La comprobación de los controles es un procedimiento utilizado en la auditoría para determinar si los controles internos previenen o detectan eficazmente las incorrecciones materiales en el nivel de afirmación adecuado. Las pruebas de control determinan si una política o práctica está bien diseñada para prevenir o detectar incorrecciones significativas en los estados financieros.
Como parte de su ejercicio de evaluación de riesgos, el auditor debe «obtener una comprensión de la entidad y su entorno, incluida la comprobación de los controles».
Es responsabilidad de la dirección establecer un sistema adecuado de control interno y abordar los riesgos identificados en los estados financieros, los riesgos operativos y los riesgos de cumplimiento.
Comprobación de los controles
Los controles internos eficaces, siempre que se apliquen correctamente, deben garantizar:
- Informes financieros fiables,
- la eficacia y la eficiencia de las operaciones,
- el cumplimiento de las leyes y reglamentos pertinentes, y
- La eficacia de los controles internos.
Antes de que el auditor pueda confiar en los sistemas y controles existentes, debe establecer cuáles son esos sistemas y controles, y llevar a cabo una evaluación de la eficacia de los mismos.
Cinco elementos constituyen un sistema de control interno. Estos son:
- El entorno de control,
- El proceso de evaluación de riesgos de la entidad,
- El sistema de información,
- Actividades de control (controles internos), y
- La revisión y el seguimiento de los controles.
Cuando una empresa cuenta con un sistema eficaz de control interno, el método más eficaz para generar pruebas de auditoría suele consistir en la comprobación de los controles, siempre que sea posible, en lugar de los procedimientos sustantivos. Las técnicas «basadas en los sistemas», por tanto, complementan el enfoque del riesgo empresarial descrito anteriormente para maximizar la eficacia de la auditoría y centrar las pruebas en las áreas de mayor riesgo. El auditor se basa en los sistemas contables y en los controles correspondientes para asegurarse de que las transacciones se registran correctamente. La auditoría hace hincapié en los sistemas que procesan las transacciones y no en las transacciones mismas. Es necesario obtener una comprensión del control interno relevante para la auditoría.
Entender el sistema de control interno
El auditor interno debe comprender cada uno de los cinco elementos del sistema de control interno del cliente y documentar las características relevantes de los sistemas de control. Una vez que se ha obtenido esta comprensión, el auditor debe confirmar que su comprensión es correcta realizando procedimientos de «recorrido» en cada tipo de transacción importante (por ejemplo, transacciones de venta, transacciones de compra, nóminas).
Las pruebas de recorrido implican que el auditor seleccione una pequeña muestra de transacciones y las siga a través de las distintas etapas de su procesamiento, desde el inicio hasta la presentación de informes, para establecer si su comprensión del proceso es correcta. Si comprenden los controles existentes, el auditor puede pasar a evaluar su eficacia y la medida en que puede confiar en esos controles para la auditoría.
Eficacia de un sistema de control interno Factores
El grado de eficacia de un sistema de control interno dependerá de los dos factores siguientes:
- El diseño del sistema de control interno y los controles internos individuales. ¿Es el sistema de control capaz de evitar las incorrecciones materiales, o es capaz de detectar y corregir las incorrecciones materiales si se producen? ¿Parece que los controles internos son adecuados y eficaces «sobre el papel»?
- La correcta aplicación de los controles. Los controles no son eficaces si no se aplican correctamente. ¿Los controles son operados adecuadamente por la dirección del cliente y otros empleados? El resultado de esta evaluación ayuda al auditor a valorar el riesgo de control. Es el riesgo de que los controles internos no logren prevenir o detectar y corregir errores en los estados financieros.
Esta evaluación permitirá al auditor decidir hasta qué punto puede utilizar más pruebas de controles en las pruebas en lugar de más procedimientos sustantivos. El auditor puede juzgar que el riesgo de control es alto o que es bajo porque los controles internos son eficaces.
Si el auditor evalúa el riesgo de control como muy alto, probablemente considerará que un enfoque de auditoría basado en sistemas no será apropiado. Pasarán a realizar pruebas detalladas de las transacciones y los saldos y adoptarán un enfoque de pruebas sustantivas para la auditoría.
Antes de poder evaluar el riesgo de control como bajo, el auditor debe estar convencido de que los controles están bien diseñados y son eficaces. Aunque los controles parezcan aceptables sobre el papel, el auditor no puede confiar en ellos y realizar una auditoría basada en sistemas a menos que esté seguro de que los controles funcionan en la práctica. En esta situación, la siguiente etapa del proceso de auditoría es la realización de pruebas de control.
Si el resultado de las pruebas de control indica que los controles funcionan eficazmente, la auditoría puede utilizar un enfoque basado en sistemas con una cantidad reducida de pruebas sustantivas. Aunque el sistema de control interno parezca eficaz, el auditor nunca confiará al 100% en su evaluación de los controles. Siempre realizarán algunas pruebas de fondo antes de llegar a su conclusión sobre los estados financieros.
Causas de los fallos de control
Esto se debe a las limitaciones inherentes a todos los sistemas de control. Es imposible evitar el riesgo de fallo de control que se produce:
- El error humano (y la falta de aplicación de un control de forma adecuada),
- Obsolescencia de los controles,
- Anulación de controles por parte de la dirección (que es una decisión deliberada de ignorar un control),
- La posibilidad de colusión y fraude.
Los auditores siempre complementarán su trabajo sobre los sistemas con algunas pruebas sustantivas. La cantidad de estas pruebas dependerá de la evaluación que haga el auditor de la eficacia de los controles. La realización de pruebas de control no garantiza que se lleven a cabo pocos procedimientos sustantivos. Si la realización de las pruebas de control revela que los controles internos de un tipo o clase de operación concreta no funcionan eficazmente, el auditor aumentará la naturaleza, el momento y el alcance de sus procedimientos de auditoría sustantiva.
Reflexiones finales
Los controles internos pueden servir para dos propósitos: pueden proteger a una empresa del fraude contable, la pérdida de activos u otros fallos en la información financiera, y pueden garantizar que la empresa cumple con las obligaciones de cumplimiento de la normativa.
Una auditoría evalúa la exactitud de los estados financieros de una empresa, así como la eficacia de su sistema de control interno, con el objetivo de identificar las deficiencias de control. Las pruebas sustantivas, que buscan incorrecciones y errores materiales, suelen incluirse en las auditorías. Estos procedimientos de auditoría sustantiva examinan, prueban y analizan los registros financieros de una empresa.
