Auditoría sobre el control intreno del contratista. Objetivo y alcance

La auditoría sobre el control interno del contratista es una parte  de la auditoría de sistemas y procedimientos comentada en el postdel [07/06/2013]

 Objetivos de la auditoría de control interno del contratista 

 El propósito de cada auditoría sobre el control interno del contratista es recoger una evidencia suficiente para expresar una opinión acerca de la suficiencia y fiabilidad de su contabilidad y de la consistencia de los sistemas de gestión y de los controles internos que tiene implantados para cumplir con las normas y regulaciones aplicables y las condiciones del contrato. 

 El objetivo de estas auditorías sobre el control interno es evaluar el «riesgo del control» (véase post del [17/09/2013]) para determinar el grado de confianza que puede ponerse en la contabilidad y los sistemas de gestión del contratista, como una base sólida para planificar el alcance de auditorías ulteriores de costes incurridos, revisiones de ofertas y otras relacionadas. 

 En aquellos casos dónde el auditor puede confiar en el sistema de control del contratista para registrar, procesar, resumir y emitir información de una manera consistente con las regulaciones contractuales, el riesgo de control será considerado bajo. En estos casos el auditor debería poder minimizar la realización de pruebas sustantivas en una auditoría subsiguiente como, por ejemplo, una de costes incurridos. 

 En aquellos casos donde los sistemas de control interno del contratista son inadecuados (de manera completa o en parte), entonces se precisa de una comprobación más extensa en las auditorías de costes incurridos, revisiones de ofertas y otras auditorías relacionadas (de tarifas horarias, por ejemplo). Sin embargo, el auditor debe sugerir al contratista que ponga énfasis en fortalecer la fiabilidad de la contabilidad y la consistencia de sus sistemas de gestión para que, en el futuro, no haya lugar de extender las comprobaciones durante las auditorías individuales de costes incurridos y otras relacionadas. 

 Si un sistema de control interno no ha sido auditado, el riesgo del control de una auditoría subsiguiente debe evaluarse como «alto» y se hace necesario que se fije una auditoría del sistema de gestión y del control interno lo antes posible. Mientras tanto, las pruebas sustantivas deben aumentarse en las auditorías mediatas de costes incurridos y otras relacionadas, para compensar la incapacidad de contar con la certeza de que el contratista dispone de controles internos robustos y fiables. 

 En contratistas con deficiencias de control interno, el auditor debe trabajar con el órgano de contratación y el contratista para conseguir que éste corrija las deficiencias de sus sistemas de control, en lugar de continuar realizando comprobaciones extensas que alargarían ineficazmente los trabajos de las auditorías relacionadas. Cuando el contratista haya corregido las deficiencias o realice cambios en el sistema, el auditor debe dar una prioridad alta a la auditoría sobre el sistema corregido para establecer la confianza en el mismo. El auditor también debe desaconsejar al órgano de contratación que celebre contratos con contratistas que tengan graves deficiencias en sus sistemas de contabilidad, gestión y control internos y que no sean proclives para corregir las deficiencias manifestadas.

 La valoración del auditor sobre el riesgo de control debe ser documentada en los papeles activos de la auditoría sobre el control interno y en el Resumen Interno de Planificación y Control de Auditoría (RIPCA) de las ulteriores relacionadas (por ejemplo en auditorías de costes incurridos) que contienen los papeles de trabajo activos para cada sistema de contabilidad y los de gestión y control interno del archivo permanente. Asimismo, también se requiere una valoración del riesgo de las declaraciones financieras (bases de auditoría) que contienen falsedades debidas al fraude y, por tanto, debe constituirse como parte de la valoración de riesgo de auditoría.

 Como ya se ha dicho en varias ocasiones, y se volverá a recordar a lo largo de este Manual, el descubrimiento de fraude u otra actividad ilegal o impropia del contratista, o del poder adjudicador y sus funcionarios, no es el objetivo primario de la auditoría de contratos. Sin embargo, el auditor debe estar atento a cualquier circunstancia que sugiera que tales situaciones pueden existir para su denuncia.

 Alcance de Auditoría 

 La naturaleza y magnitud del esfuerzo de la auditoría sobre el sistema de control interno dependen del tamaño del contratista y el volumen de negocio que tiene con las Administraciones Públicas (materialidad y representatividad). En cualquier caso el alcance de una auditoría del control interno debe incluir: 

 • La comprensión de los controles internos del contratista, incluyendo los manuales de procedimientos y actividades automatizadas (Tecnologías de la Información), de tal manera que le proporcionen la convicción razonable de que los costes de los contratos son admisibles, es decir asignables de acuerdo con las condiciones del contrato y que los errores materiales se previenen o se descubren a tiempo, siendo corregidos de una manera oportuna; 

 • La documentación de los controles internos del contratista en los papeles activos y los archivos permanentes; 

 • La comprobación de la eficacia operacional de los controles internos del sistema; 

 • La evaluación del riesgo de control, como una base para diseñar las pruebas sustantivas en el esfuerzo de la auditoría de costes incurridos y otras relacionadas subsiguientes; 

 • Información sobre la comprensión de los controles internos, la valoración de riesgo de control y la suficiencia del sistema para los contratos con la Administración; y 

 • Elementos objetivos que permitan ajustar el alcance de las auditorías de costes incurridos y otras relacionadas ulteriores basándose en la fortaleza del control interno y/o debilidades de la contabilidad del contratista y de sus sistemas de gestión auditados. 

 En el establecimiento del alcance de la auditoría de sistemas y del control interno, el auditor debe considerar la naturaleza y magnitud de la documentación disponible de las auditorías de sistema anteriores que haya en el archivo permanente, el esfuerzo de las auditorías de costes incurridos y de otras relacionadas. Una vez que una auditoría comprensiva de la contabilidad de un contratista o de sus sistemas de control y gestión se haya realizado, debe servir como una línea de antecedentes para establecer el alcance de auditorías posteriores de ese sistema. Para aprovechar el trabajo anterior, las auditorías futuras deben dedicarse sólo a cubrir los cambios producidos en los sistemas y en otras áreas identificadas como de riesgo alto. Dichas auditorías subsiguientes también deben incluir pruebas realizadas sobre los controles internos importantes de transacciones seleccionadas, asegurando que los controles se realizan por el contratista y operan eficazmente. Es aconsejable que las pruebas sobre los controles importantes sean realizadas cada dos años, independiente de si ellos se probaron en auditorías inmediatamente anteriores comprensivas de la contabilidad del contratista y de su sistema de gestión. 

 Los resultados de una auditoría sobre los principales sistemas de control interno y de sistemas y tecnologías de la información (TI) y otros sistemas de gestión, deben servir para evaluar las deficiencias de dichos sistemas. El auditor de contratos debe considerar los siguientes elementos del alcance de la auditoría al examinar los controles internos relativos a sistemas individuales de control y de gestión: 

 • Obtención de la descripción escrita del funcionamiento y las operaciones, así como la identificación de todas las políticas del sistema, prácticas y procedimientos. 

 • Obtención de la lista nominal de los empleados que tienen acceso a los datos del sistema, cuyo número debe ser razonable, estar basado en la necesidad y haber sido nombrados apropiadamente, porque cualquiera no debe tener acceso a los datos del sistema y mucho menos poder editarlos. La seguridad adecuada de los controles (lógica y física) debe incorporar límites de acceso a la entrada de los datos, su revisión y las autorizaciones de modificación. La autoridad para hacer los cambios en los datos, archivos y programas debe estar limitada, anotada y estrechamente supervisada. 

 • Obtención de los diagramas de flujo del sistema en donde se describan las características de los datos de entrada, puntos del control internos e informes de salida. Las operaciones del sistema deben verificarse con las políticas, prácticas, procedimientos y mapas de flujo. 

 • Realizar las comprobaciones sobre los controles internos del sistema, las cuales han debido rastrear el flujo de transacciones significativas y los documentos que las soportan, desde la fuente original, a través de la entrada de los datos, hasta todas las fases del proceso interinas y finales. Cualquier diferencia debe resolverse con la contratista.

 La gerencia del contratista tiene la responsabilidad de establecer y mantener controles internos eficaces. Como parte del trabajo preliminar de una auditoría, el contratista debe explicar cómo opera su sistema, qué controles están implantados para lograr los objetivos del control identificados con el sistema y qué métodos se usan para supervisar y evaluar su funcionamiento de manera continuada. El auditor debe contar con la mayor información posible de la valoración que hace el contratista sobre su propio sistema, así como qué esfuerzos de supervisión y comprobación (auditoría interna) de los controles del sistema realiza. 

 Comprender la Contabilidad y los Sistemas de la Gestión del Contratista 

 El primer paso en la evaluación de los controles internos del contratista es obtener una comprensión de la contabilidad y del sistema de gestión. Esta comprensión para evaluar los controles internos implantados le permitirán al auditor diseñar los procedimientos de auditoría pertinentes en otras auditorías posteriores relacionadas, por ejemplo en costes incurridos, de una manera más eficaz y eficiente. Para adquirir un entendiendo básico sobre la contabilidad y el sistema de gestión, el auditor debe: 

 • Considerar los objetivos de la auditoría sobre el control interno y desarrollar un programa de auditoría para cada respectivo sistema de contabilidad y de gestión. 

 • Revisar la descripción del sistema del contratista y toda la documentación relacionada con el mismo; por ejemplo política del sistema y el manual de procedimientos. 

 • Revisar los papeles de trabajo de auditorías anteriores sobre operaciones de control, que se hallan en el archivo permanente. 

 • Hacer las preguntas que sean necesarias al contratista sobre el actual control de gestión que realiza, las supervisiones y el personal que dispone para efectuar dicha función. 

 • Inspeccionar los documentos pertinentes. 

 • Observar y comprobar las operaciones reales del contratista.

 Además, el auditor debe pedir al contratista que le explique aspectos concretos para ayudarle a entender todo el sistema. El auditor debe poder navegar de forma autónoma en los módulos del sistema automatizado de planificación de recursos empresariales («ERP», por sus siglas en inglés, enterprise resource planning), que son sistemas de información gerencial, siendo capaz de rastrear las transacciones desde su origen, pasando por los diferentes procesos, hasta su inclusión en las estimaciones del coste, ofertas de licitaciones e imputaciones o cargos de costes incurridos a los contratos. El auditor también debe observar las actividades de los procesos reales de fabricación o de prestación del servicio y debe examinar los documentos relacionados para validar la comprensión del sistema. El seguimiento de las transacciones seleccionadas a través del sistema automatizado confirmará al auditor la trazabilidad de la operación y su entendimiento, siendo ésta una parte muy importante del proceso de la auditoría y que debe realizarse en aquellos aspectos significativos del sistema. En ocasiones el auditor de contratos puede que necesite solicitar apoyo de personal especializado del órgano de contratación para que realice una auditoría informática del sistema automatizado por el que circulan los datos y las transacciones.

 La magnitud del esfuerzo de la auditoría para alcanzar una comprensión de la contabilidad del contratista y de los sistemas de gestión, es una cuestión de juicio del auditor. Las características que deben ser consideradas incluyen: 

 • El tamaño y complejidad del contratista; 

 • El nivel de experiencia en auditorías anteriores sobre el contratista; 

 • La naturaleza y magnitud de la documentación de los sistemas; 

 • La importancia de costes presupuestados, imputados o cargados al contrato por el sistema; y 

 • La materialidad en relación con cuentas específicas y transacciones manejadas por el sistema. 

 Cuando el auditor haya alcanzado una comprensión adecuada de la contabilidad del contratista y de los sistemas de gestión, todo este trabajo debe quedar documentado en los correspondientes papeles de trabajo y guardados en el archivo permanente para poder ser consultados con posterioridad. Esta documentación se hará realizando formularios de diagramas de flujo del sistema, descripciones narrativas y copias de los documentos pertinentes (extraídos de los sistemas) e informes. El método utilizado para realizar los diagramas y la magnitud de la documentación que se acompaña en los papales de trabajo es una cuestión de juicio profesional del auditor. Sin embargo, la documentación debe proporcionar una información suficiente como para garantizar que el auditor ha conseguido un entendimiento claro de los sistemas que quedan descritos en los papeles de trabajo.

 Determinación sobre si el contratista tiene establecidos Objetivos del Control y si realiza Actividades del Control adecuadas.

 El auditor debe identificar cuáles son los objetivos de control del contratista y que le van a proporcionar la convicción razonable, si es que existen, sobre si están implantados para prevenir errores materiales o aserciones falsas o éstas pueden ser descubiertas y corregidas con prontitud. Los objetivos de control pueden estar clasificados en tres áreas generales: 

 (1) objetivos del control sobre informes financieros, derivados de la contabilidad, que se preocupan de asegurar la preparación de declaraciones (estados) financieros y bases de auditoría fiables, 

 (2) objetivos del control operacionales, que se preocupan de asegurar que los recursos del contratista están usándose de manera eficaz y eficiente, y 

 (3) objetivos de control de cumplimiento, que se preocupan de asegurar que el contratista obedece las normas y regulaciones aplicables (por ejemplo la norma de costes o regulaciones medioambientales). 

 El auditor de contratos enfocará su investigación sobre aspectos relacionados con todos ellos, pues los tres tienen un impacto en los costes de los contratos. 

 En cualquier caso, el auditor del contrato debe estar familiarizado con los objetivos del control del contratista, tanto para la contabilidad como el sistema de gestión, y que deben ser revisados antes de comenzar cualquier auditoría de contratos. 

 El auditor también debe identificar las actividades de control diseñadas específicamente y que deben ser llevadas a cabo por el contratista para lograr cada objetivo de control que haya establecido. Los controles pueden ser manuales o automatizados. En muchos casos las actividades del control se integrarán en un único sistema (ERP) del contratista. Puede resultar necesaria la participación en la auditoría de especialistas en TI,s y ERP’s, para ayudar al auditor a identificar y a entender todos los controles relacionados. 

 Cuando el auditor haya obtenido una comprensión adecuada de los sistemas del contratista, debe hacer una determinación acerca de si las actividades del control internas de dichos sistemas realmente existen, si debe realizar un esfuerzo para poner a prueba y evaluar esos controles y si dicho esfuerzo está contribuyendo a reducir comprobaciones sustantivas en auditorías de costes incurridos u otras auditorías relacionadas que se realicen en el futuro. Por ejemplo, el auditor debe esperar que el coste para comprobar y evaluar el control (o controles) sobre el sistema que registra los de tiempos de la mano de obra directa del contratista ahorran la realización de pruebas sustantivas sobre el tiempo de las hojas de trabajo registrado y cargado a un contrato en auditoría de costes incurridos.

 El auditor también puede determinar que las actividades de control internas no existen o que no está justificado un esfuerzo para realizar pruebas sobre unos controles que son débiles o, simplemente, son inexistentes. En este caso, al no haber ninguna comprobación realizada sobre el sistema de control del contratista, el riesgo de auditoría de costes incurridos, u otras relacionadas, se evaluaría como máximo (alto). Esta valoración de riesgo de control y su razón de fondo debe documentarse en los papeles de trabajo de la auditoría de sistemas y procedimientos y del control interno.

 Si el auditor determina que esas actividades de control interno pueden identificarse y que el esfuerzo para realizar pruebas de esos controles está justificado, entonces debe planificar y realizar las pruebas que considere pertinentes sobre esos procedimientos de control interno del contratista.

 Pruebas sobre los controles internos

 Las comprobaciones de los controles internos implican seleccionar una muestra de transacciones y evaluar si se están ejecutando de conformidad con las políticas y procedimientos del contratista. Estas pruebas sobre los controles deben realizarse para obtener una convicción razonable de que el sistema de control interno del contratista funciona como está previsto. El auditor también realizará pruebas sustantivas que determinen la validez y veracidad de las transacciones contables. Aunque los objetivos de las pruebas sobre el control interno y las pruebas sustantivas sobre las transacciones son diferentes, ambos objetivos se suelen alcanzar simultáneamente a través de pruebas analíticas de detalle que no sólo comprendan una transacción específica, sino que también abarque todo el sistema. Es decir, el auditor puede diseñar una muestra de transacciones que se utilizará con un doble propósito: evaluar el riesgo de control interno y comprobar que el importe monetario registrado de las transacciones es correcto. Estos exámenes determinan si los controles están diseñados adecuadamente y funcionan eficazmente para prevenir o detectar errores materiales en el momento oportuno. Las pruebas de los controles deben realizarse por lo menos cada dos o tres años, pues son necesarias para respaldar una evaluación del riesgo de control calificado como bajo.

 Para obtener evidencia de la eficacia de las actividades realizadas en un control interno particular, el auditor debe efectuar observaciones físicas, realizar preguntas al personal adecuado o inspeccionar la documentación que sea relevante. No hay una prueba específica que sea siempre igualmente necesaria, aplicable y eficaz para todos los casos y en todas las circunstancias. De hecho, normalmente se realiza una combinación de pruebas para proporcionar el nivel necesario de seguridad de que los controles son eficaces. Las transacciones seleccionadas deben ser probadas y la evidencia de auditoría se adquiere para determinar que no existen debilidades potenciales en el sistema de control. El tipo de procedimientos de auditoría seleccionados depende de la naturaleza del control que va a ser probado y los datos disponibles para revisarlo. Por tanto, el auditor de contratos debe diseñar las pruebas de auditoría sobre el control interno y las transacciones que examina adaptadas a las circunstancias particulares del momento.

 La naturaleza del examen está influenciada por el tipo de evidencia material que esta disponible en la verificación del control interno. Así por ejemplo, si el sistema de control interno proporciona una documentación determinada, el auditor puede decidir inspeccionar los documentos. En cada circunstancia el auditor puede obtener evidencia material acerca de la efectividad de las operaciones del control interno mediante la observación o preguntas.

 El momento oportuno para realizar los trabajos de auditoría y el periodo cubierto por la auditoría también deben ser considerados para realizar una selección apropiada de procedimientos de auditoría y comprobaciones del control interno del contratista. La evidencia probatoria debe referirse al período de la auditoría y, a menos que se demuestre documentalmente lo contrario, debe ser obtenida durante el lapso que abarca la auditoría, etapa cuando es más probable que estén disponibles suficientes elementos de corroboración, y no en otro momento posterior o anterior. Cuando la prueba se refiera únicamente a un punto específico en el tiempo, como son los resultados obtenidos en la observación física, el auditor deberá obtener evidencia adicional de que el control también es efectivo durante todo el ciclo de la auditoría y no sólo en el momento de hacer la comprobación específica. Por ejemplo, el auditor puede observar el control interno del contratista en funcionamiento durante todo el período de auditoría e investigar que se hace un uso sin solución de continuidad de los manuales de procedimientos de control interno, para determinar que permanentemente está en funcionamiento el control durante todo el período.

 Después de determinar la naturaleza de los procedimientos de auditoría que deben ser utilizados en las comprobaciones sobre el control interno, el auditor también debe establecer la extensión y profundidad de dichas pruebas que vaya a realizar. Este señalamiento de pruebas es un asunto que el auditor debe hacer tomando en consideración lo siguiente:

 • La información obtenida en el desarrollo de la comprensión de la estructura del control interno del contratista.

 • La naturaleza del control interno que vaya a ser probado,

 • La naturaleza y disponibilidad de materia probatoria, y

 • Los esfuerzos que dedica el contratista en sus propias comprobaciones.

 El alcance de las pruebas también se ve afectado de manera significativa por la experiencia de auditorías anteriores con el contratista. En la mayoría de los casos, donde hay una actividad constante de encargos de auditoría sobre el mismo contratista, los auditores ya habrán obtenido una gran cantidad de conocimientos sobre los controles internos y sus sistemas de gestión. Si éstos se han determinado como fiables en el tiempo de manera continuada, el alcance y profundidad de las pruebas será menor.

<!–[if gte mso 9]> <![endif]–><!–[if gte mso 10]> /* Style Definitions */ table.MsoNormalTable {mso-style-name:»Tabla normal»; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:»»; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:»Times New Roman»; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} <![endif]–>


Original: http://auditoriadecostes.blogspot.com/2014/10/auditoria-sobre-el-control-intreno-del.html
por: Juan Carlos Gómez Guzmán
Publicado: October 17, 2014, 11:12 am

0 Comentarios

Contesta

Licencia Creative Commons Red Social NovaGob, (cc) 2021.

Inicia Sesión con tu Usuario y Contraseña

o    

¿Olvidó sus datos?

Create Account