Cuando se realiza una auditoría, para juzgar la fiabilidad de los procedimientos de control interno de un cliente, primero hay que tener en cuenta los cinco componentes que componen los controles internos. Para cada cliente, usted necesita entender cada componente para planificar su auditoría. Su comprensión de estos componentes le permite comprender el diseño de los controles internos relevantes para la preparación de los estados financieros y le permite ver si cada control interno está realmente en funcionamiento.
Se han establecido muchos modelos para ayudar a sus clientes a identificar y compensar el riesgo de control. La Ley Sarbanes-Oxley de 2002 recomienda el modelo del Comité de Organizaciones Patrocinadoras (COSO) como un medio para que las empresas identifiquen y mitiguen los riesgos que pueden conducir a errores financieros. El modelo COSO es sólo una representación que se puede utilizar, y en su esencia guía a la gerencia a través de la implementación de un marco de control que es mensurable y dirigido a la reducción de riesgos.
Entorno de control: Este término se refiere a la actitud de la compañía, la gerencia y el personal con respecto a los controles internos. ¿Se toman en serio los controles internos o los ignoran? El entorno de su cliente no es muy bueno si, durante sus entrevistas con la gerencia y el personal, usted ve una falta de controles efectivos o nota que las auditorías anteriores muestran muchos errores. Evaluación de riesgos: En pocas palabras, usted debe evaluar si la gerencia ha identificado sus áreas de mayor riesgo e implementado controles para prevenir o detectar errores o fraudes que podrían resultar en errores materiales. Por ejemplo, ¿la gerencia ha considerado el riesgo de transacciones de ingresos o gastos no registrados? Actividades de control: Estas son las políticas y procedimientos que ayudan a asegurar que se cumplan las directrices de la gerencia. Un ejemplo es la política de que todas las compañías que verifican montos superiores a $5,000 requieren dos firmas. Información y comunicación: Hay que entender la tecnología de la información, la contabilidad y los sistemas y procesos de comunicación de la gerencia. Por ejemplo, para salvaguardar los activos, ¿el cliente etiqueta todas las computadoras con etiquetas de identificación y realiza un conteo periódico para asegurarse de que todas las computadoras estén presentes? En cuanto al sistema de contabilidad, ¿es computarizado o manual? Si es computarizado, ¿se establecen niveles de autorización para que los empleados puedan acceder sólo a su pieza del rompecabezas de la contabilidad? En cuanto a los datos, ¿se realizan copias de seguridad con frecuencia y se mantienen fuera del sitio en caso de incendio? Monitoreo: Este componente implica entender cómo la gerencia monitorea sus controles – y cuán efectivo es el monitoreo. Los mejores controles internos no sirven de nada si la empresa no los supervisa y realiza cambios cuando no funcionan. Por ejemplo, si la dirección descubre que faltan ordenadores etiquetados, tiene que establecer mejores controles. El cliente puede necesitar establecer una política de que ningún equipo de computación salga de la instalación sin la aprobación de la gerencia.
