La auditoría interna

La palabra «auditoría» nos lleva a pensar en «inspecciones», «verificaciones», «controles». Es por ello
que no todas las veces es bien recibida la idea de ser «auditado» por otro, ya que implica una revisión y
la emisión de un juicio sobre el trabajo o actividades realizadas por otro.

En el recorrido hasta este punto, hemos estudiado en profundidad todo lo vinculado a auditoría externa,
pero quizás han escuchado hablar de la «auditoría interna». ¿Cuál será la diferencia entre una y otra? ¿Se
vincularán de alguna manera? A lo largo de este módulo trataremos de dar respuesta a estos
interrogantes.

LECCIÓN 1 de 2

Presentación del caso

La empresa GANOARGENTINO S. A. se fundó en 20X0 por dos productores agropecuarios de La Pampa
(Domingo Funes y Jorge Romero); se dedica a la fabricación de embutidos y congelación de carnes. En ambos
casos, se emplea una marca única, la cual se ha posicionado como un referente de calidad intermedia en carnes. La
comercialización se efectúa en el mercado interno a través de vendedores propios en la región central del país. Sus
clientes en el mercado interno son establecimientos medianos y pequeños de la cadena minorista, sector que se
encuentra en crisis dado el aumento significativo de los precios.

La empresa fue creciendo sostenidamente desde su creación, pero su estructura no acompañó adecuadamente
dicho crecimiento. Los acuerdos con clientes se realizaban de manera muy sencilla e informal, no se encontraban
definidos claramente responsabilidades y responsables, y en ocasiones, la presencia de superposición de decisiones
entre los propietarios.

A raíz de ellos, los propietarios vieron la necesidad de contratar una consultora que rediseñara la estructura de la
organización, elaborara un manual de procesos sujeto a los riesgos de negocios identificados por Domingo y Jorge.

En el año 2015 se contrató a un auditor interno, Roberto Juárez, como empleado de la entidad, cuyo lugar en la
organización sería el siguiente:
 Figura 1: Organigrama

LECCIÓN 2 de 2

Auditoría interna: concepto

La auditoría interna es una función independiente dentro de la organización, que tiene como objeto examinar y
evaluar la eficiencia y efectividad de su sistema de control interno y su calidad de funcionamiento. Está concebida
para agregar valor, mejora las operaciones y ayuda a la organización a cumplir sus objetivos.

El Institute of Internal Auditors define a la auditoría interna como:

… una actividad independiente y objetiva de aseguramiento y consulta que agrega valor y

mejora las operaciones de una organización. [Asimismo,] ayuda a una organización a cumplir
sus objetivos aportando un enfoque sistémico y disciplinado para evaluar y mejora la eficacia de
los procesos de gestión de riesgos, control y gobierno.

Realizado por profesionales con una comprensión profunda de la cultura, los sistemas y los procesos de negocios,
la actividad de auditoría interna garantiza que los controles internos establecidos sean adecuados para mitigar los
riesgos, que los procesos de gobierno sean efectivos y eficientes, y que las metas y objetivos de la organización
sean cumplidos.

Un poco de historia
Nace con posterioridad a la auditoría externa por la necesidad de mantener un control permanente y más eficaz
dentro de la empresa.

La necesidad de una auditoría interna se pone de manifiesto en una empresa a medida que esta aumenta en
volumen, extensión geográfica y complejidad, y hace imposible el control directo de las operaciones por parte de
la dirección.
En 1941, se reúnen un grupo de profesionales en Florida, Estados Unidos, y forman el Institute of Internal
Auditors (www.theiia.org), el cual comienza a regular la actividad cuando emite normativas a seguir por parte de
los grupos de auditoría interna.

Antonio Lattuca hace referencia al mencionado Instituto en el siguiente fragmento:

Con fecha 1° de enero de 2004 el Instituto de Auditores Internos puso en vigencia las Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna, cuyos propósitos son:

1. Definir principios básicos que representen el ejercicio de la auditoría interna.

2. Promover un marco para el ejercicio y promoción de las actividades de auditoría interna que
agregan valor a la función.

3. Establecer las bases para evaluar el desempeño de la auditoría interna.

4. Fomentar la mejora en los procesos y operaciones de la organización.

En 1960 en Argentina, se forma el Instituto de Auditores Internos de la Argentina. Su misión primordial es

prestigiar la profesión en el ámbito nacional, brindando programas para el desarrollo profesional y normas para el
ejercicio de auditoría interna.

Características de la auditoría interna

En general, aunque no es mandatorio, las funciones de auditoría interna son realizadas por empleados en relación
de dependencia de la entidad, con la debida independencia y jerarquía respecto de aquellos responsables
cuyas actividades deben ser controladas. Es conveniente que dependan directamente de los encargados del
gobierno de la entidad.

La característica esencial que debe reunir el auditor interno es la de independencia. Se entiende a la

«independencia» como la libertad de condicionamientos que amenazan la capacidad de la actividad de llevar a
cabo las responsabilidades de forma neutral.

Es por ello que el auditor interno debe ser independiente (i) de la actividad que se encuentra auditando y (ii) del
lugar ocupado en la estructura organizacional.

Asimismo, es importante que la auditoría interna tenga una actitud imparcial y neutral evitando cualquier conflicto de
intereses (objetividad).
 ¿Qué es el control interno?
El control interno es un proceso llevado a cabo por el Directorio, Gerencia y demás personal de una entidad,
diseñado para proveer una seguridad razonable, que logra la eficacia y eficiencia de las operaciones, la
confiabilidad de la información financiera y el cumplimiento con leyes y regulaciones aplicables.

A continuación, se describen estas categorías:

Operacionales: Eficacia y eficiencia de las operaciones. Se dirige a los objetivos empresariales y

operacionales básicos de la entidad, y se refiere al uso eficiente de recursos, incluyendo su
rentabilidad, y previniendo la pérdida de bienes y recursos (salvaguarda de activos) en adhesión a
las políticas de la Dirección.

Información financiera: Confiabilidad de la información financiera. Incluye la preparación de sus

estados contables y cualquier información que tome estado público, que sea informada o presentada
por la empresa; evita fraudes y errores potenciales que pudieren afectar su reputación.

Cumplimiento: Cumplimiento de las leyes y normas aplicables. Este es un aspecto que suele ser
muy dinámico. En el caso de las grandes organizaciones, asimismo, puede ser complejo.

Analizada la definición de control interno en detalle, es importante destacar cuál es la importancia para una
organización, independientemente de su tamaño, de estar dotada de un buen sistema de control interno, y en
tal sentido podemos decir que los controles internos:

fomentan la eficiencia;

reducen el riesgo de pérdida de valor de los activos; y

contribuyen a asegurar la fiabilidad de los estados financieros y la observancia de las leyes y normas
vigentes.
De este modo, un buen sistema de control interno debería asegurar lo siguiente:

Solo se inician, ejecutan y registran transacciones autorizadas;

Todas las transacciones autorizadas se inician, ejecutan y registran; y

Errores en la ejecución y registración se detectan y corrigen.

Es importante destacar que el sistema de control interno es responsabilidad de la administración del ente, como lo
es la emisión de los estados contables. Asimismo, es independiente de la auditoría externa, aunque resulta muy
importante para el auditor evaluar su funcionamiento, pues influye decisivamente en la naturaleza, el alcance y la
oportunidad de sus pruebas de auditoría, lo cual veremos más adelante en este módulo.

Componentes del control interno

Para entender el control interno, nos basaremos en el Informe COSO, que fuera realizado en 1992 por el
Comimittee of Sponsoring Organizations of Treadway Commission (COSO). Este comité (grupo de trabajo) fue
organizado en 1985 en Estados Unidos de América por los representantes de la National Commission on
Fraudulent Financial Reporting, que está constituida por cinco grandes asociaciones: i) American Accounting
Association (AAA), ii) American Institute of Certified Public Accountants (AICPA), iii) Financial Executive
Institute (FEI), iv) The Institute of Internal Auditors (IIA), y v) Institute of Management Accountants (IMA), la que
fue creada con la finalidad de identificar los factores que originan la presentación de información financiera falsa o
fraudulenta y emitir las recomendaciones que garantizasen la máxima transparencia informativa en tal sentido.

El objetivo de este informe era que los administradores y altos directivos prestaran especial atención al control
interno y se resalta la importancia de que este sea un proceso integrado que forme parte de los procesos de negocio
y no constituya en un mecanismo burocrático añadido a este. Los conceptos vertidos en este informe son de suma
importancia para ser aplicados por los auditores internos y externos.

En mayo de 2013, COSO publicó una actualización al Internal Control – Integrated Framework (Marco de
Referencia de Control Interno). Esta actualización está orientada a lo siguiente: i) clarificar los requerimientos de
un sistema de control interno efectivo; ii) actualizar el contexto para la aplicación del control interno a la luz de los
cambios globales en negocios y entornos operacionales; y iii) ampliar su aplicación tras la expansión de los
objetivos de las operaciones y el reporte.
El nuevo framework (marco de referencia) no modifica sustancialmente los fundamentos centrales del marco
original, pero formaliza conceptos fundamentales incluidos en el marco original.

De acuerdo al informe COSO, los componentes del sistema de control interno de una organización se presentan en
el siguiente gráfico, donde en las barras horizontales contienen los componentes del sistema de control interno de
la organización (es lo que se necesita para alcanzar los objetivos), mientras que, en la parte superior, se encuentran
los tres objetivos (que es lo que la entidad se esfuerza por alcanzar) que el correcto funcionamiento de estos
componentes permitirá alcanzar:

Figura 2: Componentes de control según COSO

Los cinco componentes que se detallan en el cuadro precedente se encuentran interrelacionados entre sí y los
desarrollaremos a continuación:

1 Ambiente de control: Es la esencia de los otros componentes del control interno. Marca la pauta
definida por la dirección referida al funcionamiento y al comportamiento de una organización.
Establece la cultura de la organización con respecto a los controles, ya que influencia la
concientización de su gente con relación al control.

Aporta el ambiente donde las personas desarrollan sus actividades.

 Los factores del ambiente de control incluyen:

i) La honradez, la integridad, la ética en los negocios y la competencia del personal de la

organización, y

ii) La filosofía de la gerencia y su estilo, la forma en la que delega su autoridad y responsabilidad

y cómo gestiona y desarrolla profesionalmente a su personal.

2 Evaluación de los riesgos: Es importante que todas las entidades identifiquen y evalúen los riesgos
externos e internos que la afectan o que potencialmente podría afectarla para alcanzar sus objetivos,
para, de ese modo, poder gestionarlos.

Una vez identificados los riesgos, estos deben ser analizados. Las metodologías de análisis de
riesgos pueden variar, pero un proceso estándar básicamente incluirá los siguientes pasos:

-Una estimación de la importancia del riesgo;

-Una evaluación de la probabilidad de que se materialice el riesgo, y
-Un análisis de cómo ha de gestionarse el riesgo, es decir, de las medidas que convendrá adoptar en
cada circunstancia.

3 Actividades de control: Implica los mecanismos y los procedimientos que contribuyen a cerciorar
de que se elaboren las directivas de la dirección y la gerencia, y que se lleven a cabo las acciones
necesarias para gerenciar los riesgos que afectan el logro de los objetivos de la empresa.

Las actividades de control se realizan en toda la organización, en todos los niveles y en todas las
funciones; pueden incluir actividades tan variadas como autorizaciones, verificaciones, conciliaciones,
revisión de rentabilidad operativa, análisis efectuados por la dirección (como el cotejo de los
resultados obtenidos con los presupuestos, los resultados de ejercicios anteriores y de los
competidores, entre otros), separación de funciones e inspecciones oculares.

4 Información y comunicación: La información relevante debe ser recopilada y comunicada de forma y

plazos tales que permitan a cada integrante de la empresa cumplir con las responsabilidades
asignadas. La información por recoger debe ser de la naturaleza que la dirección haya considerado
relevante para la gestión del negocio. Los sistemas de información producen datos operativos,
financieros y los correspondientes al cumplimiento con los que se hace posible dirigir y controlar el
negocio en forma adecuada. Estos sistemas no solo se refieren a la información generada
internamente, sino también a la información externa que se necesita a la hora de la toma de
decisiones de gestión o la presentación de información a terceros. Asimismo, la comunicación de la
información debe hacerse de forma eficaz y en todas las direcciones por toda la organización (tanto
de arriba hacia abajo como a la inversa y también de forma transversal).
 5 Monitoreo: Los sistemas de control deben funcionar adecuadamente a través del tiempo; esto se
logra mediante actividades de monitoreo o supervisión, que comprueban que el funcionamiento
adecuado y el rendimiento del sistema se mantienen a lo largo del tiempo.

Los cinco componentes antes descriptos vinculados entre sí generan una sinergia y forman un sistema integrado
que responde de una manera dinámica a las circunstancias cambiantes del entorno. El control interno puede
colaborar para que una entidad cumpla sus objetivos (de rentabilidad y rendimiento, de conservación de recursos y
de obtención de información confiable y acatamiento de leyes y normas aplicables evitando efectos perjudiciales para su
reputación y otros efectos), es decir, que puede ayudar a una entidad a llegar a donde quiera, ya que evita peligros
y sorpresas, pero NO asegura el cumplimiento de los objetivos empresariales ni asegura que la entidad sobreviva,
mientras que tampoco asegura la fiabilidad de la información financiera, ya que solo brinda seguridad razonable.

Cumplimiento del control interno

Antonio Lattuca describe las funciones principales de la auditoría interna en el siguiente fragmento:

Revisión de operaciones para verificar su concordancia con las políticas y procedimientos

establecidos por la organización.

Control de los activos a través de los registros y comprobaciones físicas.

Revisión de las políticas y procedimientos de la organización con miras a evaluar efectividad.

Revisión de la concordancia entre los procedimientos contables y las normas contables vigentes.

La auditoría interna permite asegurar el cumplimiento de las políticas de control interno definidas por la entidad.

El control interno se diseña, implementa y mantiene para cubrir los riesgos de negocios identificados, que
amenazan el logro de cualquiera de los objetivos de la entidad relacionado con lo siguiente:

1 Confiabilidad de la información financiera;

2 Eficacia y eficiencia de las operaciones; y

3 Cumplimiento de leyes y regulaciones aplicables.

 La auditoría interna (parte 2)
A lo largo de este módulo, veremos las características principales de la auditoría interna, su
encuadramiento normativo, sus ámbitos de aplicación y las responsabilidades que implica
para el profesional que se desenvuelve en esta área.

LECCIÓN 1 de 2

Presentación del caso

En este capítulo, continuaremos trabajando con la empresa Gano argentino S.A., que vimos en la lectura N.° 1.

El auditor interno ha hecho un primer relevamiento del ciclo ingresos/cuentas por cobrar y ha identificado los
siguientes controles relevantes:

CI-01: Las facturas son generadas solo al comparar la orden de compra y los documentos de envío. El proceso de
control de concordancia de estos soportes se realiza vía sistema, el cual identifica la orden de compra y el
documento de envío y genera una factura dentro de los niveles de tolerancia establecidos.

CI-02: Solo se pueden generar facturas para clientes que existen en el archivo maestro de clientes. El acceso para
agregar, cambiar o eliminar información del archivo maestro del cliente está limitado al personal autorizado.

CI-03: Los envíos de las mercaderías a los clientes son registrados en una planilla de control. El registro se usa
para asegurar que todos los envíos son facturados y que todas las facturas son registradas.

CI-04: Las facturas son generadas desde el sistema, que tiene una interfaz directa con el libro mayor, que, como
resultado, emite una factura registrada como venta en el libro mayor al generarla.

CI-05: La traducción de las ventas extranjeras y de las cuentas por cobrar denominadas en moneda extranjera es
preparada por el personal del staff y revisada/aprobada por la gerencia. El análisis revisado/aprobado por la
gerencia incluye la documentación de soporte para el cálculo de la tasa de traducción.

CI-06: La conciliación mensual que se realiza entre cuentas por cobrar, en el libro mayor, y cuentas por cobrar, en
el libro auxiliar, es revisado por la gerencia. Cualquier partida conciliable es revisada y abordada de forma
oportuna.
CI-07: Los límites de crédito son establecidos por el gerente de finanzas de acuerdo a la capacidad de pago del
cliente y los resultados de cobro pasados, que se revisan regularmente.

De las pruebas realizadas para verificar cómo funcionan estos controles, se han detectado los siguientes
desvíos/deficiencias:

Juan Miranda (jefe contable) preparó la conciliación de cuentas por cobrar en los meses
seleccionados de enero, febrero y marzo. Sin embargo, en enero no lo realizó, ya que estaba de
vacaciones para la fecha de cierre mensual.

Se detectó que, en el mes de febrero, se realizó una venta a un primo hermano de Domingo Funes,
por lo que Ramiro Toledo (gerente de finanzas) autorizó que se le duplique el límite de crédito por
el parentesco con el dueño.

Sofía Castañeda, asistente contable, es quien prepara el ajuste de saldos en moneda extranjera para
su adecuada valuación al cierre mensual, en las muestras revisadas se identificó la firma de Ramiro
Toledo (gerente de finanzas) como evidencia de su revisión en enero y febrero. Sin embargo, a partir
del mes de marzo no se conservó ningún soporte, ya que solo se presentaban unos saldos de deuda
en moneda extranjera, por lo que el ajuste por tipo de cambio era muy sencillo.

En el caso de ausencia, el supervisor comercial (Marcelo Llanes) es reemplazado por el gerente

comercial (Francisco Centeno).

El sistema ERP de facturación y cuentas por cobrar de Ganoargentino S.A. ha sido adquirido hace 5
años y, anualmente, de acuerdo a la garantía, el vendedor del sistema realiza verificaciones de calidad.
En el presente año, se ha finalizado la garantía por lo que dicha verificación no fue realizada.

La planilla de control de envíos de mercadería es realizada por fuera del sistema, consiste en una
planilla de Excel que se encuentra en una carpeta compartida del sistema y a la cual puede acceder
la gerencia comercial, logística y finanzas.

De acuerdo al plan de auditoría interna fijado entre Roberto, Domingo y Jorge, se acordó la elaboración de un
informe tras completar el relevamiento por ciclo de negocios establecido en el plan, lo que implica un informe por
trimestre.
LECCIÓN 2 de 2

Marco teórico/normativo
Estatuto social

De acuerdo a la Ley General de Sociedades, en su artículo N.° 36, los derechos y obligaciones de los socios

empiezan desde la fecha fijada en el contrato de sociedad1. El estatuto social es, justamente, ese contrato que le da
la vida jurídica a esa sociedad, donde se incluyen las reglas que los miembros fundadores acordaron para regular
tanto sus relaciones como las que tendrán con la sociedad.

Es un documento formal escrito que, a su vez, define el propósito, autoridad y responsabilidad de la actividad de
auditoría interna. Establece la posición de la actividad de auditoría interna dentro de la organización, autoriza el
acceso a los registros, al personal y a los bienes pertinentes para la ejecución de los trabajos y define el ámbito de
actuación de las actividades de auditoría interna.

Encuadre normativo

Para el ejercicio de la auditoría interna, el profesional no cuenta con un esquema de aplicación obligatorio como
el auditor externo. Sin embargo, es aconsejable que considere los lineamientos establecidos por:

Las normas para el ejercicio profesional de auditoría interna impartido por el Instituto Argentino
de Auditores Internos;

El código de ética de la entidad en la que se desempeñe y del Instituto Argentino de

Auditores Internos; y

Los consejos para la práctica profesional de la auditoría interna.

 Tipos de auditoría interna
Figura 1: Tipos de auditoría interna

Auditoría financiera/contable: Diseñada para verificar información contable. Por ejemplo, en las
cuentas por cobrar, la antigüedad de cobro, las partidas sin conciliar a una fecha determinada, los
saldos incobrables, etc. En el caso de cuentas de inventarios, participar del recuento específico de
algún depósito o a una fecha distinta al cierre, etc.

Auditoría operativa: Utilizada para revisar y evaluar la eficiencia y eficacia de métodos y

procedimientos de la entidad.

Auditoría administrativa: Evalúa el cumplimiento de objetivos, calidad de la función auditada,

nivel de decisiones, desempeño, gestión.

Adicionalmente, existe una nueva corriente respecto a la auditoría social, que evalúa el nivel de empleo, rotación,
condiciones de trabajo, contribuciones a la comunidad, contaminación, empleo a minorías, relación con el
consumidor, etc.
 Responsabilidad del auditor interno

Entre las principales responsabilidades del auditor interno pueden mencionarse las siguientes:

Informar y aconsejar a la administración y desempeñar su responsabilidad conforme al código de

ética del Instituto de Auditores Interno y el de la entidad en la que se desempeñe (responsabilidad
ética).

Coordinar sus actividades con la de otros, a fin de lograr con eficiencia los objetivos de la auditoría
y los objetivos de la organización (responsabilidad profesional).

La responsabilidad del auditor tiene que estar claramente definida en el estatuto o en la política
gerencial de la compañía (responsabilidad laboral).

El auditor interno no tiene responsabilidad directa ni autoridad sobre las actividades que revisa.

Adicionalmente, se agrega sobre las responsabilidades, lo siguiente:

Responsabilidad ética: Mantener reserva sobre la consecuencia de su trabajo sobre el personal o

las funciones de la entidad. Asumir compromisos acordes a sus conocimientos técnicos.

Responsabilidad profesional: Se refiere a las condiciones personales para una adecuada relación
y comunicación con la entidad, independencia de criterio, reserva en la información.

Condiciones técnicas: Incluye los conocimientos específicos, control interno, nivel de observación
entrenado, capacidad lógica, etc.

Condiciones de información: Se refiere a informar con claridad y precisión las

observaciones/sugerencias. El informe de auditoría interna es el resultado de su trabajo y el auditor
interno es responsable de su contenido.
Andrea Mabel Grondona –socia del Instituto de Auditores Internos de Argentina– directora del Comité de
Sostenibilidad, describió la importancia y el rol del auditor interno en los siguientes términos:

Entonces, ¿el auditor no debe “transpirar la camiseta” por la empresa? Más bien, debería
“quemarse las neuronas” desde afuera de la cancha para, entre otras cosas:

– Observar que la cancha esté correctamente delimitada y que las reglas de juego sean claras;
que no hayan corrido el arco ni que haya dos pelotas rodando.

– Verificar que se sepa qué se espera de cada puesto y que cada jugador conozca las
responsabilidades del puesto que ocupa.

– Velar porque se juegue limpio y haya cultura de cumplimiento de las reglas. Y que el alto
rendimiento del equipo vaya acompañado de la ética profesional, tanto en titulares como en
suplentes. Revisar lista de sanciones, dopajes positivos, historial de faltas de cada jugador,
cantidad de offsides, cómo resuelven momentos decisivos, chances desaprovechadas, etc.

– Realizar revisiones exhaustivas que velen por la transparencia en la administración de

recursos de cada proceso.

– Verificar el sistema de control interno, identificar fallas en lo individual y en lo colectivo.

Observar la circulación del balón como un proceso. No detenerse a analizar con esmero cada
córner, lateral, pase, tiro libre o penal mal ejecutados, sino estudiar la secuencia de jugadas a
través de los partidos y la reincidencia de los hallazgos.

– Planificar y trabajar de manera sistemática y sistémica. No quedarse con fotos aisladas de

testeos tradicionales, trabajar con revisiones continuas y generar análisis comparativos y de
tendencias, alertas e indicadores de control. Es tarde para ver los errores graves en pleno
partido, es necesario anticiparse a los desvíos potencialmente significativos.

– Evaluar, entonces, que exista y funcione un monitoreo por parte de las otras líneas de defensa,
adaptando la estrategia de auditoría según su grado de madurez. Detectar amenazas inadvertidas
por las otras instancias, o mitigantes que ya no las cubren cómo se esperaba que lo hicieran.
Persuadir en la toma de decisiones oportunas sobre los flancos desprotegidos.

– Evaluar la gestión integral de riesgos. Tácticas defensivas eficientes nos pueden liberar
recursos para las ofensivas, pero también hay que defender en ataque y evitar descuidos. Los
recursos son finitos y los esfuerzos se deben direccionar en base a un buen mapa de riesgos, a
fin de tener el balón bajo control a nivel equipo.
– Observar el funcionamiento de otros equipos e identificar mejores prácticas. Recordar que la
suma de individualidades puede no representar un equipo. Es clave la integración y la sinergia
hacia la consecución de objetivos; un ambiente de control sólido coadyuvará a esa causa.

– Trabajar antes y después de los 90 minutos de juego. Conocer la estrategia de cada partido en
forma previa. Al finalizar, evaluar resultados y repercusiones en distintos ámbitos (vestuario,
tribuna, medios, redes sociales, etc.).

– Observar cómo se mueve el poder dentro de la cancha y considerar los factores externos que
pueden condicionar el desempeño del equipo. Comenzar a pensar en una “auditoría holística”
que contemple los objetivos múltiples en conflicto, mirando las expectativas de los distintos
stakeholders y la complejidad de gobierno en un contexto de sostenibilidad.

En definitiva, el auditor que pretenda suplir al arquero u otras líneas de defensa estaría
desvirtuando su verdadero rol. Debe fomentar el desarrollo de las otras instancias necesarias y
posicionarse desde afuera de la cancha para comunicar sus resultados con independencia.

Un auditor que trabaje con pasión y aporte valor es lo que todo equipo competitivo necesita
para pelear el campeonato con sus “espaldas cubiertas”. Y que pueda brindar aseguramiento de
lo que está correctamente establecido e instituirse en un asesor de confianza sobre lo que sea
necesario modificar.

Para emitir opiniones que quizás no desean ser escuchadas y sentarse en “la mesa chica” a
sensibilizar sobre los cambios que hacen falta, se requiere sin duda de conocimiento y coraje,
cualidades requeridas para todo buen profesional, tanto en el fútbol como en el mundo
organizacional.
 Informe de auditoría interna
El informe de auditoría interna constituye el resultado de todo el proceso de trabajo realizado. Es importante que
este refleje, de forma clara y efectiva, los resultados y hallazgos identificados durante el periodo abarcado por
dicho informe. Es el “producto tangible” que la administración del ente puede ver del trabajo que ha realizado.

La frecuencia y contenido están determinados por el plan de auditoría fijado entre el directorio y el departamento
de auditoría interna.

También, se puede ver influenciado por la importancia de la información a ser comunicada y las urgencias de las
acciones a seguir.
 Relación entre la auditoría interna y externa
A lo largo de este módulo, hemos visto en detalle en qué consiste la auditoría interna y
cuáles son los beneficios de obtenerla para la entidad. En esta lectura, veremos de qué
manera se relaciona el trabajo del auditor interno con la auditoría externa.

LECCIÓN 1 de 1

Presentación del caso

En este capítulo, continuaremos trabajando con la empresa Gano argentino S. A., que vimos en las lecturas 1 y 2.

Figura 1: La interacción entre el trabajo del auditor interno y externo

Como ya hemos mencionado en módulos anteriores, el objetivo principal del auditor externo es expresar una
opinión sobre si los estados contables han sido preparados en todos sus aspectos significativos, de acuerdo con el
marco normativo contable aplicable. Para formarse dicha opinión, debe planificar y realizar procedimientos de
auditoría sobre aquellas cuentas contables/rubros contables sobre los que haya definido riesgos de error material.

Por otro lado, a lo largo de este módulo, hemos visto que el principal objetivo de la auditoría interna es examinar y
evaluar la eficiencia y la efectividad de su sistema de control interno y su calidad de funcionamiento, agregando
valor a la compañía, mejorando sus operaciones y ayudando al cumplimiento de los objetivos de la entidad.
Entonces, ¿por qué no utilizar el trabajo y el conocimiento que posee el auditor interno de la compañía para
planificar las tareas de auditoría externa?

Ahora bien, es el auditor externo el que decidirá el grado a utilizar del trabajo de los auditores internos, ya que la
opinión sobre los estados contables es responsabilidad pura y exclusiva del auditor externo (AE), la cual no se ve
reducida por el uso del trabajo de la auditoría interna (AI).

Figura 2: Evaluación sobre el auditor interno

Para decidir si se podrá utilizar el trabajo de auditoría interna, el auditor externo evaluará si efectivamente existe
una comunicación adecuada entre ambos auditores que permita la obtención de toda la información necesaria.
También, deberá evaluar si el auditor interno es objetivo e independiente respecto de aquellos responsables cuyas
actividades deben ser controladas y si posee las capacidades técnicas adecuadas para realizar su trabajo.

Una vez realizada la mencionada evaluación, el auditor externo podrá considerar utilizar el trabajo del auditor interno
para su propia auditoría externa.

En el caso del enunciado, dado que el auditor interno depende del Departamento de Finanzas (área sobre la cual
realizará principalmente sus tareas de auditoría) no se cumple el criterio de independencia y, por lo tanto,
automáticamente deberá ser descartado su trabajo para utilizarlo en la auditoría externa.
 ¿Qué procedimientos deben efectuarse sobre el trabajo del auditor interno?

El auditor externo deberá evaluar y realizar procedimientos de auditoría sobre el trabajo del auditor interno. Por
ejemplo: (i) examen de partidas ya revisadas por el auditor interno, (ii) examen de otras partidas similares, (iii)
observación de procedimientos realizados por el auditor interno.

Una vez finalizada dicha revisión, el auditor externo deberá concluir acerca del trabajo realizado por el auditor
interno y deberá dejar todo documentado en sus papeles de trabajo.

Utilización del trabajo de auditoría interna

Como ya hemos mencionado, una de las principales tareas del auditor interno es relevar los controles relevantes de
los ciclos de negocio de la entidad, evaluar si están correctamente diseñados y verificar que se estén
implementando y estén funcionando correctamente (eficacia operativa). También, su función es recomendar
nuevos controles para lograr mantener, en toda la organización, un adecuado control interno.

Por otro lado, el auditor externo también debe evaluar el control interno de la compañía y, en aquellos ciclos en los
que verifique que los controles relevantes están correctamente diseñados, implementados y que funcionan
correctamente (eficacia operativa), podrá disminuir los procedimientos de auditoría.

Lo mismo sucede cuando el auditor externo utiliza el trabajo de auditoría interna para verificar que los controles
relevantes están correctamente diseñados, implementados y funcionan correctamente. De este modo, si verifica tal
situación, podrá disminuir los procedimientos a realizar sobre determinadas cuentas y afirmaciones.

En el caso del enunciado, el siguiente control detectado por el auditor interno, si es que el mismo ha verificado que
esté correctamente diseñado, implementado y que funciona correctamente, le permitirá al auditor interno disminuir
sus procedimientos sobre la cuenta «Ventas» y, específicamente, en la afirmación/aseveración «integridad».

CI-04: Las facturas son generadas desde el sistema que tiene una interfaz directa con el libro mayor, lo que resulta
en la emisión de una factura registrada como venta en el libro mayor al emitirla.
 En base al caso del enunciado, asocia los controles relevantes con las cuentas contables, afirmaciones/aseveraciones
y riesgos de auditoría externa:

Control Relevante Cuenta Contable Afirmación Riesgo

CI-01: Las facturas son generadas solo al comparar la orden de compra y los documentos de envío. Las facturas emitidas y registradas
El proceso del control de concordancia de estos soportes se realiza vía sistema, el cual Ventas Existencia no se relacionan con ventas/envíos
identifica la orden de compra y el documento de envío, y genera una factura dentro de los niveles de tolerancia establecidos. válidos.

CI-02: Solo se pueden generar facturas para clientes que existen en el archivo maestro de clientes. Se generan facturas y se
El acceso para agregar, cambiar o eliminar información del archivo maestro del cliente está limitado a personal autorizado. Ventas Existencia registran ventas para envíos a clientes
ficticios.

CI-03: Los envíos de las mercaderías a los clientes son registrados en una planilla de control.
Integridad Las mercancías son enviadas a
El registro se usa para determinar que todos los envíos son facturados y que todas las facturas son registradas. los clientes y no se genera factura.

CI-04: Las facturas son generadas desde el sistema que tiene una interfaz directa con el libro mayor, lo que resulta Las facturas se emiten al cliente
Ventas Integridad
en la emisión de una factura registrada como venta en el libro mayor para emitirla pero no se registran.

CI-05: La traducción de las ventas extranjeras y las cuentas por cobrar denominadas en moneda extranjera es preparada Las ventas extranjeras y las
por el personal del staff y revisada/aprobada por la gerencia. El análisis revisado/aprobado por la gerencia incluye la Exactitud cuentas por cobrar denominadas
Ventas
documentación de soporte para el cálculo de la tasa de traducción. Clasificación en moneda extranjera se traducen
a la tasa de cambio incorrecta.

CI-06: La conciliación mensual que se realiza entre cuentas por cobrar en el libro mayor y cuentas por cobrar en el libro Integridad Las cuentas por cobrar declaradas
auxiliar, es revisada por la gerencia. Cualquier partida conciliable es revisada y abordada de forma oportuna. Existencia en el libro mayor no se pueden conciliar
Cuentas por
Der. y Obl. con los registros de cuentas por cobrar
cobrar
Valuación o la conciliación contiene partidas
Clasificación inválidas.

CI-07: Los límites de crédito son establecidos por el gerente de finanzas con base en la capacidad de pago del cliente Las ventas se hacen a clientes con
y los resultados de cobro pasados, y se revisan regularmente. Valuación poco crédito que pueden afectar los
Cuentas por
y criterios de reconocimiento de ingresos
cobrar
Clasificación cumplidos y el castigo final de cuentas
incobrables.
 Auditoría en ambientes informatizados
En esta lectura, veremos cómo afecta la auditoría de sistemas como soporte de la
auditoría externa.

LECCIÓN 1 de 4

Presentación del caso

Presentación del caso

En este capítulo, continuaremos trabajando con la empresa Gano argentino S. A. que vimos en las lecturas anteriores.

Rol y misión de la auditoría de sistemas

El objetivo de una auditoría de estados contables es permitir expresar una opinión sobre si esos estados contables reflejan,
razonablemente, la situación de la compañía y si son presentados de acuerdo a normas vigentes.

El objetivo de la auditoría de sistemas, cuando se realizan tareas de “soporte para auditoría”, es proveer de elementos de
juicio para determinar si los controles vigentes alrededor del ambiente de computación (controles del área de sistemas,
elementos de tecnología informática, información que fluye por la red, aplicaciones con impacto contable, etc.) contribuyen a
la confiabilidad de esos estados contables o no y, sobre la base de dicha información, asistir al equipo de auditoría en el
enfoque a utilizar.

El rol de la tecnología de la información (TI)

¿Por qué las compañías utilizan la tecnología de la información?

La TI le permite al esquema de control interno de una entidad:

 Aplicar reglas de negocios predefinidas de forma consistente y ejecutar transacciones complejas en grandes
volúmenes de información.

 Mejorar la oportunidad, disponibilidad y exactitud de la información.

 Facilitar el análisis de la información.

 Mejorar la posibilidad de monitorear el desempeño de las actividades, políticas y procedimientos.

 Reducir el riesgo de que ciertos controles puedan ser evitados (no cumplidos).
 Incrementar la posibilidad de lograr una adecuada segregación de funciones, implementación de controles de
seguridad en las aplicaciones, bases de datos y sistemas operativos.
 Elementos básicos de TI. Principales componentes

Existen cuatro elementos que hacen al entendimiento básico de un ambiente de TI:

1
Red: Establece una capa de seguridad física para todos los recursos dentro de la organización. Ejemplo:
Cisco, NetGear y CheckPoint.

2
Sistema operativo: Administra las comunicaciones (entrada/salida) entre el hardware y las aplicaciones.
Ejemplo: Windows, Unix, Linux, AS/400, etc.

3
Base de datos: Almacena los datos utilizados por las aplicaciones. Ejemplo: Oracle, Sybase y
SQL.

4
Aplicación: Les permite a los usuarios almacenar/recuperar datos en una forma específica y aplicar a ellos
reglas de negocios. Ejemplo: SAP, JD Edwards y Hyperion.

El ambiente de procesamiento de la entidad incluye a los sistemas que soportan el procesamiento de la información
financiera (donde debemos obtener confianza en los controles).

Controles generales de tecnología informática (CGTI)

Son controles relacionados al ambiente de procesamiento de datos en donde las aplicaciones son desarrolladas, mantenidas y
operadas.

Principalmente, los CGTI se refieren a aquellas actividades relacionadas con:

Los controles de cambios a programas;

Los controles que restringen al acceso a programas o datos:

Los controles para la implementación de nuevo software en la red; y

Los controles por software que restringen el acceso/uso de utilitarios sensibles que podrían alterar los datos
financieros sin dejar rastro de dicha actividad.

Los controles generales del computador (GCC) se subdividen en cinco áreas fácilmente identificables:
Tabla 1: Áreas de GCC

Los GCC son evaluados para cada uno de los elementos de tecnología:

Tabla 2: CGTI y los elementos de tecnología

Controles manuales y automáticos

Los controles manuales son ejecutados por un ser humano. Ejemplos:

El gerente reconcilia las ventas realizadas vs. el dinero ingresado por ventas en el día.

El personal de seguridad del aeropuerto compara su identificación con la información del boarding pass.

En el caso del enunciado, el siguiente control es manual:

CI-05: La traducción de las ventas extranjeras y las cuentas por cobrar denominadas en moneda extranjera
es preparada por el personal del staff y revisada/aprobada por la gerencia. El análisis revisado/aprobado por
la gerencia incluye la documentación de soporte para el cálculo de la tasa de traducción.
Los controles automáticos son ejecutados por un sistema de computadora o por un robot. Ejemplos:

Control de validez de datos en el ingreso de una transacción (por ejemplo, la validación de código postal, CUIT,
etc.).

Triple macheo entre orden de compra, factura de proveedor y recepción de materiales.

En el caso del enunciado, el siguiente control es automático:

CI-04: las facturas son generadas desde el sistema, que tiene una interfaz directa con el libro mayor, lo que resulta en la emisión de
una factura registrada como venta en el libro mayor al emitirla.

Los controles automáticos están integrados en los sistemas de aplicación y pueden incluir opciones configurables, algoritmos
automatizados, cálculos automáticos y extracciones de datos automatizadas.

Dichos controles se prueban para determinar si están diseñados, implementados de manera efectiva y si funcionan
correctamente.

Dado que las pruebas de los controles automatizados suelen ser de un momento determinado, también se someten a prueba
los GITC para que proporcionen evidencia de que los controles automatizados operan de forma consistente durante todo el
período de auditoría.

Los controles automatizados suelen ser más confiables que los controles manuales, dada la naturaleza de su procesamiento.
LECCIÓN 2 de 4

Información preparada por la empresa (IPE)

¿Qué son las IPE?

La información preparada por la empresa implica el procesamiento de los datos almacenados en una base de datos.

¿Qué tipos de IPE existen?

La información utilizada por la compañía para la ejecución de un control (por ejemplo, el listado de permisos de usuarios y
los listados de antigüedad de cuentas por cobrar, para preparar la previsión de deudores de cobro dudoso).

La información preparada por la compañía y utilizada por el auditor para llevar a cabo sus pruebas de auditoría (los listados
de saldos de proveedores, para preparar la confirmación de saldos, y el listado de antigüedad de mercadería, para revisar la
previsión por obsolescencia de inventario).

¿Cómo se valida una IPE?

La validación de una IPE consiste en verificar su integridad y precisión/exactitud. Para dicha tarea, se consideran tres aspectos:

Parámetros;

Lógica de reporte;

Fuente de datos.
LECCIÓN 3 de 4

Ejecución de pruebas
Los auditores deben identificar información suficiente, confiable, relevante y práctica, para cumplir con los objetivos
del compromiso de auditoría.

Los tipos de prueba sobre los controles (manuales o automáticos) son los siguientes:

1
Observación

Ejemplo: observar cómo se realiza la recepción de mercaderías.

2
Indagación

Ejemplo: entrevistar a diferentes empleados, en distintas ocasiones, a fin de confirmar los hechos relevados.

3
Inspección

Ejemplo: solicitar una muestra sobre el universo de alta de clientes, a fin de verificar la documentación de
soporte y las autorizaciones para el alta.

4
Re-proceso del control

Ejemplo: reprocesar la amortización de los activos, recalcular los intereses por mora en cobranzas.
LECCIÓN 4 de 4

Conclusión de la auditoría
Una vez que se ejecutan las pruebas de auditoría sobre los controles, se identifica si existen fallas o deficiencias. Si un
control falla, entonces, un riesgo de auditoría no estaría cubierto y la información que surge del sistema podría no ser confiable.

Podría identificarse otro control para cubrir el riesgo de que el control anterior falle, en caso de que no hubiera otro control,
se evalúa el impacto en la auditoría externa (siempre considerar que el equipo de sistemas apoya al de auditoría externa de
los estados contables de la Compañía). Adicionalmente, el equipo de auditoría externa podría modificar su planificación por
los hallazgos del equipo de auditoría de sistemas.

En el caso de Ganoargentino S. A. y, específicamente relacionado a el sistema ERP de facturación y cuentas por cobrar de
Ganoargentino, ha sido adquirido hace 5 años y, anualmente de acuerdo a la garantía, el vendedor del sistema realiza
verificaciones de calidad. En el presente año, se ha finalizado la garantía, por lo que dicha verificación no fue realizada.
Dicha deficiencia desvalida todos los controles automáticos del sistema. En este caso, es clave la auditoría de sistemas para
validar que los controles que surgen del sistema funcionen adecuadamente.

Las deficiencias identificadas deben clasificarse en:

Figura 1: Deficiencias