción de los “Procesos realizados por la entidad para la valoración del riesgo”: A modo de ejemplo citamos los siguientes:24 a) Si los componentes del Comité de la dirección (CEO, Director ventas, marketing, jurídico, RRHH) se reúnen periódicamente para revisar resultados y presupuestos, teniendo en cuenta los indicadores relevantes, tanto de las actividades de la entidad (ventas, situación financiera, etc.), como de factores externos (análisis de los resultados de competencia, comentarios y feedback de clientes, cambios regulatorios, etc.);b) Si han elaborado un mapa de riesgos o algún documento dónde se concreten los principales riesgos del sector y de la operativa de la entidad, con la finalidad de permitir una mejor toma de decisiones; etc.

11


Revisado por:


2.2.- Proceso de Valoración del riesgo por la entidad (Ref.: NIA-ES 315 # 15-17) (Cont.)

#Proceso de

valoración del riesgo (NIA-ES

315)


Procedimientos realizados/Ref. al trabajo realizado

Conclusión sobre si el proceso es adecuado

2 Estimación de significatividad de los riesgos de negocio relevantes para la preparación de la información financiera. (#15 (b))

26

3 Evaluación de la probabilidad (ocurrencia) de que se materialicen los riesgos de negocio identificados. (#15 (c))

27

25 Realizar una descripción de los “Procesos realizados por la entidad para la valoración del riesgo”: A modo de ejemplo citamos los siguientes:26 SIGNIFICATIVIDAD: a) Si la entidad para cada riesgo de negocio relevante identificado ha analizado su impacto en términos de:1.- Impacto en ventas, clientes, productos/servicios, competencia, continuidad del negocio, etc…2.- Impacto en términos financieros,3.- Impacto en producciónb) si la entidad otorga un valor en unidades monetarias a los impactos anteriores identificados de forma que todos los riesgos de negocio puedan ser categorizados.27 OCURRENCIA: a) Si una vez cuantificado el impacto monetario de los riesgos identificados se pondera cada riesgo en función de la probabilidad de ocurrencia del mismo: probable, posible y remoto.b) si esta ponderación se ha decidido por consenso de los miembros de la dirección y, en el caso de que sea muy relevante, deberán hacerse consultas a expertos independientes (asesores, fiscalistas, tasadores, etc.)c) si se cruzan las variables anteriores de impacto económico y probabilidad, y se focalizan los esfuerzos en aquellos riesgos de alto impacto económico y de probabilidad de ocurrencia más alta, es decir: "probable".

12


Revisado por:


2.2.- Proceso de Valoración del riesgo por la entidad (Ref.: NIA-ES 315 # 15-17) (Cont.)

#Proceso de

valoración del riesgo

(NIA-ES 315)


Procedimientos realizados/Ref.

al trabajo realizado

Conclusión sobre si el proceso es adecuado

4 Toma de decisiones que sigue la entidad con respecto a las actuaciones para dar respuesta a los riesgos de negocio identificados. (#15 (d))

29

28 Realizar una descripción de los “Procesos realizados por la entidad para la valoración del riesgo”: A modo de ejemplo citamos los siguientes:29 a)Si en el Mapa de riesgos o documento elaborado sobre los riesgos de negocio por la Dirección se incluyen las conclusiones tomadas que deben ser presentadas al Consejo de Administración; b) Si en el documento también se han incluido los planes, programas o actuaciones para responder a dichos riesgos que propone la Dirección, y en su caso las conclusiones sobre la decisión de aceptar un riesgo debido al coste o a otras consideraciones, c) Si se ha contemplado que los riesgos pueden surgir o variar debido a las circunstancias y si estos cambios no han sido considerados por la Dirección, deberemos indicarlo:-Cambios en el entorno operativo o regulatorio: presiones competitivas-Cambios de personal clave: el nuevo personal puede tener una concepción distinta del Control Interno-Cambios significativos en los sistemas de información (TI)-Crecimientos rápidos: de las operaciones puede poner a prueba los controles e incrementar el riesgo asociado al control interno-Incorporación de nuevas tecnologías en los procesos productivos -Nuevos modelos de negocio, productos o actividades-Reestructuraciones corporativas o societarias: reducciones de plantilla, cambios en la supervisión y en la segregación de funciones-Expansión internacional de las operaciones: nuevos riesgos, p. e.: transacciones en moneda extranjera-Nuevos pronunciamientos contables: riesgos en el registro y valoración de las transacciones y en la preparación de los estados financierosd) Si el análisis realizado por el Comité de Dirección incluirá las soluciones sugeridas para mitigar las consecuencias de los riesgos identificados, se habrán tomado las decisiones oportunas plasmadas en el Plan de Acción que periódicamente ha de ser comunicado al CEO y al Consejo.

13


Revisado por:


Conclusión Global sobre el "Proceso de valoración del riesgo por la entidad":30

RESUMEN DE RIESGOS IDENTIFICADOS (*)

Nº Referencia Descripción de la situación Riesgo identificado (*) Dadas las consecuencias que pueden tener los riesgos identificados en el “Proceso de valoración del riesgo por la entidad”, deberá darse consideración especial a la identificación de las situaciones y/o factores que las hayan originado, tales como presiones del mercado, de la dirección, del sector de actividad o de la situación financiera de la entidad, incentivos, objetivos de beneficios, complejidad de la estructura y transparencia del accionariado, historial de riesgos, etc....

30 En función de las conclusiones obtenidas en los cuatro procesos definidos de valoración del riesgo por parte de la entidad, podría concluirse de forma global sobre el “Proceso de valoración del riesgo por parte de la entidad”A) Si la entidad ha establecido dichos procesos de valoración del riesgo;B) Y si la valoración que le hemos dado a los procesos establecidos y sus resultados son adecuados, es decir, si estos procesos están diseñados para identificar los riesgos y los motivos por los que los procesos establecidos por la entidad no identificaron algún riesgo.Ejemplo de conclusión, según la terminología de la NIA-ES 315:1.-Proceso de valoración del riesgo establecido por la entidad es adecuado a sus circunstancias: ("No hay riesgos de incorrección material identificados en la auditoría que no hayan sido identificados previamente por la Dirección y, evaluados en consecuencia, por lo que no hemos identificado ninguna deficiencia en el control interno en relación al "Proceso de valoración del riesgo por la entidad")2.- Proceso de valoración del riesgo establecido por la entidad no es adecuado a sus circunstancias: ("Existen riesgos de incorrección material identificados en la auditoría que no han sido identificados previamente por la Dirección y, en consecuencia, podrían suponer una deficiencia significativa en el control interno en relación al "Proceso de valoración del riesgo por la entidad")

14


Revisado por:


2.3.- Sistema de información (TI), incluidos los procesos de negocio relacionados, relevante para la información financiera, y la comunicación (Ref.: NIA-ES 315 # 18-19).

El sistema de información está constituido por varios elementos: una infraestructura (hardware y componentes físicos), software, personas, procedimientos y datos. Muchos de los sistemas de información hacen un amplio uso de las tecnologías de la información (TI)

El entendimiento del sistema de información (TI), relevante para la preparación de la información financiera y la comunicación, incluidos los procesos de negocio relacionados, comprende las siguientes áreas: 1.- Los procesos de negocio relacionados, relevantes para la auditoría; 2.- a) el proceso de información financiera utilizado para la preparación de las CCAA de la entidad, incluidas estimaciones contables y la información a revelar, y b) el proceso de comunicación; 3.- El entorno informático relevante para la auditoría.

2.3.1.- Entendimiento de los procesos de negocio relacionados, relevantes para la auditoría. (Ref.: NIA-ES 315 # 18).

Los procesos de negocio tienen como resultado transacciones registradas, procesadas y notificadas mediante el sistema de información. La obtención del conocimiento de los procesos de negocio de la entidad (modo en que se originan las transacciones) nos facilita la obtención de conocimiento del sistema de información (TI) relevante para la preparación de la información financiera

Para la documentación del entendimiento de los procesos de negocio relacionados, relevantes para la auditoría debemos crear una matriz, en la que se pongan en relación:En filas: las áreas de auditoría objeto de análisis en el trabajo por su relevancia.En columnas: los procesos de negocio que relacionan entre sí las áreas de auditoría, y con los que están relacionadas.

A continuación se incluye un ejemplo de dicha matriz, que deberá ser completada en cada caso concreto.1. En la columna “Analizada” se indicará si el área va a ser objeto de análisis, realización de procedimientos y pruebas en la auditoría.2. Se han incluido a modo de ejemplo seis procesos de negocio (de forma habitual a los procesos de negocio también se les denomina ciclos) relevantes para la auditoría.3. En la última fila de la matriz se indicaran aquellos procesos de negocio que se vayan a consideran relevantes para la información financiera, y para la comunicación.

15


Revisado por:


Procesos de negocio relevantes.Áreas de auditoría Área

AnalizadaInversiones en activos

ExistenciasProducción

Ingresos-cuentas a cobrar

Tesorería Compras-cuentas a pagar

Gastos de Personal

Inmovilizado intangibleInmovilizado materialDeudoresInversiones financierasExistenciasPartes vinculadasDeudas con entidades de crédito y otros pasivosAcreedores comerciales y otras a corto plazoEfectivo-TesoreríaAdministraciones públicasFondos propios-PatrimonioVentas-IngresosCompras-AprovisionamientosGastos de personalOtros gastos de explotaciónIngresos y gastos financierosOtros ingresos y gastosIdentificar de otras áreas, si existen.Procesos de negocio (Ciclos) que hemos considerado relevantes

Justificar la decisión adoptada respecto a los procesos de negocio relacionados (ciclos) elegidos, relevantes para la auditoría:

16


Revisado por:


Descripción detallada de los procesos de negocio relacionados elegidos, relevantes para la auditoría (Ver NIA-ES #18, apartados (a) (b), (c) y (d)):

La documentación explicativa de los procesos de negocio relacionados relevantes para la auditoría de la entidad deben incluir:

i) la identificación de todos los tipos significativos de transacciones en cada proceso de negocio,

ii) la descripción completa de cada tipo de transacción, desde su nacimiento hasta su final,

iii) describiendo además las actividades de control establecidos por la entidad en cada una de esas fases.

Generalmente, los procesos de negocio relacionados relevantes para la auditoría (ciclos y/o áreas fundamentales de la explotación de la entidad) suelen ser:

a) Inversiones en activos.b) Existencias-Producción.c) Ingresos-Ventas-salidas de almacén-cuentas a cobrar-cobros.d) Tesorería.e) Compras-entradas en almacén-cuentas a pagar-pagos.f) Gastos de personal.

PROCESO DE NEGOCIO (CICLO):31

31 Deberán detallarse aquí, empleando todo el espacio que se considere necesario, o incluir la referencia en la que se recoja la documentación explicativa de los procesos de negocio (ciclos) y el entendimiento de los tipos de transacciones significativas en los procesos de negocio relacionados.

17


Revisado por:


2.3.2.- Entendimiento: a) del proceso de información financiera utilizado para la preparación de las CCAA de la entidad, estimaciones contables y la información a revelar, y b) del proceso de comunicación de las funciones y responsabilidades relativas a la información financiera. (Ref.: NIA-ES 315 # 18).

La elaboración de las cuentas anuales incluye los procedimientos diseñados por la entidad para asegurar que la información requerida por el marco de información financiera aplicable a la entidad se recoge, registra, procesa e integra de forma apropiada en las cuentas anuales. Por tanto, debemos conocer los procedimientos usados para transferir la información de los sistemas de proceso de las transacciones y de los hechos y circunstancias relevantes para la información financiera, a los sistemas del mayor general y de los estados financieros y memoria de las cuentas anuales.

A continuación se relacionan aquellos procedimientos que la entidad emplea, incluidos los derivados del uso de sistemas informáticos, para preparar los estados financieros y la información a suministrar en la memoria.

Describir aquí el proceso de información financiera y comunicación, incluyendo el esquema de las principales aplicaciones informáticas, así como la “interface” con contabilidad y la preparación de los estados financieros de la entidad:

18


Revisado por:


2.3.3.- Entendimiento del Entorno informático relevante para la entidad. (Ref.: NIA-ES 315 # 18).

Resulta fundamental que obtengamos una seguridad razonable sobre la fiabilidad de la información financiera, su eficacia y la eficiencia de las operaciones. Por ello, obtener conocimiento de cómo operan los controles automatizados relevantes se vuelve imprescindible y adquiere un nivel de importancia, si cabe, superior al de los controles manuales (enfatizado en la NIA-ES 315)

Desde el punto de vista del auditor, los controles sobre los sistemas de las tecnologías de la información (TI), son eficaces cuando:

1.-Mantienen la integridad de la información 2.-Mantienen la seguridad de los datos que procesan dichos sistemas

Revisión de los Controles automatizados generales de las TI, que son políticas y procedimientos vinculados a muchas aplicaciones y favorecen un funcionamiento eficaz de los

controles de las aplicaciones.Revisión de los Controles automatizados de aplicaciones eficaces

Los controles generales no operan de forma inconexa a los controles de aplicación, siendo esenciales para dotar de fiabilidad a estos últimos, y proporcionan al entorno de control, una base adecuada para los controles de aplicación. Carece de sentido confiar en controles de aplicación si no se tiene la seguridad del correcto funcionamiento de los generales. Por tanto, debemos diseñar pruebas sobre el conjunto de los controles generales de TI, en tres áreas esenciales, que deberemos probar periódicamente:1.-Seguridad Lógica y Física 2.-Desarrollo: procesos de cambio en aplicaciones, adquisiciones y nuevos desarrollos 3.-Explotación de sistemas

La complejidad de los sistemas de información (TI) de la entidad auditada incide directamente en los riesgos de incorrección material de los EEFF y en este sentido, no debemos omitir este componente de RIESGO de la entidad. La complejidad de TI, relaciona los controles generales automatizados con el entorno de control y proporcionan una base adecuada para los demás componentes del control interno.

A estos efectos la NIA 315, requiere que obtengamos un conocimiento del control interno de la entidad auditada, cuándo ésta utiliza sistemas de información (TI) para proporcionar la información financiera (actualmente, en la totalidad de los encargos de auditoría) que implica en primer lugar, evaluar el grado de complejidad de los sistemas de información (TI). Si el Grado de complejidad resultase Medio/Alto, deberíamos incluir en la Estrategia Global de planificación la colaboración de expertos en Sistemas de Información (TI) complejos.

En este apartado, nos remitimos a la "Guía de Ayuda y Referencia a las nuevas NIA-ES en Entornos Informatizados", emitida por el CGE, que podríamos utilizar para cumplir con los objetivos de la NIA-ES 315.

19


Revisado por:


Conclusión sobre el "Sistema de información (TI), incluidos los procesos de negocio, relevantes para la información financiera, y la comunicación":

20


Revisado por:


2.4.- Actividades de control relevantes para la auditoría (Ref.: NIA-ES 315 #20-21).

Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se siguen las directrices de la dirección, y corresponden a las siguientes categorías:

a) Autorizacionesb) Revisiones de actuación y/o resultadosc) Procesamiento de la informaciónd) Controles físicose) Segregación de funciones

El juicio del auditor sobre si una actividad de control es relevante para la auditoría se ve influenciado por el riesgo que hemos identificado, y que puede dar lugar a una incorrección material y por nuestra consideración, de que la realización de las pruebas sobre la eficacia operativa de dicho control es probablemente adecuada para determinar la extensión de las pruebas sustantivas.

En las hojas siguientes se incluyen los cuestionarios descriptivos de las actividades de control identificadas para un ejemplo en el cual los procesos de negocio (descritos en el apartado 2.3.1 anterior) que se han considerado relevantes fueran los siguientes:

a) Ventas-cuentas a cobrar-cobros.b) Compras- cuentas a pagar-pagos.c) Gastos de personal.

a) Ingresos-Cuentas a Cobrar: Identificación de las actividades de control relevantes para la auditoría.

Se incluye un ejemplo de la relación de las Actividades de control más relevantes del proceso de negocio de Ingresos-cuentas a cobrar, que pueden ser identificadas y extraídas de la descripción del proceso de negocio. Se incluyen las actividades manuales y automáticas.

Hemos de señalar que además de la identificación de las actividades de control, mediante la consulta a los miembros responsables de la entidad (indagación) según NIA-ES 315 A66-67, realizaremos comprobaciones sobre su existencia y su implementación durante todo el periodo sujeto a auditoría (como esto no es una prueba de controles, sólo se verifican aquí los apartados que mencionamos).

a) Observación de la aplicación de los controles,b) Inspección de documentos e informes yc) Seguimiento de transacciones a través del sistema de información relevante.

Leyenda:(1) P = Prevención; D = Detección/Corrección; N/A = No aplicable(2) Lo hemos de valorar teniendo en cuenta estos factores, para determinar los CONTROLES RELEVANTES (NIA ES 315 A61): Importancia relativa, significatividad del riesgo, dimensión de la entidad, naturaleza de los organización, diversidad y complejidad de las operaciones de la entidad, requerimientos normativos aplicables, circunstancias y componente del control interno, naturaleza y complejidad de los sistemas de control interno y si, de forma individual o en combinación con otros, previene o detecta y corrige una incorrección material y cómo lo hace. (Véase NIA ES 315 A89-A94)(3) Si no se considera eficaz, no procede la comprobación (NIA ES 315 A66)(4) Comprobaciones efectuadas: no basta con la indagación, se deben seguir los pasos mencionados (A67) y las comprobaciones deben quedar evidenciadas en papeles de trabajo con la documentación soporte que acredite la realización de las comprobaciones efectuadas.

21


Revisado por:


a) Ingresos-Cuentas a Cobrar: Identificación de las actividades de control relevantes:

1. Proceso de gestión y procesamiento de las órdenes de venta (Pedidos).

Actividad de Control identificada (4) Comprobaciones# Procesos: Pedidos (1)Tipo (2)Releva

nte(3)Eficaz Indagación

ObservaciónInspección

documentosSeguimiento

de transacciones

Riesgo

A Los pedidos registrados se adecúan a la política de límite de crédito fijada por la entidad1. Periódicamente se revisa la

capacidad de crédito y la situación financiera de los clientes

2. Se asignan límites de crédito en función de la información financiera de los clientes; no se aceptan pedidos adicionales si exceden el límite de crédito

B La Dirección aprueba la política de precios y condiciones de venta a aplicar en los pedidos1. Los pedidos toman de forma

automática los precios y condiciones de venta establecidos.

2. La dirección revisa y aprueba los pedidos especiales (en precio y/o condiciones de venta)

C Todos los pedidos se registran correctamente1. Se confirman con los clientes todos

los pedidos y anulaciones de pedidos registrados.

2. Se contrastan los pedidos registrados con la documentación soporte

3. Existe segregación de funciones entre la persona que registra los pedidos y la que los revisa

D Se registran todos los pedidos realizados por los clientes1. Existen aplicaciones conectadas de

intercambio de datos que permiten a los clientes registrar/anular pedidos automáticamente

2. Las órdenes de entrega están pre numeradas (o sistema alternativo), facilitando su integridad y control

E Todos los pedidos registrados son válidos1. La dirección revisa todo el proceso

de entrada/salida de mercancía para detectar relaciones inusuales significativas

2. Existe segregación de funciones entre las personas que venden/ envían/ facturan/ contabilizan.

F Todos los pedidos registrados se envían y facturan adecuadamente1 Existe un sistema integrado de

gestión que controla las salidas de mercancía, venta y facturación.

2. Se concilian los diferentes sistemas existentes (pedidos, envíos, etc.). Los errores, se corrigen.

22


Revisado por:



2. Proceso de facturación de la venta, devoluciones y ajustes.

Actividad de Control identificada (4) Comprobaciones# Procesos: Facturación de

venta, devoluciones y ajustes.(1)Tipo (2)Releva




de transaccione

s

Riesgo

A Se generan las facturas con las condiciones y precios aprobados por la entidad1. Las facturas se contrastan y

concilian con la documentación soporte (pedido, albarán de entrega), antes de su aprobación. Las diferencias deben ser aprobadas por la dirección

2. Los precios y condiciones de venta que aparecen en las facturas se cargan automáticamente desde el sistema informático.

3. Existe un sistema integrado de gestión que controla los precios indicados en las salidas de mercancía, venta y facturación

B Se facturan todos los envíos de mercancía.1. Las facturas se concilian con los

pedidos/envíos de mercancía. Las diferencias deben ser aprobadas por la dirección

2. Se verifica que todos los envíos a clientes y sus facturas correspondientes son registrados

3. Las salidas de mercancía de fechas cercanas al cierre se revisan especialmente (corte operaciones)

C Todas las facturas se registran de forma correcta1. Se analizan y revisan las facturas.

En caso de errores, se corrigen en el período adecuado

2. Los precios de las facturas se cargan automáticamente desde el sistema informático

3. Existe segregación de funciones entre las personas que venden/ envían/ facturan/ contabilizan.

D Todas las anulaciones y ajustes en ventas se registran de forma correcta1. Las anulaciones y ajustes

significativos son aprobados por la dirección. Previamente son revisados los motivos y cantidades

2. Se contrastan las facturas rectificativas con la documentación soporte (devoluciones, rechazos,)

3. Existe una política que regula la obligatoriedad de emisión de facturas rectificativas para todas las devoluciones de mercancía.

23


Revisado por:



2. Proceso de facturación de la venta, devoluciones y ajustes.Actividad de Control identificada (4) Comprobaciones

# Procesos: Facturación de venta, devoluciones y ajustes.

(1)Tipo (2)Relevante

(3)Eficaz Indagación Observación

Inspección documentos

Seguimiento de

transacciones

Riesgo

E Únicamente se realizan facturas que hacen referencia a un envío real1. Las facturas se concilian con los

pedidos/envíos de mercancía. Las diferencias deben ser aprobadas por la dirección

2. Existe segregación de funciones entre las personas que venden/ envían/ facturan/ contabilizan/ cobran

F Las facturas rectificativas registradas hacen referencia a devoluciones u otros ajustes reales1 Existe una política de compañía

que regula la emisión de facturas rectificativas. Las facturas (normales y rectificativas) están pre numeradas, asegurando su integridad y control

2. Existe un proceso por el cual se analizan y atienden todas las llamadas y quejas recibidas de los clientes

G Se registran todas las facturas (normales y rectificativas) emitidas y en el periodo correcto1 Las salidas de mercancía y los

productos devueltos por clientes en fechas cercanas al cierre se revisan especialmente (riesgo corte operaciones.)

2. Periódicamente la dirección revisa y aprueba las variaciones significativas entre real y presupuesto en cuanto a cifras de ventas y márgenes

3. Las facturas (normales y rectificativas) están pre numeradas, asegurando su integridad y control

4. Existe un sistema integrado de gestión que controla las salidas de mercancía, devoluciones, ventas/abonos y facturación

H La información financiera (cuentas a cobrar y cifra de ventas) es completa y cumple requisitos legales1. La Dirección revisa toda la

información financiera relativa al proceso de Ventas/salidas de mercancía/ facturación /cuentas a cobrar /cobros, y contrasta su exactitud, integridad y vigencia

Explicaciones adicionales a alguno de los puntos mencionados y fuentes de información:

24


Revisado por:



3. Proceso de Cobros de las cuentas a cobrar

Actividad de Control identificada (4) Comprobaciones# Procesos: Cobros de las

cuentas a cobrar.(1)Tipo (2)Releva




de transaccione

s

Riesgo

A Todos los cobros recibidos se procesan en el período adecuado1. Existe un control adecuado de las

ventas al contado (caja registradora, tickets de venta, arqueo de caja, etc.)

2. Los pagos solicitados directamente por el cliente a través de sistemas informáticos de intercambio de datos se registran automáticamente en el sistema.

3. Se realizan conciliaciones bancarias periódicamente, además de la del cierre anual

4 Los cobros recibidos en fechas cercanas al cierre se revisan especialmente (corte operaciones)

B Todos los cobros son registrados y de forma correcta.1. Existe un control adecuado de las


2. Los pagos solicitados directamente por el cliente a través de sistemas informáticos de intercambio de datos se registran automáticamente en el sistema.


4. Periódicamente se concilian las cuentas con los clientes. Se verifican los datos de cobros registrados. Los errores se corrigen

5. Existe un proceso por el cual se analizan/atienden todas las llamadas/quejas recibidas de los clientes

C Todos los cobros registrados son válidos, así como también los descuentos registrados.1. Existe un control adecuado de las


2. El sistema calcula de forma automática los descuentos. La dirección revisa las cifras de descuentos realizados

3. Existe segregación de funciones entre los que venden/ envían/ facturan/ contabilizan y cobran.

25


Revisado por:



3. Proceso de Cobros de las cuentas a cobrar (Cont.)Actividad de Control identificada (4) Comprobaciones

#Procesos: Mantenimiento del

fichero de datos de clientes/cuentas a cobrar.




Seguimiento de

transacciones

Riesgo

D Cuentas a cobrar vencidas1. Las deudas ya vencidas se cobran

y registran siguiendo el procedimiento de la dirección

2. Existen informes de antigüedad de deuda. Dichos informes se analizan periódicamente


4. Proceso de Mantenimiento del fichero de datos de los clientes y cuentas a cobrar.

Actividad de Control identificada (4) Comprobaciones# Procesos: Mantenimiento del

fichero de datos de clientes/cuentas a cobrar.




Seguimiento de

transacciones

Riesgo

A El fichero de datos de clientes sólo se modifica por cambios reales1. La dirección revisa periódicamente

la corrección y actualización del fichero de datos de clientes

2. Se contrastan los cambios del fichero de datos de clientes con la documentación soporte

3. Existe segregación de funciones entre encargados de mantener el fichero y los que procesan ventas-cuentas a cobrar

4. La dirección aprueba los cambios importantes a realizar al fichero de datos de clientes

5. Existe un proceso por el cual se atienden todas las llamadas y quejas recibidas de los clientes

B Se registran todos los cambios en el fichero de datos de clientes de forma correcta1. La dirección revisa periódicamente


2. Periódicamente se revisa que las solicitudes de cambio de datos se han registrado correctamente

3. Las solicitudes de cambio de datos en el fichero están pre numeradas (sistema alternativo),asegurando la integridad y control de éstas

26


Revisado por:



4. Proceso de Mantenimiento del fichero de datos de los clientes y cuentas a cobrar (Cont.)Actividad de Control identificada (4) Comprobaciones

# Procesos: Mantenimiento del fichero de datos de

clientes/cuentas a cobrar.




Seguimiento de

transacciones

Riesgo

4. Se contrastan los cambios del fichero de datos de clientes con la documentación soporte

5. Periódicamente se revisa el fichero de datos de clientes. Los errores detectados se corrigen

C Todos los cambios en el fichero de datos de clientes se registran en el período adecuado1. La dirección revisa periódicamente


2. Periódicamente se revisa que las solicitudes de cambio de datos se han registrado correctamente

3. Las solicitudes de cambio de datos en el fichero están pre numeradas (o tienen un sistema alternativo), asegurando la integridad y control de éstas

4 Existe un proceso por el cual se analizan y atienden todas las llamadas y quejas recibidas de los clientes

D El fichero de datos de clientes está correctamente actualizado1. La dirección revisa periódicamente


2. Existe segregación de funciones entre encargados de mantener el fichero y los que procesan ventas-cuentas a cobrar

3. Periódicamente se revisan los datos de clientes sin pedidos para verificar su corrección.

Explicaciones adicionales a alguno de los puntos mencionados anteriormente y fuentes de información:

27


Revisado por:


b) Compras- Cuentas a pagar- pagos: Identificación de las actividades de control relevantes.

Se incluye un ejemplo de la relación de las Actividades de control más relevantes del proceso de negocio de Compras-cuentas a pagar- pagos, que pueden ser identificadas y extraídas de la descripción del proceso de negocio. Se incluyen las actividades manuales y automáticas.

Hemos de señalar además dela identificación de las actividades de control mediante la consulta con los miembros responsables de la entidad (indagación), (NIA-ES 315 A66-67), realizaremos comprobaciones sobre su existencia y su implementación durante todo el periodo sujeto a auditoría (Como esto no es una prueba de controles, sólo se verifican aquí los apartados que mencionamos).


Leyenda:(1) P = Prevención; D = Detección/Corrección; N/A = No aplicable(2) Lo hemos de valorar teniendo en cuenta estos factores, para determinar los CONTROLES RELEVANTES (NIA ES 315 A61): Importancia relativa, significatividad del riesgo, dimensión de la entidad, naturaleza de los organización, diversidad y complejidad de las operaciones de la entidad, requerimientos normativos aplicables, circunstancias y componente del control interno, naturaleza y complejidad de los sistemas de control interno y si, de forma individual o en combinación con otros, previene o detecta y corrige una incorrección material y cómo lo hace. (Véase NIA ES 315 A89-A94)(3) Si no se considera eficaz, no procede la comprobación (NIA ES 315 A66)(4) Comprobaciones efectuadas: no basta con la indagación, se deben seguir los pasos mencionados (A67) y las comprobaciones deben quedar evidenciadas en papeles de trabajo con la documentación soporte que acredite la realización de las correspondientes comprobaciones.

1. Proceso de gestión y procesamiento de las órdenes de compra (Pedidos).

Actividad de Control identificada

(4) Comprobaciones

# Procesos: Pedidos (1)Tipo

(2)Relevante



Seguimiento de

transacciones

Riesgo

A Las compras y gastos registrados en cuentas son los realmente aprobados1. Todas las solicitudes de compra o

gasto son aprobadas por la dirección (con el nivel requerido). Se deja evidencia de la aprobación

2. Los pedidos que se remiten a los proveedores son previamente aprobados por la dirección

3. El software es un sistema integrado, que permite un tratamiento automatizado de todo el proceso de compra, la actualización de inventario y los registros de compra/gasto y cuentas a pagar

4. Se informa adecuadamente a la dirección de los incumplimientos en precios y condiciones acordados

5. Existe una relación actualizada de personas con poder para aprobar pedidos de compra

28


Revisado por:



1. Proceso de gestión y procesamiento de las órdenes de compra (pedidos) (Cont.)

Actividad de Control identificada

(4) Comprobaciones

# Procesos: Pedidos (1)Tipo

(2)Relevante



Seguimiento de

transacciones

Riesgo

A Las compras y gastos registrados en cuentas son los realmente aprobados (continuación)6. Sólo las personas autorizadas

acceden a las solicitudes y pedidos de compra.

7. Sólo se adquieren bienes y servicios a los proveedores previamente seleccionados y autorizados

8. Sólo se adquieren bienes y servicios previamente seleccionados y autorizados

B Las órdenes de compra registradas no contienen errores1. Existe una supervisión del registro de

órdenes de compra por personal independiente al que las registra

2. Los errores detectados en el registro de órdenes de compra se corrigen inmediatamente.

3. Los datos de entregas de productos rechazados son supervisados por la dirección

4. Se revisan y validan los datos que contienen las órdenes de compra. En caso de error, se subsana de forma inmediata.

C Todas las compras realizadas son registradas1. El software de la entidad es un

sistema integrado, que permite tratamiento automatizado de todo el proceso de compra, incluyendo la actualización de inventario y los registros de compra o gasto y cuentas a pagar

2. Las órdenes de compra están numeradas secuencialmente (método alternativo), que facilita el control e integridad de las mismas

3. Los errores detectados en el registro de órdenes de compra se corrigen de forma inmediata

4. Los datos de entregas de productos rechazados son supervisados por la dirección


29


Revisado por:



2. Cuentas a pagar.

Actividad de Control identificada (4) Comprobaciones# Procesos: Cuentas a pagar. (1)Tipo (2)Releva




de transaccione

s

Riesgo

A Los registros en cuentas a pagar corresponden a bienes y servicios adquiridos realmente1. Periódicamente se compara gasto

real vs presupuestado. La dirección aprueba las desviaciones significativas.

2. Los bienes y/o servicios recibidos se registran. Se comparan antes con las órdenes de compra.

3. Las compras/gastos registradas son revisadas por la dirección

4. No se pagan facturas que no concuerden con pedidos y/o recepciones de bienes/servicios, salvo autorización de la dirección.

B Los registros en cuentas a pagar son correctos1. Las cuentas a pagar se concilian

con los detalles recibidos de proveedores.

2. Periódicamente se compara gasto real vs presupuestado. La dirección aprueba las desviaciones.

3. Las compras/gastos registradas son revisadas por la dirección

4. El software de la entidad es un sistema integrado, que permite tratamiento automatizado de todo el proceso de compra, incluyendo la actualización de inventario y los registros de compra o gasto y cuentas a pagar

5. Se verifica y concilia el traspaso de información desde las órdenes de compra a las entradas de mercancía y cuentas a pagar

6. Se verifica que todas las facturas y rectificativas son registradas

7. Los errores detectados en la entrada de productos se corrigen de inmediato.

C Todos los bienes y servicios recibidos son registrados correctamente1. Las cuentas a pagar se concilian

con detalles recibidos de proveed.2. Periódicamente se compara gasto

real vs presupuestado. La dirección aprueba las desviaciones.

3. Los bienes y/o servicios recibidos se registran adecuadamente. Se comparan antes con las órdenes de compra

30


Revisado por:



2. Cuentas a pagar (Cont.)





de transaccione

s

Riesgo

C Todos los bienes y servicios recibidos son registrados correctamente (continuación)4. Las compras/gastos registradas son

revisadas por la dirección5. Los albaranes de entrega de

bienes/servicios están pre-numerados (o tienen un método alternativo), que facilita su control e integridad.

6. El software de la entidad es un sistema integrado, que permite tratamiento automatizado de todo el proceso de compra, incluyendo la actualización de inventario y los registros de compra o gasto y cuentas a pagar

7. Los errores detectados en el registro de facturas, rectificativas o abonos se corrigen de forma inmediata.

8. Se verifica y concilia el traspaso de información desde órdenes de compras a entradas de bienes y a cuentas a pagar

9. Los errores detectados en la entrada de productos se corrigen de forma inmediata.

D Todos los bienes y servicios recibidos son registrados en el período adecuado1. Las cuentas a pagar se concilian

con los detalles recibidos de proveedores

2. Los bienes y/o servicios recibidos se registran adecuadamente. Se comparan previamente con las órdenes de compra

3. El registro de facturas recibidas en fechas cercanas al cierre se revisa especialmente (corte operaciones)

4. El registro de bienes y servicios recibidos en fechas cercanas al cierre contable se revisa especialmente (corte operaciones)


6. La compra y la provisión correspondiente se registran cuando se transmite la propiedad, aunque la mercancía se reciba posteriormente

31


Revisado por:








de transaccione

s

Riesgo

E Los cambios registrados en cuentas a pagar tienen su origen en hechos reales1. Las cuentas a pagar se concilian

con detalles recibidos de proveed.2. Todas las facturas rectificativas y

ajustes son aprobadas por la dirección antes de su registro en cuentas a pagar

3. La aprobación de facturas rectificativas y ajustes está restringida a personal con autorización para la misma.

4. Los apuntes manuales al debe de cuentas a pagar son revisados por la dirección.

5. Existe un sistema que controla los ajustes en cuentas a pagar que pueden realizar los usuarios y los ajustes que necesitan la autorización de la dirección

F Todos los ajustes provocados por facturas rectificativas u otros motivos son registrados correctamente1. Las cuentas a pagar se concilian

con detalles recibidos de proveed.2. Los errores detectados en el

registro de facturas, rectificativas o abonos se corrigen de forma inmediata.

3. Se verifica que todas las facturas rectificativas son registradas

4. Existe un sistema que controla los ajustes en cuentas a pagar que pueden realizar los usuarios y los ajustes que necesitan la autorización de la dirección

5. Las facturas rectificativas se contrastan con la documentación soporte que las provoca (devolución mercancía, etc.)

6. Las notas de devolución de mercancía están pre-numeradas (o con un método alternativo), facilitando su control e integridad

G Los ajustes provocados por facturas rectificativas u otros motivos son registrados en el período adecuado1. Las cuentas a pagar se concilian


2. El registro de facturas recibidas en fechas cercanas al cierre contable se revisa especialmente (corte operaciones)

32


Revisado por:








de transaccione

s

Riesgo

G Los ajustes provocados por facturas rectificativas u otros motivos son registrados en el período adecuado (cont.)3. El registro de las devoluciones de

compras recibidas en fechas cercanas al cierre contable es revisado en detalle( corte de operaciones)

4. La compra y la provisión correspondiente se registran cuando se transmite la propiedad, aunque la mercancía se reciba con posterioridad

H Los activos y pasivos se han registrado de forma que reflejan la imagen fiel de la compañía1. El listado de pagos a proveedores

es revisado por la dirección antes de proceder al pago

I La información financiera es completa y cumple con los requisitos requeridos profesional y legalmente1. En caso de requerimientos legales:

Blanqueo de capitales y financiación del terrorismo, figuran incluidos en el registro y se verifica su exactitud y vigencia.



3. Pagos.

Actividad de Control identificada (4) Comprobaciones# Procesos: Pagos. (1)Tipo (2)Releva




de transaccione

s

Riesgo

A Los pagos registrados en cuentas a pagar tienen su origen en hechos reales1. Periódicamente se compara gasto

real vs presupuestado. La dirección aprueba las desviaciones.

2. El listado de pagos a proveedores es revisado por la dirección antes de proceder al pago; chequeados con su documentación soporte.

3. Los cheques devueltos se revisan periódicamente por parte de la dirección para identificar las causas

4. Sólo realizan transferencias electrónicas de fondos las personas autorizadas por la dirección

33


Revisado por:



3. Pagos (Cont.)Actividad de Control identificada (4) Comprobaciones

# Procesos: Pagos. (1)Tipo (2)Relevante



Seguimiento de

transacciones

Riesgo

B Sólo se paga a proveedores reales1. Todos los cheques cursados son

nominativos y cruzados para abono en cuenta.

2. Se anexa a los pagos su documentación soporte antes de pasarlos a la aprobación por la dirección

3. Existe segregación de funciones entre las personas que solicitan firman y envían los cheques.

4. El listado de pagos a proveedores es revisado por la dirección antes de proceder al pago

5. Los cheques devueltos se revisan periódicamente por parte de la dirección para identificar las causas

C Los pagos registrados son correctos1. Las cuentas a pagar se concilian


2. Periódicamente se compara gasto real vs presupuestado. La dirección aprueba las desviaciones.

3. Se anexa a los pagos su documentación soporte antes de pasarlos a la aprobación por la dirección


5. Los errores detectados en el registro de facturas, rectificativas o abonos se corrigen de inmediato.

6. Los errores detectados en datos de pagos se corrigen de inmediato.

D Todos los pagos son registrados correctamente1. Las cuentas a pagar se concilian



3. Los saldos con cierta antigüedad en cuentas a pagar son revisados por la dirección

4. Los cheques están pre-numerados, facilitando su control e integridad.

34


Revisado por:



3. Pagos (Cont.)

Actividad de Control identificada (4) Comprobaciones# Procesos: Pagos. (1)Tipo (2)Releva




de transaccione

s

Riesgo

E Todos los pagos son registrados en el período adecuado1. Se realizan conciliaciones bancarias

periódicamente, además de la del cierre anual

2. Los pagos realizados en fechas cercanas al cierre contable se revisan especialmente (corte operaciones)



4. Mantenimiento del registro/fichero maestro de los proveedores.


fichero maestro de los proveedores.




Seguimiento de

transacciones

Riesgo

A El registro/fichero de proveedores sólo es modificado por cambios previamente validados1. La dirección revisa periódicamente

la exactitud y vigencia del fichero maestro de proveedores

2. Las entradas de datos en el registro/fichero maestro de proveedores se comparan con la documentación fuente.

3. La dirección aprueba los cambios significativos en el registro/fichero maestro de proveedores

B Todos los cambios aprobados para incorporar al fichero maestro de proveedores son registrados correctamente.1. La dirección revisa periódicamente

la exactitud y vigencia del fichero maestro de proveedores, para identificación de errores.

2. Se revisa que todas las solicitudes de cambio se registran en el período adecuado

3. Las solicitudes de cambio están pre-numeradas, facilitando su control e integridad

4. Las entradas de datos en el fichero maestro se comparan con la documentación fuente

35


Revisado por:



4. Mantenimiento del registro/fichero maestro de los proveedores (Cont.)


fichero maestro de los proveedores.




Seguimiento de

transacciones

Riesgo

D Todos los cambios en el registro/fichero maestro de proveedores son procesados a tiempo1. La dirección revisa periódicamente

la exactitud y vigencia del fichero maestro de proveedores

2. Se revisa que todas las solicitudes de cambio se registran en el período adecuado

3. Las solicitudes de cambio están pre-numeradas, facilitando su control e integridad

E El registro/fichero maestro de proveedores contiene información actualizada1. Periódicamente se contrasta la

información de los proveedores con los que hace tiempo que no se trabaja

2. La dirección revisa periódicamente la exactitud y vigencia del fichero maestro de proveedores.


36


Revisado por:


c) Gastos de personal: Identificación de las actividades de control relevantes

Se incluye un ejemplo de la relación de las Actividades de control más relevantes del proceso de negocio de Compras-cuentas a pagar- pagos, que pueden ser identificadas y extraídas de la descripción del proceso de negocio. Se incluyen las actividades manuales y automáticas.

Hemos de señalar además dela identificación de las actividades de control mediante la consulta con los miembros responsables de la entidad (indagación), (NIA-ES 315 A66-67), realizaremos comprobaciones sobre su existencia y su implementación durante todo el periodo sujeto a auditoría (Como esto no es una prueba de controles, sólo se verifican aquí los apartados que mencionamos).


Leyenda:(1) P = Prevención; D = Detección/Corrección; N/A = No aplicable(2) Lo hemos de valorar teniendo en cuenta estos factores, para determinar los CONTROLES RELEVANTES (NIA ES 315 A61): Importancia relativa, significatividad del riesgo, dimensión de la entidad, naturaleza de los organización, diversidad y complejidad de las operaciones de la entidad, requerimientos normativos aplicables, circunstancias y componente del control interno, naturaleza y complejidad de los sistemas de control interno y si, de forma individual o en combinación con otros, previene o detecta y corrige una incorrección material y cómo lo hace. (Véase NIA ES 315 A89-A94)(3) Si no se considera eficaz, no procede la comprobación (NIA ES 315 A66)(4) Comprobaciones efectuadas: no basta con la indagación, se deben seguir los pasos mencionados (A67) y las comprobaciones deben quedar evidenciadas en papeles de trabajo con la documentación soporte que acredite la realización de las comprobaciones correspondientes.

1. Proceso de gestión y procesamiento de las altas/bajas del personal.

Actividad de Control identificada (4) Comprobaciones# Procesos: Altas y bajas del

personal(1)Tipo (2)Releva




de transaccione

s

Riesgo

A El fichero de datos de personal se nutre de altas válidas1. La dirección revisa periódicamente

la actualización y corrección del fichero de datos de personal

2. Cada cambio de personal se notifica adecuadamente por parte de los responsables de cada departamento

3. Se contrastan los cambios del fichero de datos de personal con la documentación soporte

4. La dirección revisa y aprueba los cambios relevantes en el fichero de datos de personal

B En el fichero de datos de personal se registran todas las nuevas contrataciones1. La dirección revisa periódicamente


37


Revisado por:



1. Proceso de gestión y procesamiento de las altas/bajas del personal (Cont.)

Actividad de Control identificada (4) Comprobaciones# Procesos: Calculo y registro de

los gastos de personal (nóminas).




Seguimiento de

transacciones

Riesgo


3. Se revisan todas las solicitudes de cambio del fichero de nóminas para certificar que se han registrado en el período adecuado

4. Las solicitudes de cambio en el fichero de nóminas están pre numeradas (o sistema similar), asegurando su integridad y control

C Todas las bajas son registradas en el fichero de datos de personal1. La dirección revisa periódicamente




4. Las solicitudes de cambio en el fichero de nóminas están pre numeradas (o sistema similar), asegurando su integridad y control

D En las bajas se cumplen con todos los requerimientos (sindicales, legales, etc.)1. Existe preocupación por parte de la

dirección para que las bajas se realicen cumpliendo todos los requerimientos legales.

E Las bajas registradas en el fichero de datos de personal son reales1. La dirección revisa periódicamente




4.. La dirección revisa y aprueba los cambios relevantes en el fichero de datos de personal

38


Revisado por:



2. Proceso de cálculo y registro de los gastos de personal (Nóminas).

Actividad de Control identificada (4) Comprobaciones# Procesos: Calculo y registro de

los gastos de personal (nóminas).




Seguimiento de

transacciones

Riesgo

A El registro de la nómina se realiza en el período adecuado1. Los registros de nómina de fechas

cercanas al cierre contable se revisan especialmente (corte operaciones)

2. La dirección revisa que el pago de la nómina se realiza en el período de tiempo correcto

B El registro de la nómina es correcto1. La dirección revisa y aprueba todas

las retribuciones percibidas por el personal, fijo y horas

2. Se utilizan sistemas y aplicaciones informáticas para los cálculos significativos de la nómina

3. La dirección aprueba las horas extras trabajadas y pagadas

C Las remuneraciones pendientes de pago reflejan fielmente los pasivos que se tienen frente a los empleados1. Se utilizan sistemas y aplicaciones

informáticas para los cálculos significativos de las remuneraciones pendientes de pago

2. Las remuneraciones variables están aprobadas fehacientemente por la dirección

3. Los cálculos de las remuneraciones pendientes de pago en fechas cercanas al cierre contable se revisan especialmente (corte operaciones)

4. La dirección revisa periódicamente las remuneraciones pendientes de pago

D La información financiera es completa y cumple con los requisitos requeridos profesional y legalmente1. La dirección revisa la información

financiera y contrasta su exactitud, integridad y vigencia


39


Revisado por:



3. Proceso del registro y pago de las Nóminas.

Actividad de Control identificada (4) Comprobaciones# Procesos: Registro y pago de

las nóminas.(1)Tipo (2)Releva




de transaccione

s

Riesgo

A El registro y pago de la nómina corresponde a tiempo realmente trabajado1. Se concilian los pagos por nómina

tanto con los resúmenes de nóminas como con los registros de tiempos trabajados

2. La dirección revisa y aprueba todas las retribuciones percibidas por el personal, fijo y horas

3. La dirección aprueba las horas extras trabajadas y pagadas

B Se paga a cada trabajador lo que realmente le corresponde1. Existe segregación de funciones

para las personas que preparan, revisan y pagan la nómina

2. Sólo las personas autorizadas acceden al fichero de transferencias a remitir al banco

3. Todos los empleados firman sus recibos de nómina en caso de abonarse en efectivo y se revisa por la dirección que se cumple este requisito de control


4. Proceso de registro y mantenimiento del fichero de datos de personal.

Actividad de Control identificada (4) Comprobaciones# Procesos: Registro y

mantenimiento del fichero de datos de personal.




Seguimiento de

transacciones

Riesgo

A El fichero de datos de personal sólo es modificado por cambios reales1. Se contrastan los cambios del

fichero de datos de personal con la documentación soporte

2. Cada cambio de personal se notifica por los responsables de cada departamento

3. La dirección revisa periódicamente la actualización y corrección del fichero de datos de personal

4. La dirección revisa y aprueba los cambios relevantes en el fichero de datos de personal

40


Revisado por:



4. Proceso de registro y mantenimiento del fichero de datos de personal (Cont.)






Seguimiento de

transacciones

Riesgo

5. Sólo las personas autorizadas acceden al mantenimiento del fichero de datos del personal

B Todos los cambios en el fichero de datos de personal son registrados1. La dirección revisa periódicamente



3. Se revisan todas las solicitudes de cambio del fichero de nóminas para certificar que se han registrado en el período adecuado.

4. Las solicitudes de cambio en el fichero de nóminas están pre-numeradas (o sistema similar), asegurando su integridad y control

C Todos los cambios en el fichero de datos de personal son registrados correctamente1. Cada cambio de personal se

notifica por los responsables de cada departamento


3. Se revisa periódicamente el fichero de datos de personal. Los errores se corrigen


D Todos los cambios en el fichero de datos de personal son registrados en el período adecuado1. La dirección revisa periódicamente


2. Cada cambio de personal se notifica por los responsables de cada departamento

3. Las solicitudes de cambio en el fichero de nóminas están pre-numeradas, asegurando su integridad y control


41


Revisado por:



4. Proceso de registro y mantenimiento del fichero de datos de personal (Cont.)






Seguimiento de

transacciones

Riesgo

E El fichero de datos de personal contiene información actualizada1 Los cambios de personal se

notifican por los responsables de cada departamento


3. Los detalles de horas trabajadas se concilian con el fichero de datos de personal

F El fichero de datos de personal contiene información fiscal y de seguridad social actualizada1. El fichero contiene tablas de

retención fiscal actualizadas2. La dirección revisa la correcta

actualización de las tablas fiscales contenidas en el fichero de datos de personal

3. Se contrastan los cambios realizados en las tablas fiscales con la documentación soporte

4. La dirección revisa y aprueba los cambios relevantes en las tablas de retención fiscal

5. Sólo las personas autorizadas acceden a las tablas fiscales

6. Las tablas de retención fiscal se revisan periódicamente asegurándose del cumplimiento de la normativa vigente

Conclusión sobre las "Actividades de control relevantes"32:

32 Podría concluirse de esta forma::1.-Actividades de control relevantes para la auditoría satisfactorias: ("No hay riesgos de error material identificados en la auditoría puesto que las actividades de control establecidas, han sido diseñadas y están funcionando adecuadamente, por lo que no hemos identificado ninguna deficiencia grave de control interno)2.- Actividades de control relevantes para la auditoría no satisfactorias: ("Existen riesgos de error material identificados en la auditoría puesto que las actividades de control establecidas, no han sido diseñadas y/o no están funcionando adecuadamente, por lo que hemos identificado las siguientes deficiencias de control interno: ……..)

42


Revisado por:


2.5.- Entendimiento del Seguimiento de los controles de la entidad (Ref.: NIA-ES 315 # 22-24)

Debe obtenerse conocimiento de:

a) las principales actividades para realizar el seguimiento del control interno de la información financiera, incluidas las actividades de control interno relevantes para la auditoría y el modo en que la entidad inicia medidas correctoras de las deficiencias en sus controles (#22)

b) la naturaleza de las responsabilidades de la función de auditoría interna (si ésta existe) y como se integra en la estructura organizativa de la entidad (actividades que han sido y serán realizadas por esta función de auditoría interna)(#23)

c) Fuentes de información utilizadas en las actividades de seguimiento (#24)

Cuestionario para el entendimiento del quinto componente del control interno de la entidad;

Elementos relevantes de control

Controles y procesos establecidos para el seguimiento33

Información producida por la entidad que se utiliza en el elemento de control.

Análisis de la exactitud/integridad de la información producida por la entidad/Ref. al trabajo realizado


Conclusión sobre el seguimiento de los elementos

Supervisión y control de la función contable

34 35

Desarrollo y mantenimiento del entorno informático.

36 37

33 Ejemplos de redacción de las columnas de “Controles y procesos establecidos para el seguimiento” y de los “Procedimientos realizados” para evaluar el seguimiento del elementos relevantes de control:34 SUPERVISIÓN Y CONTROL DE LA FUNCION CONTABLE: a) Existe un Comité de Auditoría Interna independiente que revisa mensualmente los EEFF, si no existe este Comité estas funciones las lleva a cabo el Consejo de Administración; b) El departamento financiero tiene su propio proceso de revisiones y autorizaciones; se analizan las desviaciones entre datos contables vs presupuestos (año corriente y año anterior); c) El Consejo de Administración evalúa las incidencias detectadas para corregir los controles que no han funcionado adecuadamente; etc.35 i) Trabajo sobre los controles generales de los sistemas de información (TI) de los registros de contabilidad.ii) Revisión de Actas del Comité de Auditoría Interna, donde se evidencia el análisis de la evolución respecto a presupuesto y sus consecuencia; iii) Revisión de Actas del Consejo de Administración; etc.36 DESARROLLO Y MANTENIMIENTO DEL ENTORNO INFORMÁTICO: a) El departamento de TI verifica los controles generales del ordenador/servidor de manera diaria; b) Algunos procesos de la entidad han sido implantados para que se ejecuten de manera automática y de forma periódica; etc.37 a) Trabajo sobre los controles generales de los sistemas de información (TI) de los registros de contabilidad; etc.

43


Revisado por:


44


Revisado por:


2.5.- Entendimiento del Seguimiento de los controles de la entidad (Ref.: NIA-ES 315 # 22-24)

Elementos relevantes de control

Controles y procesos establecidos para el seguimiento38

Información producida por la entidad

Análisis de la exactitud e integridad de la información producida por la entidad/Ref. al trabajo realizado


Conclusión sobre el seguimiento de los elementos

Alcance, responsabilidades y actividades previstas para el departamento de Auditoría Interna.

39 40

Reuniones internas y comunicaciones para informar a la dirección y/o órganos de gobierno, acerca de la eficacia de los controles.

41 42

38 Ejemplos de redacción de las columnas de “Controles y procesos establecidos para el seguimiento” y de los “Procedimientos realizados” para evaluar el seguimiento del elementos relevantes de control:39 ALCANCE Y RESPONSABILIDADES DEL DEPARTAMENTO DE AUDITORÍA INTERNA: a) El departamento de Auditoría Interna prepara Informes con recomendaciones sobre el control interno, que son remitidos al Comité de Dirección. Periódicamente se realiza un seguimiento del cumplimiento de estas recomendaciones; b) Existe un sólido Comité de Auditoría compuesto por Consejeros no ejecutivos, que está bien informado y participa activamente en el control de los procesos de negocio, para identificar los riesgos al máximo nivel. Se reúne cada trimestre, y tiene establecidas sus funciones y responsabilidades a través de un “documento escrito”. Fundamentalmente son: revisión de los resultados y reunión con asesores jurídicos y asesores externos para garantizar un buen gobierno corporativo. Todos los riesgos significativos detectados son sometidos al examen y evaluación de este Comité.40 Revisión de Actas trimestrales y obtención de los Informes de recomendaciones del departamento de Auditoría Interna (incluidos en referencia: XXX)41 REUNIONES INTERNAS Y COMUNICACIONES: a) Trimestralmente el Comité de Auditoría se reúne con el Consejo para comunicarle el trabajo realizado, con referencia al análisis de procedimientos internos, de riesgos detectados, actuaciones llevadas a cabo y de incidencias/desviaciones de los EEFF.42 Revisión de las Actas trimestrales de las reuniones

45


Revisado por:


Conclusión Global sobre el "Seguimiento de los controles de la entidad"43:

++++++++++++++++++++++++++++

CONCLUSIÓN global SOBRE EL CONTROL INTERNO DE LA ENTIDAD y los COMPONENTES DEL CONTROL INTERNO:1.-ENTORNO DE CONTROL2.-PROCESO DE VALORACIÓN DEL RIESGO3.-SISTEMAS DE INFORMACIÓN (TI)4.-ACTIVIDADES DE CONTROL5.-SEGUIMIENTO DE LOS CONTROLES

Todos los Riesgos identificados a través del conocimiento de cada uno de los componentes del control interno de la entidad, que se han detallado en este documento en todos los apartados anteriores, deben ser trasladados a cuestionario nº 3 y Anexo: Matriz de riesgos para, de acuerdo con la NIA-ES 315 #26, valorarlos, evaluar su alcance/efecto y relacionarlos con posibles incorrecciones en las afirmaciones.

Entendimiento del control interno de la entidad.Socio Responsable del encargo: Firma y fecha aprobación:

43 Podría concluirse de esta forma en función de si la entidad realiza el seguimiento de los controles establecidos, y de la valoración que le demos al mismo y a sus resultados:1.-Seguimiento de los controles de la entidad satisfactorio: ("No hay riesgos de error material identificados en la auditoría puesto que la entidad realiza un seguimiento de los controles que previamente ha establecido, por lo que no hemos identificado ninguna deficiencia grave de control interno).2.- Seguimiento de los controles de la entidad no satisfactorio: ("Existen riesgos de error material identificados en la auditoría puesto que la entidad no realiza un seguimiento de los controles que previamente ha establecido, o el seguimiento no ha sido diseñado y/o no está funcionando adecuadamente, por lo que hemos identificado las siguientes deficiencias de control interno:……).

46

rea.economistas.es · Web view“…El entorno de control, no previene, ni detecta y corrige una...

Documents

Transcript of rea.economistas.es · Web view“…El entorno de control, no previene, ni detecta y corrige una...