Normas Internacionales de Auditoría* Control Interno 400. EVALUACIÓN DE RIESGO Y CONTROL INTERNO Introducción El propósito de esta Norma Internacional de Auditoría es establecer normas y proporcio El auditor deberá obtener una comprensión de los sistemas de contabilidad y d Riesgo inherente Al desarrollar el plan global de auditoría, el auditor debería evaluar el riesgo in Sistemas de contabilidad y de control interno Los controles internos relacionados con el sistema de contabilidad están dirigidos a lograr objetivos com Las transacciones son ejecutadas de acuerdo con la autorización general o específica Todas las transacciones y otros eventos son prontamente registrados en el monto co El acceso a activos y registros es permitido sólo de acuerdo con la autorización de la Los activos registrados son comparados con los activos existentes a intervalos razon Comprensión de los sistemas de contabilidad y control interno Al obtener una comprensión de los sistemas de contabilidad y de control interno para p Sistema de contabilidad El auditor debería obtener una comprensión del sistema de contabilidad suficie (a) (b) (c) (d) las principales clases de transacciones en las operaciones de la entidad; cómo se inician dichas transacciones; registros contables importantes, documentos de soporte y cuentas en los e el proceso contable y de informes financieros, desde el inicio de transaccio Ambiente de control El auditor debería obtener una comprensión del ambiente de control suficiente Procedimientos de control el auditor debería obtener evidencia de audito seguridad. Documentación de la comprensión y de la evaluación del riesgo de control El auditor debería documentar en los papeles de trabajo de la auditoría: (a) la comprensión obtenida de los sistemas de contabilidad y de control inter (b) la evaluación del riesgo de control. el auditor debería evaluar Calidad y oportunidad de la evidencia de auditoría Al determinar la evidencia de auditoría apropiada para soportar una conclusión sobre rie aplicados en auditorías previas. basado en los resultados de los procedim Relación entre las evaluaciones de riesgos inherente y de control La administración a menudo reacciona a situaciones de riesgo inherente diseñando siste . El auditor debería considerar si los controles internos estuvieron vigentes a lo El auditor puede decidir desarrollar algunas pruebas de control durante una visita interi Evaluación final del riesgo de control Antes de la conclusión de la auditoría.El auditor debería obtener una comprensión de los procedimientos de control s Riesgo de Control Evaluación preliminar del riesgo de control La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de Después de obtener una comprensión de los sistemas de contabilidad y de con La evaluación preliminar del riesgo de control para una aseveración (a) pueda identificar controles internos relevantes a la aseveración que sea pro (b) planee desempeñar pruebas de control para soportar la evaluación. Cuando el riesgo de control es evaluado co Pruebas de control El auditor debería obtener evidencia de auditoría por medio de pruebas de con Basado en los resultados de las pruebas de control. por ejemplo. Sin embargo.determinado en dichas situaciones haciendo una evaluación combinada. usar un tamaño mayor Los niveles evaluados de riesgos inherentes y de control no pueden ser suficien Mientras más alta sea la evaluación del riesgo inherente y de control. por ejemplo. La evaluación del auditor del riesgo inherente Las áreas en negrilla en esta tabla se refieren al riesgo de detección. Hay una relación inversa entre el riesgo de detección y el nivel combinado de los riesgo . la mayor parte de la evidencia de auditoría es persu El auditor debería considerar los niveles evaluados de riesgos inherentes y de (a) la naturaleza de los procedimientos sustantivos. si el a Ilustración de la interrelación de los componentes del riesgo de auditoría La siguiente tabla muestra como puede variar el nivel aceptable de riesgo de detección. por ejemplo. Riesgo de detección El nivel de riesgo de detección se relaciona directamente con los procedimientos sustan transacciones porque. desarrollándolos al fina (c) el alcance de los procedimientos sustantivos. más evid riesgo de detección respecto de una aseveración de los estados financieros pa Comunicación de debilidades Como resultado de obtener una comprensión de los sistemas de contabilidad y de contr debilidades de importancia ordinariamente seria por escrito. por ejemplo. usar pruebas dirigida (b) la oportunidad de procedimientos sustantivos. Por consiguiente. AUDITORÍA EN UN AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADO Introducción El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar lineamientos sobre los procedimientos que deben seguirse cuando se conduce una auditoría en un ambiente de sistemas de información computarizado (SIC) Para fines de las NIAs. El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. El auditor deberá considerar como afecta a la auditoría un ambiente SIC. el uso de una computadora cambia el procesamiento.* Los principios básicos y procedimientos esenciales de las Normas Internacionales de Auditoría Normas Internacionales de Auditoría * Control Interno 401. . almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. Sin embargo. ya sea que dicha computadora sea operada por la entidad o por un tercero. un ambiente SIC existe cuando está involucrada una computadora de cualquier tipo o tamaño en el procesamiento de información financiera de importancia para la auditoría. un ambiente SIC puede afectar: • Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de los sistemas de contabilidad y de control interno. de acuerdo con NIA "Uso del trabajo de un experto".• La consideración del riesgo inherente y del riesgo de control a través del cual el auditor llega a la evaluación del riesgo. Si se planea el uso de dicho profesional. El auditor debería considerar si se necesitan habilidades especializadas en SIC en una auditoría. Habilidad y competencia El auditor debería tener suficiente conocimiento del SIC para planear dirigir. quien puede pertenecer al personal del auditor o ser un profesional externo. • Diseñar y desempeñar pruebas de control y procedimientos sustantivos apropiados. • El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría. el auditor buscaría la ayuda de un profesional con dichas habilidades. • Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo al nivel de saldo de cuenta y de clase de transacciones. Si se necesitan habilidades especializadas. supervisar y revisar el trabajo desarrollado. el auditor debería obtener suficiente evidencia apropiada de auditoría de que dicho trabajo es adecuado para los fines de la auditoría. Planeación . Estas pueden necesitarse para: • Obtener una suficiente comprensión de los sistemas de contabilidad y de control interno afectados por el ambiente SIC. Potencial para errores e irregularidades. Evaluación del Riesgo De acuerdo con NIA "Evaluación del riesgo y control interno". suficiente para planear la auditoría y desarrollar un enfo auditoría efectivo. el auditor debería hacer una evaluación de los riesgos inherentes y de control para las aseveraciones importantes de los estados financieros. el auditor debería obtener una comprensión de la importancia y complejidad de las actividades de SIC y la disponibilidad de datos para uso en la auditoría. el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherentes y de control. Al planear las porciones de la auditoría que pueden ser afectadas por el ambiente SIC del cliente. Cuando el SIC es significativo.De acuerdo con NIA " Evaluaciones del Riesgo y Control Interno" el auditor debería obtener una comprensión de los sistemas de contabilidad y de control interno. Procedimientos de Auditoría De acuerdo con NIA " Evaluaciones del riesgo y control interno" el auditor debería considerar el ambiente SIC al diseñar los procedimientos de auditoría . Procesamiento uniforme de transacciones. La naturaleza de los riesgos y las características del control interno en ambientes SIC incluyen lo siguiente: Falta de rastros de las transacciones. Inadecuada segregación de funciones. . el cliente puede implementar políticas y procedimientos efectivos dentro de su organización. técnicas de auditoría con ayuda de computadora. el cliente puede considerar necesario depender de las políticas y procedimientos de la organización de servicio. Estas políticas y procedimientos están física y operacionalmente separados de la organización del cliente. El auditor puede usar procedimientos de auditoría manuales. CONSIDERACIONES DE AUDITORÍA RELATIVAS A ENTIDADES QUE UTILIZAN ORGANIZACIONES DE SERVICIO Introducción El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar lineamientos a un auditor cuyo cliente usa una organización de servicio. Normas Internacionales de Auditoría * Control Interno 402. Sin embargo. El auditor deberá considerar cómo afecta una organización de servicios a los sistemas de contabilidad y de control interno del cliente. o confirmación sin la ayuda de la computadora. Los objetivos específicos de auditoría del auditor no cambian ya sea que los datos de contabilidad se procesen manualmente o por computadora. puede ser difícil o imposible para el auditor obtener ciertos datos para inspección. Consideraciones del Auditor del Cliente Una organización de servicio puede establecer y ejecutar políticas y procedimientos que afecten los sistemas de contabilidad y de control interno de un cliente. o una combinación de ambos para obtener suficiente material de evidencia. los métodos de aplicación de procedimientos de auditoría para reunir evidencia pueden ser influenciados por los métodos de procesamiento computarizado. investigación. Cuando los servicios proporcionados por la organización de servicio están limitados al registro y procesamiento de las transacciones del cliente y el cliente retiene la autorización y mantenimiento de la responsabilidad de rendir cuentas. Cuando la organización de servicio ejecuta las transacciones del cliente y mantiene la responsabilidad. en algunos sistemas de contabilidad que usan una computadora para procesar aplicaciones significativas. a fin de planear la auditoría y desarrollar un enfoque de auditoría efectivo. Esta NIA también describe los informes del auditor de la organización de servicio que pueden ser obtenidos por los auditores del cliente. Sin embargo.para reducir el riesgo de auditoría a un nivel aceptablemente bajo. El auditor del cliente puede lograr obtener una comprensión de los sistemas de contabilidad y de control interno afectados por la organización de servicio por medio de la lectura del dictamen del auditor de la organización de servicio. si así fuera. apropiado: Naturaleza de los servicios prestados por la organización de servicio. según sea. incluyendo el posible efecto de la falta de servicio de la organización de servicio sobre el cliente. cuando evalúe el riesgo de control para las aseveraciones afectadas por . Si el auditor del cliente concluye que las actividades de la organización de servicio son significativas para la entidad y relevantes para la auditoría. Información disponible sobre controles generales y controles de sistemas de computación relevantes para las aplicaciones del cliente. el auditor debería obtener suficiente información para comprender los sistemas de contabilidad y de control interno y para evaluar el riesgo de control ya sea a un nivel máximo. Las aseveraciones de importancia relativa de los estados financieros que son afectadas por el uso de la organización de servicio. Al hacer esto. Controles internos del cliente que son aplicados a las transacciones procesadas por la organización de servicio. Términos del contrato y relación entre el cliente y la organización de servicio. como la que se refleja en los manuales técnicos y de usuario. Además. es innecesaria la consideración adicional de esta NIA.El auditor deberá determinar la importancia de las actividades de la organización de servicio para el cliente y su relevancia para la auditoría. el auditor del cliente necesitaría considerar lo siguiente. o un nivel más bajo si se realizan pruebas de control. La consideración de lo anterior puede llevar al auditor a decidir que la evaluación del riesgo de control no será afectada por los controles de la organización de servicio. Capacidad y fuerza financiera de la organización de servicio. Información sobre la organización de servicio. Riesgo inherente asociado con dichas aseveraciones Grado al cual interactúan los sistemas de contabilidad y de control interno del cliente con los sistemas de la organización de servicio. un auditor del cliente debería considerar si la naturaleza. Cuando un auditor del cliente usa un informe del auditor de una organización de servicio. auditor del cliente usa el dictamen del auditor de una organización de servicio. el auditor del cliente debería considerar la naturaleza y el contenido de dicho dictamen. .los controles de sistemas de la organización de servicio. El auditor del cliente debería considerar el alcance del trabajo realizado por el auditor de la organización de servicio y debería evaluar la utilidad y propiedad de los informes emitidos por el auditor de la organización de servicio. Dichos trabajos pueden implicar la realización de procedimientos convenidos por el cliente y su auditor y por la organización de servicio y su auditor. oportunidad y alcance de dichas pruebas proporcionan suficiente evidencia apropiada de auditoría sobre la efectividad de los sistemas de contabilidad y de control interno para soportar el nivel evaluado de riesgo de control por el auditor del cliente. El auditor de una organización de servicio puede ser contratado para desempeñar procedimientos sustantivos que son de uso para un auditor del cliente. Para aquellas pruebas de control y resultados que son relevantes. el auditor del cliente puede también usar el dictamen del auditor de la organización de servicio. Informes del auditor de la organización de servicio Cuando utiliza el dictamen del auditor de una organización de servicio. no deberá hacerse ninguna referencia en el dictamen del auditor del cliente al dictamen del auditor sobre la organización de servicio. el auditor debería considerar hacer averiguaciones concernientes a la competencia profesional del auditor en el contexto de la asignación específica asumida por el director de la organización de servicio.