Prueba de controles en auditoría: consejos y mejores prácticas
Probar los controles es un paso crítico en cualquier trabajo de auditoría. Antes de que un auditor pueda confiar en los controles internos de una organización para reducir las pruebas sustantivas, esos controles deben evaluarse para determinar la efectividad del diseño y la efectividad operativa. Una prueba de controles bien ejecutada ahorra tiempo, centra los recursos en áreas de riesgo genuinas y fortalece la opinión general de la auditoría.
¿Qué es una Prueba de Controles?
Una prueba de controles es un procedimiento de auditoría diseñado para evaluar si un control interno está operando efectivamente durante un período determinado. A diferencia de los procedimientos sustantivos, que se centran en detectar errores materiales en saldos de cuentas o transacciones, las pruebas de controles evalúan la confiabilidad de los procesos que previenen o detectan esos errores en primer lugar.
Por ejemplo, si una empresa requiere aprobación gerencial para todas las órdenes de compra que superen un cierto umbral, el auditor probaría si esa aprobación se obtuvo de manera consistente durante el período de auditoría. Si el control es eficaz, el auditor obtiene la seguridad de que es menos probable que las aseveraciones relacionadas de los estados financieros contengan errores.
Cuándo realizar pruebas de controles
Los auditores realizan pruebas de controles cuando planean confiar en los controles internos para reducir la naturaleza, el momento o el alcance de las pruebas sustantivas. Esta decisión se toma durante la fase de planificación después de que el auditor comprende el entorno de control interno de la entidad.
Si los controles parecen estar bien diseñados y el auditor cree que probablemente estén operando de manera efectiva, probar esos controles puede ser más eficiente que realizar procedimientos sustantivos extensos. Sin embargo, si el entorno de control es débil o los controles están mal diseñados, el auditor puede omitir por completo las pruebas de control y proceder directamente a las pruebas sustantivas.
Tipos comunes de pruebas
Consulta implica preguntar al personal responsable de realizar o monitorear un control sobre cómo opera. Si bien la investigación por sí sola rara vez es suficiente, proporciona un contexto útil cuando se combina con otros procedimientos.
La observación requiere que el auditor observe cómo se realiza un control en tiempo real. Esto es efectivo para controles que no dejan evidencia documental, como la segregación de funciones, pero solo proporciona evidencia para el momento específico observado.
Inspección implica examinar documentos, informes o registros en busca de evidencia de que se realizó un control. La revisión de aprobaciones firmadas, aprobaciones de conciliaciones o informes de excepciones son ejemplos de inspección.
La repetición es el método más riguroso. El auditor ejecuta de forma independiente el procedimiento de control para verificar que produce el resultado esperado. Volver a realizar una conciliación bancaria o recalcular la salida de un sistema automatizado son ejemplos comunes.
Mejores prácticas para pruebas de control efectivas
Defina el control con precisión. Antes de realizar la prueba, documente exactamente qué se supone que debe hacer el control, quién lo realiza, con qué frecuencia opera y qué evidencia produce. La ambigüedad en esta etapa conduce a un esfuerzo inútil.
Seleccione tamaños de muestra apropiados. La frecuencia del control dicta el tamaño de la muestra. Un control diario requiere una muestra mayor que uno trimestral. Las normas de auditoría brindan orientación sobre los tamaños mínimos de muestra según el nivel de seguridad deseado.
Documente las desviaciones con cuidado. Cuando un control no funciona como se esperaba, registre la naturaleza de la desviación, su impacto potencial y si representa un incidente aislado o una falla sistémica. Una sola desviación en una muestra grande puede no socavar la confianza en el control, pero un patrón de desviaciones sí lo hará.
Coordinar con el cliente con antelación. Solicitar la documentación de respaldo con mucha antelación. Los retrasos en la recepción de pruebas son una de las causas más comunes de excesos en los plazos de las auditorías.
Aproveche la tecnología. Las pruebas de control manual requieren mucho tiempo. Las herramientas que automatizan el cotejo, la extracción y el cotejo documental pueden reducir drásticamente las horas dedicadas a los procedimientos de inspección y repetición.
Vincular las pruebas de control con el riesgo de auditoría
Los resultados de las pruebas de control influyen directamente en la evaluación del riesgo de control por parte del auditor. Cuando los controles operan eficazmente, el riesgo de control disminuye, lo que permite al auditor reducir el alcance de los procedimientos sustantivos. Cuando los controles fallan, el auditor debe compensarlo ampliando las pruebas sustantivas para mantener un nivel aceptablemente bajo de riesgo de auditoría.
Esta relación subraya por qué las pruebas de control no son un ejercicio de casillas de verificación. Es una decisión estratégica que da forma a todo el enfoque de auditoría.
Acelere sus pruebas de control con Blast Audit, el complemento de Excel que automatiza la comparación y extracción de documentos para los auditores.