Evaluación del control interno en la auditoría de cuentas

Vista previa del material en texto

Presupuesto y Gasto Público 91/2018: 153-168 
Secretaría de Estado de Presupuestos y Gastos
© 2018, Instituto de Estudios Fiscales
Evaluación del control interno en la auditoría de cuentas
MERCEDES E. LEBRANCÓN CORTÉS
Intervención General de la Administración del Estado 
Ministerio de Hacienda
Jefe de División de la Oficina Nacional de Auditoría
Recibido: Abril 2018 
Aceptado: Mayo 2018 
Resumen
Las sociedades modernas demandan cada vez más organizaciones y gestores públicos responsables, eficientes y 
eficaces en el manejo de los recursos que se les encomienda, sometidas a la obligación de rendición de cuentas y 
transparencia de la información que generan. Ello supone el establecimiento de sistemas de control que deben ser 
evaluados por los auditores públicos como palanca de mejora en la información que generan las entidades y en la 
generación de valor público.
Palabras clave: Control interno, evaluación, rendición de cuentas, transparencia, riesgos financieros y gestión de 
riesgos, auditoría.
Clasificación JEL: G32, M42.
Abstract
Modern societies increasingly demand public organizations and managers responsible, efficient and effective in the 
management of the resources entrusted to them, subject to the obligation of accountability and transparency of the 
information they generate. This implies the establishment of control systems that must be evaluated by public audi-
tors as a lever to improve the information generated by the entities and in the generation of public value.
Key words: Internal control, assesment, accountability, transparency, Financial Risk and Risk Management, Auditing.
JEL Classification: G32, M42.
1. Introducción
Una de las principales labores a las que se enfrenta cualquier auditor de cuentas anuales 
reside en el diseño de la estrategia global de auditoría, como mecanismo para optimizar su 
labor como profesional que emite una opinión cualificada, sometida a normas metodológicas 
exhaustivas y exigentes, sobre la información económica financiera que presentan las enti-
dades de forma que permitan reflejar la imagen fiel en el uso de los recursos y disponer de 
información útil y oportuna para la toma de decisiones. Esta línea es general para todas las 
entidades y organizaciones, de cualquier tipología y configuración, si bien, si hablamos de 
entidades de naturaleza pública, toma especial relevancia la finalidad de transparencia que va 
unida a la representación económico-patrimonial de la gestión financiera de los recursos em-
pleados por dichas entidades. En este ámbito, existe una ecuación que necesariamente debe 
154 Mercedes E. Lebrancón Cortés
ser evaluada en el proceso de diseño de la estrategia de auditoría por el auditor, de un lado, 
el control interno que haya establecido cualquier entidad y de otro los mecanismos que debe 
utilizar el auditor de cara a evaluar correctamente dicho control interno para realizar su labor.
Cuando abordamos estas cuestiones, conviene detenerse en el entendimiento de dos 
conceptos que van completamente imbricados en el trabajo a considerar por un auditor: con-
trol interno y evaluación del mismo.
Una acepción común del control interno es aquella que lo define como un conjunto de 
áreas funcionales en una entidad y de acciones especializadas en la comunicación y el control 
en el seno de la misma. No obstante, son múltiples las referencias que podemos encontrar 
en la normativa específica en el sector de auditoría. Así las Normas de Auditoría del Sector 
Público, aprobadas por Resolución de la Intervención General de la Administración del Es-
tado, de 1 de septiembre de 1998, pioneras en el ámbito público, ya delimitaron el concepto 
del control interno configurándolo como el plan de organización y el conjunto de medidas, 
métodos y procedimientos que se establecen en una entidad con el objetivo de salvaguardar 
y proteger los activos y recursos; asegurar la fiabilidad e integridad de la información; asegu-
rar el cumplimiento de toda la normativa aplicable; garantizar una gestión eficiente y eficaz 
de los recursos públicos; y garantizar que se logren de manera eficaz y eficiente las metas y 
objetivos establecidos en los programas.
En el ámbito internacional, son diversas las referencias que podemos encontrar, entre 
ellas, la NIA 315 «Identificación y valoración de los riesgos de incorrección material me-
diante el conocimiento de la entidad y de su entorno», considera el control interno como el 
proceso diseñado, implementado y mantenido por los responsables del gobierno de la enti-
dad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable 
sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información 
financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las 
disposiciones legales y reglamentarias aplicables. 
Si nos detenemos en la definición que otorga la «Guía para las normas de control interno 
del sector público» (INTOSAI, 2004) de INTOSAI, el control interno se define como un pro-
ceso integral efectuado por la gerencia y el personal, diseñado para enfrentarse a los riesgos 
y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se 
alcanzarán los siguientes objetivos gerenciales:
• Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones.
• Cumplimiento de las obligaciones de responsabilidad.
• Cumplimiento de las leyes y regulaciones aplicables.
• Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.
El control interno, por tanto, es un proceso integral y dinámico que requiere de adap-
taciones constantes a los cambios a los que se enfrenta cualquier organización. Ello supone 
que los responsables y el personal de todo nivel deben estar involucrados en este proceso 
para enfrentarse a los riesgos y para dar seguridad razonable sobre el logro de la misión de la 
institución y de sus objetivos.
Evaluación del control interno en la auditoría de cuentas 155
2. Responsabilidad sobre el control interno de los responsables 
públicos 
A la vista de las definiciones conceptuales reseñadas, parece claro que la responsabili-
dad sobre el diseño y el establecimiento de los sistemas de control interno en las organiza-
ciones para alcanzar sus objetivos reside y debe emanar de sus máximos responsables y de 
la alta dirección imbricándose a todos los niveles (horizontal y verticalmente) a lo largo de 
la organización.
En el ámbito público se han ido reforzando normativamente las responsabilidades de 
los gestores públicos en cuanto a los procesos de rendición de cuentas, transparencia y jus-
tificación en el empleo de recursos. A este respecto, basta ver entre otras, recientes normas 
como la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno 
que ha establecido requerimientos específicos en este sentido o la reciente Ley 40/2015, de 
1 de octubre, de Régimen Jurídico del Sector Público cuyo fin parte de la necesidad de dotar 
a nuestro sistema legal de un derecho administrativo sistemático, coherente y ordenado, en 
base a los resultados emanados del informe aprobado por la CORA y responde de manera 
específica, por un lado, a regular la legislación básica sobre el régimen jurídico administrati-
vo, aplicable a todas las Administraciones Públicas; y por otro, el régimen jurídico específico 
de la Administración General del Estado, donde se incluye tanto la llamada Administración 
institucional, como la Administración periférica del Estado. 
En dicha ley, encontramos una mención expresa y concreta, en su artículo 90, que alude 
a la responsabilidad de los gestores públicos en el sentido indicado. Señala dicho precepto 
que la dirección del organismo público debe establecer un modelo de control orientado a 
conseguir una seguridad razonable en el cumplimiento de sus objetivos. Es consustancial, 
por tanto, a la propia naturaleza de entidad pública, que el sistema decontrol interno debería 
contemplar entre sus objetivos, el de generación de información financiera válida, íntegra y 
fiable.
Es en dicho proceso de rendición de cuentas anuales y transparencia de la gestión pú-
blica, donde toma importancia, por tanto, la evaluación del control interno que establecen las 
entidades públicas para la generación de dicha información financiera.
No obstante, no es menos cierto que a pesar de que existen múltiples marcos metodo-
lógicos, muchos de los cuales se inspiran en el modelo definido por el Committee of Spon-
soring Organizations of the Treadway Commission (COSO), al que a continuación nos refe-
riremos, no está muy extendida aún en la cultura de las organizaciones públicas la necesidad 
de abordar procesos que de forma estratégica e integrada ayuden a tener explicitados de 
forma expresa los sistemas de control interno ni existan documentos descriptivos estructu-
rados sobre el análisis de los riesgos que afectan a los objetivos estratégicos, operativos, de 
cumplimiento, y de generación de información financiera y contable, entre otros. Existe aún 
un déficit de cultura respecto de la evaluación de riesgos en las organizaciones públicas.
En este camino, un paso adicional que ha dado recientemente el legislador y ahonda 
en la responsabilidad de los gestores públicos focalizándolo en la evitación del fraude en 
el seno de las organizaciones la encontramos en la Ley Orgánica 5/2010, del Código Penal 
que incorporó a nuestro marco normativo la responsabilidad penal de la persona jurídica. 
156 Mercedes E. Lebrancón Cortés
Posteriormente, ha sido la Ley Orgánica 1/2015 de 30 de marzo cuya entrada en vigor se 
produjo el 1 de julio de 2015, la que ha venido a concretar las circunstancias para la exigencia 
y exención de dicha responsabilidad en el caso de la persona jurídica y ha incluido expresa-
mente en su ámbito de aplicación a las sociedades mercantiles públicas.
La nueva regulación supone una fuerte exigencia y compromiso con la prevención de 
los riesgos penales en el seno de las organizaciones, también las públicas, y establece la 
necesidad de que las mismas establezcan sistemas de control interno, mediante programas y 
acciones que impliquen a todas las personas y profesionales en la cultura del cumplimiento. 
La propia ley ha establecido mecanismos que actúan de eximentes respecto de las penas apli-
cables, los cuales se articulan sobre las siguientes líneas:
• Adopción y ejecución con eficacia y previos a la materialización del riesgo, por el 
órgano de administración de modelos de organización y gestión que incluyan me-
didas de vigilancia y control idóneas para la prevención de la comisión de delitos o 
para reducir significativamente el riesgo.
• Atribución de la supervisión del funcionamiento y del cumplimiento del modelo de 
prevención implantado a un órgano dentro de la organización, con poderes autóno-
mos de iniciativa y control.
• El riesgo debe haberse materializado eludiendo fraudulentamente los modelos de 
organización o prevención.
• No debe haberse producido una omisión o ejercicio insuficiente en las funciones de 
supervisión, vigilancia y control.
Todos estos elementos en los que se concretan los sistemas de control para la prevención 
de riesgos penales, en tanto que referidos al ámbito de la evaluación y prevención de fraudes, 
podría llevar al lector a pensar que su referencia específica pueda no ser de aplicación o de 
aplicación muy limitada al ámbito de la rendición de cuentas anuales si bien interesa poner el 
énfasis en que todos ellos se sustentan sobre elementos o componentes del control interno así 
como, en el foco que el legislador ha querido señalar en torno a la responsabilidad que tienen 
los gestores públicos en el diseño y establecimiento del sistema de control interno. Este es-
quema sin ser quizá tan explícito en el ámbito de la generación de información financiera no 
es por tanto, de menor aplicación y significación.
En este sentido, encontramos también referencias en la normativa de aplicación a la 
auditoría de los estados financieros que realizan los auditores públicos, que han de tener en 
cuenta una especial exigencia en relación con los riesgos de incumplimiento legal y fraude 
y, en consecuencia, una mayor profundización en la descripción y valoración del control 
interno relacionado con esta materia. Correlativamente, ello implica un mayor y mejor co-
nocimiento del marco legal que afecta a la entidad auditada, tanto el que le aplica de forma 
específica (materia contable, presupuestaria, etc.), como la materia legal por la que se puede 
ver afectada de forma más o menos directa.
La Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) es-
tablece en la ISSAI 1240 (Párrafo P4) que «En una auditoría financiera en el sector público 
los objetivos van más allá de la emisión de una opinión sobre si los estados financieros han 
Evaluación del control interno en la auditoría de cuentas 157
sido elaborados, en todos sus aspectos significativos, de acuerdo con el marco de informa-
ción financiera aplicable (es decir, el alcance de las NIA).
El mandato de auditoría derivado de leyes, reglamentos, órdenes ministeriales, exigen-
cias de política pública o resoluciones del poder legislativo puede contener objetivos adicio-
nales, entre ellos obligaciones de auditoría o de información, cuando los auditores del sector 
público hayan detectado falta de conformidad con las normas en cuestiones presupuestarias 
o de rendición de cuentas, o informen sobre la eficacia del control interno. Sin embargo, aun 
no existiendo objetivos adicionales, los ciudadanos pueden esperar de los auditores del sec-
tor público que notifiquen cualquier caso de falta de conformidad con las normas que hayan 
detectado durante la auditoría o informen sobre la eficacia del control interno. Los auditores 
del sector público han de tomar en consideración estas obligaciones suplementarias, y los 
riesgos de fraude conexos, al planificar y ejecutar la auditoría.»
3. Marcos de referencia para el establecimiento del control interno
Los sistemas de control interno de cualquier organización y por ende, de las entidades 
públicas variarán en función de la estructura y complejidad de las mismas, del sector en el 
que operan, de su dimensión, de su exposición a operaciones vinculadas con otras entidades, 
de las obligaciones de rendición de cuentas, individuales y/o consolidadas, etc. Podemos 
encontrar referencias comunes en distintos marcos metodológicos que pueden orientar su es-
tablecimiento, si bien el referente más extendido lo constituye el marco integrado elaborado 
por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) en 1992.
El informe COSO define el control interno como «Las normas, los procedimientos, las 
prácticas y estructuras organizativas diseñadas para proporcionar seguridad razonable de 
que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se 
detectarán y se corregirán».
El marco integral definido por COSO se fundamenta en cinco componentes básicos de 
control interno:
• Entorno de control.
• Evaluación de riesgos.
• Actividades de control.
• Información y comunicación.
• Supervisión.
Hay una relación directa entre los objetivos de una entidad y los controles que implanta 
para suministrar información sobre su realización. No obstante, conviene indicar que no to-
dos los controles que establece una entidad tienen interés directo para la auditoría financiera. 
El auditor se focalizará en los relacionados con la información financiera, las operaciones y 
el cumplimiento de la normativa, la integridad y corrección de la información generada o los 
controles sobre la protección de los activos contra las adquisiciones, uso o disposición no 
autorizados.
158 Mercedes E. Lebrancón Cortés
El marco integrado COSO fue actualizado en 2013, estableciendo 17 principios desa-
rrollados a partir de los cinco componentes de control internoexistentes en la versión original 
del enfoque. El establecimiento de los principios ayuda a codificar los principales parámetros 
de COSO y a explicar lo que constituye un control eficaz. Ello supone ampliar, por tanto, el 
análisis de los componentes para dar entrada a un mayor detalle en la identificación de los 
eventos que constituyen riesgos, su evaluación y las respuestas de la organización. En el 
Cuadro 1 se delimitan dichos principios.
Cuadro 1
Principios del marco integrado de control interno COSO
Entorno de control
La organización:
1. La organización demuestra un compromiso con la 
integridad y los valores éticos.
2. El consejo de administración demuestra independen-
cia de la gerencia y ejerce la supervisión del desarrollo 
y el desempeño del control interno.
3. Bajo la supervisión del consejo de administración, la 
gerencia establece estructuras, lineamientos para la pre-
sentación de informes, y las autoridades y responsabili-
dades correspondientes en pos del logro de los objetivos.
4. La organización demuestra su compromiso para 
atraer, desarrollar y retener a los individuos competen-
tes en coordinación con los objetivos.
5. La organización exige a los individuos que asuman 
sus propias responsabilidades por el control interno en 
pos del logro de los objetivos
Actividades de control
La organización:
10. Selecciona y desarrolla actividades de control que 
contribuyen a mitigar los riesgos relacionados con el 
logro de los objetivos a niveles aceptables.
11. Selecciona y desarrolla actividades de control ge-
neral sobre la tecnología para apoyar el logro de los 
objetivos.
12. Implementa actividades de control a través de po-
líticas que establecen los pasos a seguir y los procedi-
mientos que transforman las políticas en acción.
Evaluación de riesgos
La organización:
6. Establece los objetivos con la claridad suficiente para 
permitir la identificación y la evaluación de los riesgos 
relacionados con los objetivos.
7. Identifica los riesgos relacionados con el logro de 
sus objetivos en toda la entidad y analiza los riesgos 
como punto de partida para determinar cómo se van 
a gestionar.
8. Considera la posibilidad de fraude al evaluar los ries-
gos relacionados con el logro de los objetivos.
9. Identifica y evalúa los cambios que podrían impactar 
significativamente en el sistema de control interno.
 
Información y comunicación
La organización:
13. Obtiene o genera y usa información relevante y de 
calidad que respalde el funcionamiento del control in-
terno.
14. Comunica la información internamente (incluidos 
los objetivos y las responsabilidades por el control in-
terno) necesaria para respaldar el funcionamiento del 
control interno.
15. Se comunica con terceros externos respecto de 
asuntos que afectan el funcionamiento del control in-
terno.
Vigilancia de actividades
La organización:
16. Selecciona, desarrolla e implementa evaluaciones 
continuas y separadas para asegurar que los compo-
nentes de control interno estén presentes y funcionen 
correctamente.
17. Evalúa y comunica oportunamente las deficiencias 
de control interno a las partes responsables de tomar 
las medidas correctivas, incluida la alta dirección y el 
consejo de administración, según corresponda.
Fuente: Larry E. Rittenberg – Internal Auditor. 2013. 
Evaluación del control interno en la auditoría de cuentas 159
Recientemente, en junio de 2017, se ha publicado una nueva actualización del enfoque 
integrado de COSO. El nuevo marco –denominado ‘Enterprise Risk Management–Integra-
ting With Strategy and Performance’– se basa en el Marco Integrado de Gestión de Riesgos 
Empresariales de 2004 y ahonda en los procesos de gestión de riesgos y su evaluación. 
Un segundo marco metodológico de referencia a considerar lo constituye el modelo 
PIFC (Public Internal Financial Control) desarrollado por la Comisión Europea. Su finalidad 
fue proporcionar un modelo estructurado y operativo para asistir a los gobiernos en el redise-
ño de sus sistemas de control interno haciéndolos compatibles con los estándares internacio-
nales y las mejores prácticas a nivel europeo.
En el Cuadro 2 se incluyen los pilares fundamentales y las fases de implementación 
recomendadas por el sistema PIFC. 
Cuadro 2
Pilares del PIFC
Pilares fundamentales PIF Fases implementación
Responsabilidad de la gerencia en el establecimiento de 
políticas operativas y sistemas de control interno utili-
zando como herramienta el análisis de riesgos. Esto es 
tarea de los responsables de las unidades y no de las 
unidades de auditoría interna.
Conceptualización del sistema y de sus elementos bá-
sicos.
Unidad de auditoría interna funcionalmente indepen-
diente y reportando al máximo nivel de la dirección 
de la organización. Nunca involucradas en tareas de 
gestión y revisando los sistemas de control interno de 
la entidad de cara a detectar debilidades en el mismo.
Desarrollo estructura organizativa.
Existencia de una unidad central armonizadora que im-
pulse y conduzca el cambio en el modelo de control 
mediante desarrollo de metodologías y estándares en 
relación con los pilares anteriores.
Establecimiento y desarrollo del marco legal.
Política de desarrollo del personal.
Fuente: Elaboración propia.
4. Referencias para el auditor en la evaluación del control interno 
en la auditoría de cuentas anuales
Una primera referencia en el ámbito público la encontramos en las Normas de Audito-
ría del Sector Público (apartado 5 Control Interno) que establecen que deberá efectuarse un 
estudio y una evaluación adecuada del control interno para determinar su grado de confianza 
y en base a ello planificar la auditoría, determinando el alcance y la naturaleza, el momento 
y la extensión de las pruebas a realizar.
El control interno en su sentido más amplio se puede subdividir de acuerdo con los 
aspectos a los que se dirija, contemplándose entre los mismos, los controles contable-finan-
cieros, que comprenden el plan de organización y todos los métodos y procedimientos cuyo 
objetivo es la salvaguarda de los activos y la fiabilidad de los registros contables-financieros; 
160 Mercedes E. Lebrancón Cortés
y el control de cumplimiento de la entidad, como conjunto de métodos y procedimientos 
destinados a detectar si se cumple toda la normativa de aplicación, dado que el alcance de 
una auditoría de cuentas en el sector público suele ser más amplio por los requerimientos 
inherentes a la propia naturaleza de las entidades.
El control interno contable se debe relacionar con cada una de las etapas de las que se 
compone una transacción, comprendiendo su autorización, ejecución, registro y finalmente la 
responsabilidad respecto a la salvaguarda y custodia de los activos que en su caso resulten de 
dicha transacción, garantizándose que han sido clasificados en las cuentas apropiadas. Dentro 
del control interno contable-financiero, habrá que prestar especial atención a los controles de 
protección y custodia de activos que son aquellos relativos a la prevención y detección opor-
tuna de transacciones y accesos no autorizados a los activos que pudieran generar pérdidas 
con significación en los estados financieros.
La entidad deberá tener perfectamente determinado a través de las correspondientes 
instrucciones de la dirección a quién corresponde autorizar cada operación, y qué requisitos 
y procedimientos deben seguirse en la adquisición, empleo y disposición de cada uno de los 
activos. Adicionalmente, las entidades públicas pueden estar sometidas a un régimen presu-
puestario de carácter limitativo y a disposiciones legales y normativas de carácter general o 
específico que obligan a la propia dirección de la entidad, por lo que los controles de protec-
ción deberán diseñarse de manera que puedan prever y detectar los incumplimientos de estas 
normas a la hora de adquirir, usar o disponer de estos activos. 
Si acudimos al ámbito internacional, dos son las referencias fundamentales que ofrecen 
pautas al auditor de cuentas, la NIA 300«Planificación de la auditoría de estados financieros» 
(o NIA-ES 300 adaptada para su aplicación en España mediante Resolución del Instituto de 
Contabilidad y Auditoría de Cuentas de 15 de octubre de 2013) y la NIA 315 «Identificación 
y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad 
y de su entorno» (o NIA-ES 315 respectivamente).
De acuerdo con la NIA-ES 300, el planteamiento de los procedimientos de auditoría debe 
tener en cuenta si la auditoría se realiza por primera vez o se trata de una auditoría recurrente. 
La realización de una auditoría recurrente no ha de impedir la implementación de una planifi-
cación correcta, pero evita la repetición de algunos procedimientos o los hace innecesarios (es 
lo que se denomina «rotación de énfasis»). Todo trabajo, sea nuevo o sea recurrente, ha de estar 
convenientemente planificado y documentado en los papeles de trabajo. Pero evidentemente 
sobre aquellas cuestiones que resulten invariables no es preciso volver a hacer trabajo con tal 
de que se encuentre documentada la cuestión y su invariabilidad en los papeles de trabajo.
Entre los factores significativos y actividades preliminares sobre los que el auditor debe 
poner el foco en la evaluación del control interno, destacan:
• Los resultados de las auditorías anteriores que evaluaron la eficacia operativa del 
control interno, incluida la naturaleza de las deficiencias identificadas y las medidas 
adoptadas para tratarlas.
• La evidencia del compromiso de la dirección con el diseño, la implementación y el 
mantenimiento de un control interno sólido, incluida la evidencia de una documen-
tación adecuada de dicho control interno. 
Evaluación del control interno en la auditoría de cuentas 161
• El volumen de las transacciones, que puede determinar si resulta más eficiente para 
el auditor confiar en el control interno.
• La importancia concedida al control interno en toda la entidad para el buen funcio-
namiento del negocio. 
Por su parte la NIA-ES 315 cuando habla del control interno de la entidad señala que el 
auditor deberá obtener conocimiento del control interno relevante para la auditoría. Si bien 
es probable que la mayoría de los controles relevantes para la auditoría estén relacionados 
con la información financiera, no todos los controles relativos a la información financiera 
son relevantes para la auditoría. El hecho de que un control, considerado individualmente 
o en combinación con otros, sea o no relevante para la auditoría es una cuestión de juicio 
profesional del auditor. 
Al obtener conocimiento de los controles relevantes para la auditoría, el auditor tendrá 
que evaluar el diseño de dichos controles y determinar si se han implementado y funcionan 
correctamente, mediante la aplicación de procedimientos adicionales a la indagación realiza-
da entre el personal de la entidad. 
Dicha norma define claramente qué actividades debe realizar el auditor para evaluar 
cada uno de los componentes del control interno (tomando como referencia COSO). 
4.1. Entorno de control 
El auditor debe obtener conocimiento del entorno de control debiendo evaluar, como 
parte de este conocimiento, si: 
• la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha 
establecido y mantenido una cultura de honestidad y de comportamiento ético; y 
si 
• los puntos fuertes del entorno de control proporcionan en conjunto una base adecua-
da para los demás componentes del control interno y si estos otros componentes, a 
su vez, no están menoscabados como consecuencia de deficiencias en el entorno de 
control. 
4.2. Evaluación de riesgos por la entidad
El auditor deberá obtener conocimiento de si la entidad ha establecido un proceso para: 
• la identificación de los riesgos de negocio relevantes para los objetivos de la infor-
mación financiera; 
• la estimación de la importancia de los riesgos; 
• la valoración de su probabilidad de ocurrencia; y 
• la toma de decisiones para minimizar o mitigar dichos riesgos.
A su vez, la norma diferencia entre dos situaciones:
162 Mercedes E. Lebrancón Cortés
• Si la entidad ha establecido dicho proceso, el auditor obtendrá conocimiento de tal 
proceso y de sus resultados. 
• Por el contrario, si la entidad no ha establecido dicho proceso, el auditor discutirá con 
la dirección si han sido identificados riesgos de negocio relevantes para los objetivos 
de la información financiera y el modo en que se les ha dado respuesta, debiendo va-
lorar si es adecuada, en función de las circunstancias, la ausencia de un proceso de va-
loración del riesgo documentado. En caso contrario, determinará si ello constituye una 
deficiencia significativa en el control interno que incluso pudiera afectar a la opinión. 
4.3. El sistema de información, incluidos los procesos de negocio relacionados, 
relevante para la información financiera, y la comunicación
El auditor deberá obtener conocimiento del sistema de información relevante para la 
información financiera, incluyendo: 
• los tipos de transacciones que son significativos para los estados financieros; 
• los procedimientos, relativos tanto a las tecnologías de la información (TI) como 
a los sistemas manuales, mediante los que dichas transacciones se inician, se re-
gistran, se procesan, se corrigen en caso necesario, se trasladan al libro mayor y se 
incluyen en los estados financieros; 
• los registros contables relacionados, la información auxiliar que sirve de soporte 
y las cuentas específicas de los estados financieros que son utilizados para iniciar, 
registrar y procesar transacciones e informar sobre ellas; 
• el modo en que el sistema de información captura los hechos y condiciones, distin-
tos de las transacciones, significativos para los estados financieros; 
• el proceso de información financiera utilizado para la preparación de los estados 
financieros de la entidad, incluidas las estimaciones contables y la información a 
revelar significativas; y 
• los controles sobre los asientos en el libro diario, incluidos aquellos asientos que no 
son estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o 
inusuales. 
Asimismo, el auditor deberá conocer y evaluar el modo en que la entidad comunica las 
funciones y responsabilidades relativas a la información financiera y las cuestiones significa-
tivas relacionadas con dicha información financiera, incluidas las: 
• comunicaciones entre la dirección y los responsables del gobierno de la entidad; y 
• comunicaciones externas, tales como las realizadas con los organismos reguladores. 
4.4. Actividades de control relevantes para la auditoría 
Por lo que respecta a este aspecto, el auditor deberá obtener conocimiento de las activi-
dades de control relevantes para la auditoría, entendiendo por tales aquellas que, a su juicio, 
Evaluación del control interno en la auditoría de cuentas 163
es necesario conocer para valorar los riesgos de incorrección material y para diseñar los pro-
cedimientos de auditoría posteriores que respondan a los riesgos valorados. 
4.5. Seguimiento de los controles 
En esta área, el auditor obtendrá conocimiento de las principales actividades que la 
entidad lleva a cabo para realizar un seguimiento del control interno relativo a la información 
financiera, incluidas las actividades relevantes para la auditoría, y el modo en que la entidad 
adopta medidas correctoras por las deficiencias en sus controles. 
Si la entidad cuenta con una función de auditoría interna deberá, con el fin de determi-
nar si la función de auditoría interna puede ser relevante para la auditoría, obtener conoci-
miento sobre: 
• la naturaleza de las responsabilidades de la función de auditoría interna y el modo 
en que se integra en la estructura organizativa de la entidad; y 
• las actividades que han sido o que serán realizadas por la función de auditoría inter-
na. 
Ciñéndonos al marco regulatorio en el sector público estatal, resulta de interésdestacar 
la emisión por la Intervención General de la Administración del Estado (IGAE), a través 
de la Oficina Nacional de Auditoría (ONA), de recientes notas técnicas que pretenden ir 
reforzando en el trabajo de los auditores públicos determinados procedimientos desarrolla-
dos en dichas normas internacionales y que resultan operativos, eficientes y perfectamente 
encuadrables en la metodología vigente de la IGAE. La emisión de dichas notas técnicas se 
incardina en el marco del proceso de adaptación a las NIA-ES emprendido por dicho centro 
directivo mediante Resolución de 18 febrero de 2014 por la que se establecen los objetivos y 
líneas básicas del proceso de adaptación de las Normas de Auditoría del Sector Público a las 
Normas Internacionales de Auditoría. 
En este marco, interesa destacar la emisión de la Nota Técnica 3/2016 sobre planifica-
ción y evaluación del control interno en la auditoría de cuentas. El objetivo principal de la 
misma es realizar una aproximación a las NIA-ES en una materia tan relevante como es la 
planificación y evaluación del control interno, permaneciendo como contexto de trabajo las 
NASP actualmente en vigor en tanto no se adopten las nuevas normas. Así las directrices 
fijadas por la ONA en dicha nota pretenden fijar la definición, naturaleza y contenido de los 
hitos más importantes y frecuentes en las actividades a realizar por el auditor al tiempo que 
presentar los estándares más habituales que suelen realizarse en la auditoría de cuentas en 
relación con estas materias.
Ello supone considerar como premisa de partida que en la planificación de una auditoría 
de cuentas en el Sector Público el auditor, en la mayoría de los casos, tiene que considerar 
objetivos adicionales, permanentes o eventuales, como el cumplimiento de la legalidad no 
relacionada directamente con la imagen fiel, la valoración de la eficiencia del control interno 
o cualesquiera otras indicaciones que se establezcan dentro del alcance del trabajo. 
El auditor, por tanto, debe poner el foco en la necesidad de realizar una correcta evalua-
ción del control interno al objeto de evitar riesgos innecesarios, permitir optimizar tiempos 
164 Mercedes E. Lebrancón Cortés
de ejecución y diseñar una estrategia de auditoría y plan global que conlleven una auditoría 
más eficiente y segura. 
Las claves de la evaluación del control interno habrán de versar sobre:
• El entorno o ambiente de control. Hace referencia al estilo de control que se practica 
en la entidad auditada y a qué valores éticos se trasladan. 
• El sistema de valoración del riesgo que la entidad auditada emplea. En tal sentido 
puede ser indicativo la existencia de un manual de control interno que la entidad 
aplica en el que se describan sus riesgos y los grandes procesos de control interno; 
es decir, la descripción de qué riesgos existen y cómo se controlan las diferentes 
áreas de trabajo de la entidad que generan información financiera.
• El sistema informático disponible. Conviene conocer con detalle el sistema infor-
mático y todas sus prestaciones, esencialmente las generadoras de información fi-
nanciera o de procesos relacionados más directamente con dicha información. 
• Las rutinas de control existentes, distinguiendo entre controles de prevención y con-
troles de detección de errores o fraudes.
• Seguimiento realizado de los controles: La entidad auditada ha de tener una idea 
precisa de cómo ha funcionado su control interno en el periodo auditado y en tal 
sentido ha de disponer de documentos, que evidencien este funcionamiento, donde 
se concreten los efectos tanto globales como a nivel de áreas de los sistemas y ex-
pongan cómo se han cubierto en la práctica los riesgos de la entidad y cuáles son las 
medidas que se han tomado o se van a tomar para reducirlos a límites razonables en 
el futuro. 
En la evaluación del control interno, el auditor contemplará asuntos tales como: 
• Existencia de mapa o relación de riesgos, descripción escrita y contrastada de un 
procedimiento de control interno implementado por la entidad con sus correspon-
dientes informes de seguimiento. 
• Existencia de códigos de ética en la entidad y la difusión entre su personal. 
• Procedimientos de selección y formación del personal. 
• Sistema informático y sus prestaciones. 
• Control físico de activos y las medidas para evitar su pérdida, mitigarla o compen-
sarla en caso de siniestro. 
• Existencia de departamentos de auditoría interna o de asuntos legales o de cumpli-
miento con mayor o menor grado de dedicación en función de la dimensión de la 
entidad. 
• Sistema contable, presupuestario, y en general regulatorio que se le aplica y su gra-
do de cumplimiento general. 
Profundizando en este ámbito, la ONA emitió en 2017 la Nota técnica 1/2017 sobre el 
procedimiento de «Términos del documento de inicio de la auditoría de cuentas (TDA)» cuya 
Evaluación del control interno en la auditoría de cuentas 165
aplicación es obligatoria en los trabajos de auditoría de cuentas anuales 2018. La aplicación 
de la Nota técnica pretende favorecer la existencia de unas condiciones previas al tiempo del 
inicio del trabajo, o en una fase muy incipiente de este, que supongan la realización de una 
auditoría más organizada y un mejor entendimiento entre el auditor y el auditado. 
En el punto 4 del modelo de TDA que se contiene en la propia nota técnica, «Otra 
documentación relevante», se solicita a la entidad cuyas cuentas van a ser auditadas por la 
IGAE, entre otra información relevante, una descripción en forma narrativa del sistema de 
control interno sobre la información financiera que presenta y una evaluación de los princi-
pales riesgos asociados a la generación de las cuentas anuales. Se pretende que la descripción 
contenga una manifestación de los responsables del sistema de control interno de la entidad 
sobre la implantación de un sistema adecuado a la entidad, el desarrollo de los principales 
aspectos del mismo, la evaluación de los principales riesgos asociados a la generación de la 
información contable y su opinión sobre si el sistema de control en el ejercicio auditado es 
eficaz o no.
En desarrollo de lo previsto en dicha Nota técnica de la ONA, el pasado mes de febrero 
fue aprobada por dicha oficina la «Guía para elaborar la descripción del sistema de control 
interno sobre la información financiera de la entidad y la evaluación de los principales riesgos 
asociados a la generación de las cuentas anuales». 
Dicha guía se emite con la finalidad de cubrir varios objetivos: 
• orientar a los auditores respecto de la elaboración que debe realizar la entidad que 
va a ser auditada sobre dicha descripción del sistema de control interno en lo que 
afecta a la información financiera y al cumplimiento de la legalidad;
• facilitar el entendimiento del tipo de contenido que se espera contenga la misma, y 
• establecer herramientas para que la entidad realice la descripción y valoración de 
los principales riesgos del sistema de control establecido para la generación de in-
formación financiera así como para que el propio auditor pueda efectuar la evalua-
ción del sistema establecido en la elaboración de su estrategia de auditoría. 
En la misma, basándose en el enfoque del marco integrado de control interno de COSO, 
se analizan los distintos componentes del control interno y se establecen algunos indicadores 
al respecto que sirvan de referencia a los auditores públicos en los trabajos de auditoría sobre 
las cuentas anuales. (Figura 1).
Considerando esto una exigencia para los auditores y por ende, para las entidades ob-
jeto de auditoría por la IGAE, una vez obtenida la descripción y evaluación, en actuaciones 
recurrentes el auditor necesitará actualizar ese conocimiento, así como evaluar la necesidad 
de obtener evidencia adicional sobre posibles cambios en el control.
166 Mercedes E. Lebrancón Cortés
Figura 1
Forma en que interactúan los cinco componentes del control interno
Fuente: Guía para eluso de las Normas Internacionales de Auditoría en Pequeñas y Medianas Empresas emitida por 
la International Federation of Acountants.
5. Conclusión
A la vista de lo expuesto, podemos concluir que la estrategia del auditor necesariamente 
debe ir enfocada, atendiendo a los requerimientos establecidos en las normas y marcos me-
todológicos de aplicación, a la prevención y detección de incorrecciones materiales por error 
o fraude en el proceso de rendición de cuentas anuales por las entidades, y a la realización 
de un proceso de auditoría más eficiente centrándose en las áreas críticas y con alto riesgo y, 
minimizando o minorando la aplicación de procedimientos de auditoría en otras áreas menos 
críticas con bajo riesgo.
En una situación de riesgos controlados, donde la entidad auditada haya valorado sus 
riesgos, diseñado controles mitigadores de estos riesgos y además pueda evidenciar que di-
cho sistema ha funcionado, el auditor, tras aplicar una serie de procedimientos de auditoría, 
Transacciones
Cuentas e información a revelar importante en estados financieros
Controles transaccionales
(proceso del negocio)
Controles a nivel entidad
Incluye controles sobre:
• Fraude (Dirección abusa,
 pasa por encima)
• Procesamiento centralizado
• Proceso de información
 financiera de final de
 ejercicio
Aplicación de controles de TI
Controles generales de TI
C
on
tr
ol
es
 d
om
in
an
te
s
C
on
tr
ol
es
 e
sp
ec
ífi
co
s
Monitoreo
Ent
orn
o de
l control Valoración del riesgo
Sis
tem
a d
e i
nf
or
m
ac
ió
n
Actividades de control
Evaluación del control interno en la auditoría de cuentas 167
estará en condiciones de poder concluir que el riesgo se ha reducido a límites razonables y 
proceder a la calificación del grado de confianza que le suponga el mismo. De esta forma, 
llevará a cabo el diseño de su estrategia o plan de trabajo, poniendo especial atención en 
aquellas áreas en las que haya encontrado debilidades en el sistema de control. Por el contra-
rio, en situaciones de riesgos no controlados, su estrategia de auditoría requerirá de esfuerzos 
adicionales con el objeto de obtener seguridad razonable en la emisión de su opinión. 
No obstante, debe tenerse en cuenta que ni la planificación ni la evaluación del control 
interno y sus riesgos constituyen un departamento estanco, sino que se enlazan con otras 
partes de la auditoría, imbricándose y retroalimentándose. Por ello, aunque la planificación 
y la evaluación del control interno constituyen hitos o procesos recurrentes, debe tenerse en 
cuenta que pueden variar en función de los propios resultados obtenidos al ejecutar el trabajo.
La evaluación del control interno debe permitirnos obtener un conocimiento de las en-
tidades e informar a la administración y a sus responsables de gobierno respecto de las fallas 
o debilidades en el sistema que hayan sido identificadas en el transcurso de nuestro trabajo 
como auditores. Y ello, en última instancia, supone la generación de valor público para las 
propias entidades que debe revertir a la sociedad.
Bibliografía
Committee of Sponsoring Organizations of the Treadway Commission (COSO 2004). «Enterprise Risk 
Management – Integrated Framework».
Committee of Sponsoring Organizations of the Treadway Commission (2013). «Internal Control – In-
tegrat ed F r amework (2013)».
Committee of Sponsoring Organizations of the Treadway Commission (COSO 2017). «Enterprise Risk 
Management–Integrating with Strategy and Performance» (2017).
Dirección General de Presupuesto de la Comisión Europea (2006). «Welcome to the world of PIFC 
(Public Internal Financial Control)».
ICAC. Resolución ICAC de 15 de octubre de 2013. NIA-ES 300 «Planificación de la auditoría de 
estados financieros». 
ICAC. Resolución ICAC de 15 de octubre de 2013. NIA-ES 315 «Identificación y valoración de los 
riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno». 
International Federation of Accountants (IFAC). ISA (NIA) 300 «Planificación de la auditoría de esta-
dos financieros».
International Federation of Accountants (IFAC). International Federation of Accountants (IFAC). ISA 
(NIA) 315 «Identificación y evaluación de los riesgos de incorrección material mediante el conoci-
miento de la entidad y de su entorno».
International Federation of Accountants (2010). Comité de Pequeñas y Medianas Firmas de Auditoría 
de la Federación Internacional de Contadores (IFAC). «Guía para el uso de las Normas Internacio-
nales de Auditoría en Pequeñas y Medianas Empresas».
Intervención General de la Administración del Estado IGAE (1998). Normas de Auditoría del Sector 
Público.
168 Mercedes E. Lebrancón Cortés
INTOSAI (2004). «Guía para las normas de control interno del sector público».
INTOSAI (2007). «Guía para las normas de control interno del sector público. Información adicional 
sobre la administración de riesgos de la entidad».
INTOSAI (2010). ISSAI 1240 «Obligaciones del auditor en relación con el fraude en una auditoria de 
estados financieros».
Oficina Nacional de Auditoría IGAE (2016). «Nota técnica 3/2016 sobre planificación y evaluación del 
control interno en la auditoría de cuentas».
Oficina Nacional de Auditoría IGAE (2017). «Nota técnica 1/2017 sobre el procedimiento de «Térmi-
nos del documento de inicio de la auditoría de cuentas (TDA)».
Oficina Nacional de Auditoría. IGAE (2018). «Guía de ayuda para elaborar la descripción del sistema 
de control interno sobre la información financiera de la entidad y la evaluación de los principales 
riesgos asociados a la generación de las cuentas anuales».
Rittenberg, L. E. (2013). «Un reflejo del paso del tiempo». Internal Auditor, pp. 63.