CAPÍTULO 8 - EVALUACIÓN DE LOS CONTROLES

1. INTRODUCCIÓN Y PRESENTACIÓN DEL ENFOQUE

1.1. Concepto

Un enfoque de auditoría eficiente y eficaz, está centrado en el

conocimiento y utilización del sistema de controles que posee el ente en el
que se está efectuando el examen de auditoría.

En la planificación del trabajo de auditoría tiene especial importancia la

existencia de un sistema de controles que, una vez comprobada su
adecuada concepción (aspecto formal) y correcto funcionamiento (aspecto
práctico), será la base para la determinación de la naturaleza, oportunidad y
alcance de los procedimientos de auditoría a aplicar.

Todas las organizaciones, en mayor o menor grado, poseen sistemas de

control que colaboran con la dirección superior para el logro de los objetivos
del ente. En la medida en que el auditor analice y comprenda esos
sistemas, su labor se tornará más eficaz y más eficiente a la vez.

La secuencia de las tareas del análisis de los controles vigentes en la

empresa dentro del proceso de planificación del trabajo de auditoría son las
que se detallan en este capítulo.

Una vez determinado el marco de referencia e identificado el objetivo

global de auditoría, se evalúa el riesgo inherente del ente. La determinación
de este riesgo, en principio, es independiente de la existencia de un
adecuado sistema de controles. No obstante, en una primera aproximación
a la evaluación de este riesgo se conoce en forma general el ambiente de
control vigente, lo que permite ir diseñando el esquema de cuál será el
enfoque de auditoría a emplear.

Identificados los componentes importantes en que se dividirá el trabajo de

auditoría, se asignan a cada uno de ellos factores de riesgo inherente y de
control. La existencia de factores de riesgo de control presume el
conocimiento del sistema de controles de la empresa pues analiza en qué
casos los controles del ente no cumplen o ayudan a concretar el objetivo de
auditoría. Ese objetivo es obtener satisfacción válida y suficiente sobre la
validez de las afirmaciones contenidas en los estados contables.

La existencia de controles, dentro del sistema de procesamiento de

información de la empresa, que ayuden a otorgar validez a las afirmaciones
contenidas en los estados contables, hará que la labor se centre en la
evaluación de los mismos y en comprobar su adecuado funcionamiento.

En otras palabras, en la medida que la empresa posea controles que,

funcionando adecuadamente, permitan concluir que las afirmaciones
contenidas en los estados contables son válidas, el auditor centrará su
atención únicamente en esos controles, en desmedro de todos aquellos
otros que, si bien son necesarios, funcionen o no adecuadamente dentro de
la organización, no tienen vinculación directa con el objetivo de auditoría.

El siguiente cuadro esquematiza el orden en que se ubica el análisis del

Sistema de Información, Contabilidad y Control del ente dentro del proceso
de auditoría:
- Identificar el marco de referencia
Planificación estratégica - Determinar el objetivo global de auditoría.
- Evaluar el riesgo inherente
  - Determinar los componentes importantes
- Establecer decisiones preliminares para los componentes.
- Identificar las afirmaciones contenidas en cada componente importante.
Planificación detallada - Evaluar los riesgos inherentes y de control relacionados
- Evaluar el sistema de información, contabilidad y control e identificar los controles
  clave
- Determinar los procedimientos de auditoría a emplear.

El auditor debe conocer en detalle los sistemas en los que depositará su

confianza a la vez que, cada vez que ello ocurra, será necesario idear
técnicas que proporcionen la satisfacción de auditoría necesaria para
concluir que esos controles funcionan de acuerdo con lo previsto.

Por lo tanto, este enfoque hacia los controles presupone la realización de

tareas como:

• Conocer el sistema de información, contabilidad y control vigente en el

ente.

• Identificar sus puntos fuertes y débiles.

• Seleccionar, de entre los "puntos fuertes" de control, aquéllos que

satisfacen el objetivo de auditoría y por lo tanto otorgan validez a las
afirmaciones contenidas en los estados contables.

• Evaluar si resulta eficiente, en términos de la relación costo/beneficio,

confiar en la prueba de esos controles más que en la realización de otro
procedimiento alternativo de auditoría.

• Confeccionar, a partir de esos controles en los que se deposita

confianza, pruebas que permitan concluir que el funcionamiento del
control es adecuado. Esto es lo que brindará la evidencia y satisfacción
de auditoría necesaria.

• Evaluar el efecto que tiene tanto la existencia de "puntos débiles" de

control o la ausencia de control. Estos temas podrían invalidar el
enfoque planteado o en caso de ser poco relevantes, originar
sugerencias a la dirección para su acción correctiva.
 En el diagrama siguiente se presenta un esquema que resume el proceso
planteado.

Por lo tanto, el auditor debe realizar procedimientos tendientes a:

• Conocer la concepción y comportamiento de los sistemas de

información, contabilidad y control del ente a examinar.

• Relevar el sistema vigente aplicando la técnica de relevamiento que

resulte más efectiva y eficiente.

• Identificar aquellos controles en los que se depositará confianza de

auditoría.

• Confeccionar los procedimientos que permitan comprobar el

funcionamiento de los controles antes identificados.

• Informar a la gerencia sobre la ausencia de procedimientos o sobre la

existencia de controles que, funcionando mal, generen o posibiliten
algún perjuicio en el ente.

Estos son los temas que se tratan en el resto del capítulo.

1.2. Enfoque según las Normas Internacionales de Auditoría

La NIA 315 define al control interno como el proceso diseñado,

implementado y mantenido por quienes tienen a su cargo la dirección, la
gerencia y otro personal con el fin de brindar una seguridad razonable sobre
el logro de los objetivos de la entidad en relación con la confiabilidad de la
información financiera, la eficacia y la eficiencia de las operaciones y el
cumplimiento de las leyes y normativa aplicables.

La norma relaciona este concepto con los riesgos de existencia de

distorsiones significativas en los estados financieros, ya que enfatiza la
responsabilidad del auditor en identificar y analizar dichos riesgos mediante
la comprensión de la entidad y de su entorno, incluyendo a su control
interno.

La clasificación de los controles en la presente obra, tanto en el desarrollo

teórico como en su desarrollo práctico, es fundamentalmente pragmática a
los efectos de suministrar a los auditores herramientas amigables y flexibles
en el momento de su identificación y en la determinación de su vinculación
con los riesgos y procedimientos de auditoría.

Si bien la división del control interno o los elementos que lo componen

según la norma internacional mencionada difieren ligeramente respecto de
la clasificación que se mencionará, dicha diferencia es meramente
terminológica.
 Es más, la NIA 315 establece específicamente que la división que
desarrolla no necesariamente refleja la manera en que una entidad diseña,
implementa y mantiene el control interno o la manera en que podría llegar a
clasificar cualquier componente en particular. Literalmente indica que los
auditores pueden utilizar terminología o marcos de referencia diferentes de
los empleados en la norma para describir los diversos aspectos del control
interno y sus efectos en la auditoría, siempre y cuando se tengan en cuenta
todos los componentes descriptos en la NIA.

A efectos de facilitar la comprensión al lector, se mencionará en cada

acápite la denominación bajo el cual la NIA se refiere a cada concepto.

Los componentes o división del control a los cuales hace referencia la NIA
son:

• El entorno de control.

• El proceso de análisis de riesgos de la entidad.

• El sistema de información, incluso los procesos comerciales

relacionados, relevantes para la presentación de información financiera
y para la comunicación.

• Las actividades de control.

• El monitoreo de los controles.

2. SISTEMA DE INFORMACIÓN, CONTABILIDAD Y CONTROL

Sistema es un conjunto de elementos estructurados de una manera lógica

y organizada que, operando coordinadamente, tienen por finalidad alcanzar
un determinado objetivo. Así, el sistema de información, contabilidad y
control tiene por finalidad la consecución de:

• salvaguardar los activos;

• brindar confiabilidad a la información contable;

• promover la eficiencia operativa;

• adherir a las políticas del ente.

En mayor o menor medida toda dirección instala un sistema de controles

que asegure la conducción ordenada, eficaz y eficiente de la actividad del
ente.

Los sistemas varían según sea la naturaleza y estructura de los negocios

del ente. Por ejemplo, no se puede pretender el mismo nivel de segregación
de funciones en una importante compañía productora y comercializadora de
productos de consumo masivo, con unidades operativas descentralizadas
en todo el país, que en un pequeño comercio minorista de artículos
generales. Cada ente es único y por lo tanto, los sistemas de información,
contabilidad y control deberán diseñarse e implantarse de manera que:

• Resulten efectivos para los propósitos de la dirección.

• No generen ineficiencia o "burocracia" mal entendida, adaptando los

recursos a la estructura del sistema y no a la inversa.

• Se adapten a la relación general de costo/beneficio.

Dentro de estos parámetros básicos, cada ente desarrolla su propio

sistema de información, contabilidad y control de acuerdo con:

• los objetivos que pretende;

• los recursos de que dispone; y

• la complejidad de sus operaciones.

Así, estos sistemas se nutrirán de técnicas avanzadas de procesamiento

electrónico de datos o se realizarán manualmente (o de manera
combinada), según el volumen, oportunidad y necesidades de la
información a procesar. Además, la complejidad del proceso de una
transacción, permitirá ubicar controles o funciones de procesamiento a
través de todo el sistema o, al contrario, éstos descansarán en una única
persona jerárquicamente reconocida y con autoridad suficiente.

En conclusión, con independencia del tamaño y complejidad de sus

operaciones, todo ente posee en mayor o menor medida algún sistema de
información, contabilidad y control. Es tarea del auditor comprenderlo,
estudiarlo y analizarlo para determinar hasta qué punto ese sistema, así
como funciona, facilita la labor de auditoría, le brinda una porción sustancial
de la evidencia de auditoría necesaria para concluir su trabajo o, al
contrario, no reviste utilidad alguna para su labor.

El propósito en este capítulo es analizar y examinar los controles en sí,

independientemente de la técnica de procesamiento empleada para su
ejecución.

2.1. Objetivos del análisis del sistema de información, contabilidad y control

 El análisis que el auditor de estados contables realiza del sistema de
información, contabilidad y control difiere del que pueda realizar otro
profesional en ciencias económicas o también, del mismo auditor realizando
tareas de auditoría operacional.

La razón es sencilla: el objetivo final de cada uno de estos análisis es

distinto. Seguramente al auditor que practica auditoría operacional le
interesará primordialmente un análisis de ausencia de control, y al analista
un enfoque de eficiencia en la estructura de la organización. Al auditor de
estados contables le interesa conocer el sistema de información,
contabilidad y control del ente con el objetivo de:

• Comprender el ambiente general de control en que opera el ente, y

• Distinguir aquellos controles que directamente influirán en la naturaleza

del enfoque de auditoría a emplear.

Para ello, el auditor de estados contables tomará conocimiento de las

normas generales del ente y se detendrá sólo en aquellos controles que,
una vez comprobado su correcto funcionamiento, le proporcionarán
evidencia válida y suficiente para lograr la satisfacción de auditoría
necesaria. Además analizará la existencia de controles que, aunque
funcionen adecuadamente, su permanencia dentro de un contento
permeable a fraudes, le quite o reduzca eficacia.

La NIA 315 considera al "Sistema de Información", como se expresara

más arriba, como un elemento o división del control interno. Si bien por la
descripción que efectúa dicha norma, los conceptos son equivalentes y/o
similares, la metodología de la presente obra facilita la identificación de
controles específicos dentro de los sistemas de información, que forman
parte de los sistemas de administración de los entes.

3. CATEGORÍAS DE CONTROLES

Existen ciertas categorías o clases de controles que pueden diferenciarse

al analizar un sistema de información, contabilidad y control.

Los controles de un ente para su estudio en las tareas de auditoría de

estados contables se pueden dividir en:

• Ambiente de control;

• Controles directos;

• Controles generales.

3.1. Ambiente de control

 El ambiente de control determina el marco para el control general.
Anterior a cada control específico implantado, el ambiente de control
establece las condiciones en que operan el conjunto de los sistemas de
información, contabilidad y control y contribuye a su confiabilidad.

El ambiente de control tiene gran influencia en la determinación del

enfoque de auditoría a emplear y es imprescindible conocerlo en la etapa de
la planificación estratégica.

El ambiente de control abarca:

• El enfoque hacia el control por parte de la gerencia o dirección superior.

• La organización y estructura del ente.

En la mayoría de los casos el ambiente de control no es susceptible de

ser medido en forma objetiva y muchas veces depende su evaluación de la
subjetiva percepción del profesional que releva el sistema. Esta situación
hace que la evaluación de esta categoría de control se relacione con el
carácter de independencia que todo auditor de estados contables debe
poseer como condición necesaria para el ejercicio de sus funciones.

3.1.1. El enfoque hacia el control por parte de la gerencia o dirección

superior

La gerencia o dirección tiene un papel primordial en el establecimiento de

un adecuado ambiente de control, pues establece el espíritu e intensidad
del sistema de control del ente.

La intensidad en el entendimiento de contar con información útil, confiable

y oportuna para la toma de decisiones hace que los controles del sistema
sean adecuados en su diseño y estrictos en su funcionamiento.

La no existencia de este enfoque por parte de la gerencia o dirección

implica la vulnerabilidad o poca confiabilidad del sistema y, en
consecuencia, debilita los controles existentes y la efectividad de los
mismos.

3.1.2. La organización y estructura del ente

Para que el ambiente de control sea efectivo, el enfoque hacia el control

por parte de la gerencia o dirección, debe estar necesariamente
complementado con una organización formal del ente que permita el
adecuado flujo de las tareas y responsabilidades.

La organización y estructura del ente es el marco necesario donde deben

tener cabida los controles.

3.1.3. Ambiente de control según las normas internacionales de auditoría

 La NIA 315 se refiere a este concepto como "Entorno del control",
estableciendo que el auditor deberá evaluar:

• Si la gerencia y la dirección de la entidad han creado o impulsado una

cultura de transparencia y conducta ética.

• Si las fortalezas de los elementos del entorno de control en su conjunto

brindan una base sólida para los demás componentes del control interno
y si éstos no se ven afectados por las debilidades de dicho entorno de
control.

3.2. Controles directos

Los controles directos proporcionan satisfacción de auditoría directa sobre

la validez de las afirmaciones contenidas en los estados financieros. Están
diseñados para evitar errores y fraudes que puedan afectar a los estados
financieros y a las funciones de procesamiento.

La efectividad en el funcionamiento de los controles directos, está

totalmente vinculada con la efectividad del ambiente de control y la
existencia de adecuados controles generales.

Los controles directos abarcan:

• Los controles gerenciales;

• los controles independientes;

• los controles o funciones de procesamiento;

• los controles para salvaguardar activos.

En el análisis de los controles directos tiene especial importancia

identificar y comprobar aquellos controles que validan a las afirmaciones
incluidas en los estados financieros.

Será sobre los controles directos donde el auditor podrá desarrollar

pruebas de cumplimiento, bajo la condición de que exista un buen ambiente
de control, buenos controles para salvaguardar activos y adecuados
controles generales.

3.2.1. Controles gerenciales

Este grupo de controles incluye a todos aquellos realizados por el nivel

superior de la organización y efectuados por individuos que no participan en
el procesamiento de las operaciones.

Entre los controles gerenciales más importantes, se pueden mencionar:

 — los controles presupuestarios, que incluyen las tareas de preparación,
revisión y aprobación, y por supuesto, el control posterior del
presupuesto;

— los informes por excepción, que incluyen aquellas transacciones

individualmente significativas, hechos inusuales o variaciones
significativas respecto de lo presupuestado. Usualmente estos informes
por excepción son generados automáticamente por el sistema de
procesamiento electrónico de datos, en base a parámetros de
"excepción" definidos por la gerencia del ente.

En general este grupo de controles gerenciales se ejerce sobre las

transacciones y reúne la evidencia del manejo adecuado que la gerencia
realiza sobre las operaciones del ente.

Los controles gerenciales podrían estar incluidos dentro del "Proceso de

análisis de riesgo de la entidad" establecido como otro elemento del control
interno por la NIA 315, entendiendo como tal a los procedimientos de la
gerencia del ente auditado para identificar riesgos comerciales
(fundamentalmente riesgos inherentes), calcular su importancia, analizar las
probabilidades de ocurrencia y seleccionar los cursos de acción para dar
respuesta a dichos riesgos.

Los riesgos a los cuales hace referencia pueden originarse o cambiar

debido a los siguientes factores:

• Cambios en el entorno operativo.

• Personal nuevo.

• Sistemas de información nuevos o actualizados.

• Rápido crecimiento.

• Nueva tecnología.

• Nuevos modelos comerciales, productos o actividades.

• Reestructuración de la empresa.

• Expansión de los negocios en el exterior.

• Nuevos pronunciamientos contables.

3.2.2. Controles independientes

Este grupo de controles directos incluye a todos aquellos realizados por

personas o secciones independientes del proceso de las transacciones.
 Entre los controles independientes más comunes se pueden mencionar:

— las conciliaciones entre los registros contables generales e

individuales;

— las conciliaciones bancarias;

— las conciliaciones de los resúmenes de cuenta enviados a, o recibidos

de clientes y proveedores;

— los recuentos físicos;

— las confirmaciones especiales de saldos;

— las verificaciones de secuencia y de orden cronológico:

— las revisiones selectivas de los sistemas de información, contabilidad y

control que realiza auditoría interna.

Estos controles son los que realizan las áreas independientes fuera del
proceso de las transacciones, como por ejemplo Auditoría Interna y
Contabilidad General.

Los controles independientes están considerados por la NIA 315 dentro

de las "Actividades de Control" bajo la denominación de "Revisiones de
desempeño"

3.2.3. Controles o funciones de procesamiento

Esta categoría de controles directos incluye a todos aquéllos incorporados

en el sistema de procesamiento de las transacciones. Son controles que
realizan las personas participantes del propio proceso o funciones incluidas
en él. Aseguran que todos los pasos se cumplen adecuadamente y
garantizan la integridad del procesamiento de las operaciones.

Ejemplos de controles o funciones de procesamiento son:

—Preparación de informes de recepción prenumerados de imprenta (con

o sin previo control de laboratorio en cuanto a calidad), que identifiquen
al proveedor, bienes recibidos, fechas, cantidades, etc.

— Depósito íntegro de cobranzas.

— Aprobación del legajo de desembolsos antes de su pago.

La naturaleza de estos controles cambia notablemente si los procesos

son manuales o realizados a través de un sistema computadorizado. Por
supuesto, como se mencionó en la primera parte del capítulo, los controles
van a existir independientemente del proceso a través del cual se realizan
las operaciones. No obstante, se va a cambiar el enfoque para revisar esos
controles, su adecuada implantación y su funcionamiento.

Estos controles son realizados normalmente como parte del proceso de

las transacciones por personal operativo (controles de procesamiento) o por
el sistema (funciones de procesamiento).

A efectos de seleccionar a los controles de procesamiento más

importantes y que se considerarán "controles clave", entre la diversidad de
controles que existen en un procedimiento administrativo, con la finalidad
última del diseño e implementación de pruebas de cumplimiento, se pueden
considerar las siguientes características:

• Controles que representan documentos o parámetros de entrada o

salida de un circuito o proceso (por ejemplo el remito que constituye el
parámetro o documento que dispara la registración de una venta y un
crédito a cobrar —entrada— y la imputación de la baja del inventario de
bienes de cambio del producto terminado (o mercadería de reventa)
efectivamente entregado y/o vendido —salida—.

• Controles que comparan o validan gran cantidad de documentos o

información y que muchas veces se encuentran en la última parte de los
procedimientos o circuitos administrativos (como ejemplo típico se
puede mencionar el control que se puede hacer manual o mediante
procesamiento electrónico para emitir la orden de pago de una compra,
y que coteja la información del respectivo "Pedido de materiales o
materia prima", con el "Pedido de cotización" a diferentes proveedores,
con la respectiva "Orden de compra", con el "Aviso de recepción de
materiales", con el "Informe de calidad", con la copia del "Remito del
proveedor" y, finalmente, con la "Factura del proveedor".

Los controles o funciones de procesamiento están considerados por la

NIA 315 dentro de las "Actividades de Control" bajo la denominación de
"Procesamiento de la información"

3.2.4. Controles para salvaguardar activos

Se refieren a la custodia e incluyen medidas de seguridad tendientes a

resguardar y controlar la existencia física de los bienes, el acceso irrestricto
a los mismos y a fijar límites de autorización para realizar determinadas
operaciones, por ejemplo, autorizaciones para retiro de fondos.

Dentro de estos controles se pueden mencionar:

— los controles existentes en las plantas productivas para el ingreso y

salida de mercaderías;

— los controles físicos sobre la tenencia de los activos fijos, sobre la

tenencia de ciertos títulos de propiedad o inversiones;
 — en un proceso computadorizado, todos aquellos controles de acceso a
las fuentes del sistema de información y manejo de archivos.

Los controles para salvaguardar activos están considerados por la NIA

315 dentro de las "Actividades de Control" bajo la denominación "Controles
físicos"

3.3. Controles generales

Los controles generales comprenden la organización divisional del ente o

segregación de funciones.

Este tema es fundamental para que el auditor decida confiar o no en el

sistema de información del ente, porque garantiza el correcto
funcionamiento de los controles individuales a través de lo que se conoce
como el control por oposición de intereses.

Estos controles hacen a la organización del ente y se relacionan con la

delimitación de responsabilidades y de los niveles de autoridad.

El control por oposición de intereses consiste en que un miembro de la

organización, independiente de un proceso ocurrido, revise su realización y
le brinde confiabilidad, antes de su verificación. A su vez, puede existir otra
instancia de control según sea el momento de la transacción en que se
encuentre o la complejidad de la misma.

En toda organización, deberían estar claramente definidas y segregadas

las siguientes tareas:

• Iniciar o decidir las transacciones

• Registrarlas

• Custodiar los activos

Al evaluar la segregación de funciones de un sistema debe tenerse en

cuenta la dimensión del ente. Normalmente en entes pequeños o medianos,
los recursos humanos disponibles son inferiores a la cantidad de funciones
a segregar. En estos casos, el análisis de confiabilidad se centrará en la
forma en cómo se han asignado esos recursos escasos y/o como participa
la dirección superior (normalmente los accionistas o propietarios) en la
supervisión de las tareas.

También puede ocurrir que aunque sean segregadas las funciones

incompatibles de la mejor manera prevista por la ciencia de la
administración, al tratarse de organizaciones sociales, no se pueda evitar
que existan relaciones interpersonales que entorpezcan el correcto
funcionamiento de los controles implantados.
 Los controles generales están considerados por la NIA 315 dentro de las
"Actividades de control" bajo la denominación "Separación de funciones".

4. RELEVAMIENTO DEL SISTEMA DE INFORMACIÓN, CONTABILIDAD Y CONTROL

Independientemente del enfoque de auditoría que se utilice, siempre es

imprescindible efectuar un relevamiento de los sistemas de información,
contabilidad y control al comenzar una labor de auditoría. Normalmente
estas tareas se van a realizar en la etapa de planificación.

Debe quedar claro que el conocimiento general de los sistemas de

información, contabilidad y control de un ente, por ser un factor totalmente
relacionado con la determinación de la naturaleza, oportunidad y alcance de
las pruebas de auditoría a realizar, necesariamente va a tener que
efectuarse antes de la etapa de ejecución de auditoría y, en ciertos casos,
como primera tarea de la etapa de planificación.

Este relevamiento puede ubicarse en el tiempo dividido en dos

momentos:

— En primer lugar, en la planificación estratégica, donde se van a

considerar principalmente los aspectos relacionados con el ambiente de
control.

— En segundo lugar, en la planificación detallada, donde se va a analizar

el sistema en forma minuciosa, únicamente para aquellos componentes
donde se efectuará un enfoque de auditoría hacia los controles y no un
enfoque de auditoría sustantivo (que consiste en comprobar la
razonabilidad de un saldo contable). En esta oportunidad, se necesitará
lograr una clara comprensión del flujo de las operaciones y una
evaluación general sobre la confiabilidad de aquellos controles que se
determinen como controles clave.

Cabe aclarar que en una primera auditoría todas estas actividades

relacionadas con el conocimiento del sistema de información, contabilidad y
control van a requerir más labor que la necesaria para auditorías
recurrentes, donde ya se conoce cómo opera el sistema, cuál es su
estructura y cuál es su ambiente general de control a través del
conocimiento acumulado y experiencia de trabajos anteriores; desde ya que
comprobando previamente que mantienen plena vigencia en el tiempo.

4.1. Documentación del relevamiento del sistema de información,

contabilidad y control

La tarea de documentación del relevamiento del sistema de información,

contabilidad y control es amplia. En una primera auditoría, donde en general
no se conoce la forma en que funcionan los distintos procedimientos del
ente, es importante hacer un relevamiento en forma extensiva. En auditorías
recurrentes, este relevamiento se limitará únicamente a obtener
conocimiento de las modificaciones o cambios en los sistemas. A esta
última tarea, normalmente, se la conoce como "procedimientos de
actualización de sistemas".

Al conocer la existencia de modificaciones o cambios en los sistemas, se

debe tomar nota de ello y documentarlos en los papeles de trabajo, para
poder determinar la suficiencia y razonabilidad de las pruebas de auditoría
oportunamente determinadas. Es decir, identificar si sigue siendo vigente el
enfoque de auditoría planificado anteriormente, si es conveniente
modificarlo, o si con agregar cambios menores, se puede obtener la misma
satisfacción de auditoría que en oportunidades anteriores.

Hay muchas formas de documentar la comprensión de los sistemas de

información, contabilidad y control. Dentro de las técnicas más conocidas se
pueden mencionar:

— cursogramas o diagramas de flujo.

— descripciones narrativas.

— cuestionarios especiales.

La naturaleza de la documentación a utilizar es totalmente independiente

del proceso general de auditoría, y va a depender sólo de la forma en que
se presente la información a relevar y del criterio del auditor. En ciertas
oportunidades la realización de un cursograma puede llegar a ser mucho
más útil que la descripción narrativa de determinada operación. En otras, y
según sea el componente, la existencia de cuestionarios especiales puede
ayudar de manera más efectiva que el análisis a través de alguna otra
fuente de documentación.

Al realizar la documentación de sistemas, se debe verificar si existen

manuales en la organización que puedan llegar a suplir la descripción de los
sistemas realizada por el auditor. Dependerá de cada una de las situaciones
que se presenten el elegir uno u otro método de documentación y,
especialmente, identificar aquellas oportunidades en donde, utilizando el
material que facilite el ente, se pueda llegar a obtener la documentación
necesaria para evidenciar la evaluación del sistema de información,
contabilidad y control.

A continuación se describen cada una de las técnicas mencionadas.

4.1.1. Cursogramas o diagramas de flujo

Los cursogramas o diagramas de flujo son la representación gráfica de la

secuencia de las operaciones de un determinado sistema. Esa secuencia se
gráfica en el orden cronológico en que cada operación tiene lugar.
 En la confección de cursogramas o diagramas de flujo, es de suma
importancia establecer los códigos de las distintas figuras que formarán
parte de la narración gráfica de las operaciones. Existe abundante literatura
sobre cómo preparar un cursograma y qué simbología utilizar. Sin embargo,
debe tenerse en cuenta que no es tan importante seguir una línea prefijada
de simbología siempre que, dentro de los papeles de trabajo, se determine
claramente cuál es la simbología que se utilizó y de qué manera se
encuentra encadenada en ese diagrama de flujo.

Esto equivale a decir que, antes de la lectura de cualquier cursograma o

diagrama de flujo, es imprescindible contar con una hoja guía de
simbología.

En este sentido, algunos profesionales realizan estos cursogramas en

forma global, identificando únicamente documentos-fuente, emisores, tareas
especialmente realizadas, y distribución entre las distintas secciones que
interesan y que forman parte de la operación que se está narrando. Esto
significa que no es tan importante identificar la secuencia o preparar el
cursograma como si se estuviera diseñando el sistema, sino que
únicamente se hace un diagrama global para tomar conocimiento en forma
general de cómo se realiza ese procesamiento específico.

En la parte práctica de los capítulos de los distintos componentes que

forman parte de los estados contables, hay ejemplos de relevamientos
realizados a través de cursogramas o diagramas de flujo que ayudarán a
entender y conocer esta herramienta como una técnica más a utilizar en la
documentación del análisis del sistema de información, contabilidad y
control.

4.1.2. Descripciones narrativas

Las descripciones narrativas consisten en presentar en forma de relato,

las actividades del ente, indicando las secuencias de cada operación, las
personas que participan, los informes que resultan de cada procesamiento y
volcado todo en forma de una descripción simple sin utilización de gráficos.

Es importante el cuidado dado al lenguaje a emplear y la forma de vertir el

conocimiento adquirido del sistema a los papeles de trabajo, de manera que
no resulte engorroso el entendimiento de la descripción vertida.

4.1.3. Cuestionarios especiales

Los cuestionarios especiales, también llamados "cuestionarios de control

interno" son una técnica muy difundida para la documentación del análisis
de los sistemas de información, contabilidad y control.

Estos cuestionarios consisten en la presentación de determinadas

preguntas estándar para cada uno de los distintos componentes que forman
parte de los estados financieros. Estas preguntas siguen la secuencia del
flujo de operaciones del componente analizado. Con sus respuestas,
obtenidas a través de indagaciones con el personal del ente o con la
documentación de sistemas que se facilite, se analiza si esos sistemas
resultan adecuados o no en pos de la realización de las tareas de auditoría.

Estos cuestionarios pueden estar confeccionados de dos formas:

• La primera de ellas consiste en diagramar las preguntas de manera que

acepten como única contestación las alternativas "sí, no, o no aplicable".
La existencia de respuestas "no", a priori, indicaría la posibilidad de
eventuales fallas o ineficacias en los sistemas de control. Estas
respuestas generan normalmente recomendaciones a la Gerencia sobre
aspectos a mejorar o perfeccionar en los sistemas. Las respuestas "sí",
indicarían aquellos controles en los que se podría llegar a depositar
confianza de auditoría.

• La otra alternativa es la que parte de la realización de preguntas donde

su respuesta no es tan simple como la anterior (sí, no, no aplicable),
sino que implica el desarrollo de determinados aspectos específicos de
control. Esta forma de realización, está orientada a que se describa de
qué manera controles estándar que deben estar vigentes en todos los
sistemas, se realizan en cada ente en particular. A diferencia del anterior
modelo donde se preguntaba si existe o no determinado control, este
cuestionario descriptivo de sistemas pregunta de qué manera se realiza
determinado control o proceso.

Las ventajas o desventajas de cada método dependen del sistema a

relevar y del enfoque de auditoría que se quiera realizar.

Al igual que con el tema de cursogramas o diagramas de flujo, en la parte

práctica de los capítulos de los distintos componentes que forman parte de
los estados contables se incluyen modelos de cuestionarios de relevamiento
de control interno en sus dos categorías, donde el lector podrá identificar la
forma en que pueden realizarse y cumplimentarse.

Por supuesto cabe aclarar que la utilización de estas herramientas implica

una tarea previa a cualquier labor de auditoría que cada profesional deberá
realizar. Antes de encarar una labor de auditoría y habiéndose decidido
utilizar la técnica de relevamiento en base a cuestionarios, se debe contar
con ejemplares de ellos en forma estándar, tarea previa que no es
necesario realizar si se utiliza como técnica de relevamiento a los
cursogramas o descripciones narrativas.

4.1.4. Consideraciones generales

Luego de la descripción efectuada de cada una de las técnicas de

relevamiento y documentación de los sistemas de información, contabilidad
y control que se pueden llegar a utilizar, cabe hacer alguna consideración
sobre sus ventajas y desventajas.

Como en todos los temas relacionados con un enfoque de auditoría

eficiente y eficaz, cada ente y cada trabajo de auditoría es totalmente
independiente del resto. El profesional debe evaluar en cada caso, cuál es
la técnica que facilite su labor.

No obstante se pueden hacer las siguientes consideraciones o

comentarios:

• La utilización de la técnica de descripciones narrativas es muy útil para

tomar conocimiento general de la estructura de determinado proceso. Es
una herramienta usada para evaluar el ambiente de control que resulta
engorroso documentar en forma de cursogramas o de cuestionarios y
puede ser útil para relevamientos realizados en la etapa de planificación
estratégica.

• La realización de cursogramas o diagramas de flujo puede considerarse

más útil y clara, ya que en forma simple y gráfica de demuestra cómo se
realizan determinadas operaciones.

• La utilización de cuestionarios implica una labor previa de preparación,

que el profesional deberá evaluar si considera eficiente encarar.

5. EVALUACIÓN DE LOS CONTROLES Y CONTROLES CLAVE

Una vez comprendido y analizado el sistema de información, contabilidad

y control, corresponde evaluarlo. La evaluación de los controles se basa
fundamentalmente en el criterio profesional. El proceso de evaluación de los
controles generalmente implica la realización de los siguientes pasos:

— identificar los controles clave potenciales:

— reconsiderar la evaluación inicial de enfoque y riesgo de auditoría;

— evaluar las debilidades encontradas y el efecto que éstas tienen sobre

el enfoque previamente planificado.

5.1. Identificar los controles clave potenciales

Control clave es aquel control que reúne dos condiciones:

• proporciona satisfacción de auditoría relevante, siempre que esté

operando efectivamente, y,

• la proporciona de modo más eficiente que otros procedimientos.

 La identificación y selección de controles clave es un proceso de
raciocinio y comprensión del sistema de información, contabilidad y control.
El proceso de identificación puede resumirse en el siguiente esquema:

• Primero, se identifican cuáles son aquellos controles que aislada o

combinadamente con otros, validan las afirmaciones contenidas en los
estados contables o se relacionan con los riesgos inherentes del
componente. Por consiguiente, estos controles proporcionarán
satisfacción de auditoría sobre esas afirmaciones.

• En segundo lugar, se analiza el impacto que el ambiente de control y los

controles generales tienen sobre estos controles clave.

• Por último, se evalúa en aras de la eficiencia en la labor de auditoría, si

resulta conveniente probar esos controles o encarar el trabajo a través
de procedimientos sustantivos o con otros controles clave.

En el siguiente cuadro se resume este proceso:

Dentro de la identificación de controles clave es importante hablar de la

jerarquía de los mismos.

Al desarrollar el tema de controles directos, se mencionó que se dividen

en cuatro categorías: los controles gerenciales, los controles
independientes, los controles o funciones de procesamiento y los controles
para salvaguardar activos.

Esta categorización implica una cierta jerarquía. La existencia de

controles gerenciales y controles independientes que validen determinada
afirmación contenida en los estados contables, junto con la existencia de
controles o funciones de procesamiento que cumplan también ese objetivo,
indicaría que va a resultar más útil y eficiente probar el cumplimiento de los
primeros, puesto que involucrarían a los segundos. En otras palabras,
siempre que tengamos más de un control que brinde validez a determinada
afirmación contenida en los estados contables, aquel (de esos controles)
que esté ubicado por encima de los otros seguramente será el control clave.

El profesional auditor sabrá identificar que algunos controles gerenciales

pueden llegar a ser demasiado globales como para confiar nuestra labor de
auditoría únicamente en su cumplimiento. Se debe tomar especial
conocimiento del entorno en que estos controles gerenciales se realizan, de
la integridad del personal involucrado y de la experiencia anterior.

5.2. Reconsiderar la evaluación inicial de enfoque y riesgo de auditoría

 Luego de la identificación de estos controles que se nombraron como
clave y antes de su prueba en la etapa de ejecución se deberá reconsiderar
la evaluación preliminar del riesgo inherente y de control. El análisis y
conocimiento del sistema vigente para cada componente puede hacer
modificar la evaluación preliminar del riesgo de auditoría, ya sea elevándolo
o reduciéndolo.

Es en este momento donde se analiza la posibilidad de modificar la

naturaleza, oportunidad y alcance de las tareas de auditoría a realizar,
obviamente en virtud de la forma en que se presentó en la realidad el
sistema analizado.

5.3. Evaluar las debilidades encontradas y el efecto que éstas tienen en el

enfoque previamente planificado

Por último, se debe evaluar la existencia de debilidades de control que

pudieron haberse detectado en el análisis de los sistemas de la empresa y
la implicancia que ellas tienen sobre el enfoque y labor de auditoría
previamente planificados. Se puede llegar a la conclusión, por ejemplo, que
partiendo de un enfoque inicialmente determinado de prueba de controles y
habiendo detectado determinadas debilidades que distorsionarían el
adecuado funcionamiento de estos controles, se necesite indefectiblemente
cambiar el enfoque de controles hacia un enfoque de tipo sustantivo (o sea
apunte directamente a la comprobación de saldos contables).

La existencia de estas debilidades, aunque no modifiquen la primera

evaluación de los controles, o el enfoque inicial de auditoría, deben ser
consideradas a fin de efectuar recomendaciones o sugerencias a la
Gerencia de cómo estas debilidades afectan a la operatoria del ente y, de
cómo su corrección provocaría eficiencia y eficacia en la administración. Se
enfatiza que dicha carta con recomendaciones sobre aspectos de control
interno, es un subproducto cuya emisión impone la conciencia profesional;
además, debería ser siempre bien recibida, como contribución, por el
personal clave del cliente (y no ser considerada como un "polígono de tiro"
en que se apunta a determinado funcionario).

Cabe mencionar que estas fallas no necesariamente deben ser aquellas

relacionadas con los controles clave, sino que durante todo el proceso de
relevamiento, documentación y evaluación de los sistemas de información,
contabilidad y control, se puede llegar a tomar conocimiento de
determinadas debilidades o deficiencias cuya modificación traería aparejada
una mayor eficiencia y eficacia en los procedimientos administrativos y
donde la responsabilidad como profesionales hace que sea necesaria su
mención y puesta en conocimiento de la dirección del ente.

Este enfoque de auditoría donde existe una muy clara y precisa

comprensión del funcionamiento de los sistemas, normalmente trae
aparejado recomendaciones de utilidad especial a la Gerencia, puesto que
van más allá del simple procedimiento administrativo, involucrando a la
totalidad de las operaciones y al negocio en su conjunto. Si se realiza un
correcto análisis de los sistemas de información, contabilidad y control
haciendo especial hincapié en las categorías y jerarquías de control,
probablemente de la labor de auditoría surjan recomendaciones útiles para
los niveles superiores del ente que serán valoradas especialmente.

El control presupuestario que cada día logra mayor vigencia y mayor

importancia en la tarea de los administradores, normalmente no era tenido
en cuenta por su indirecta relación con los estados contables. En el enfoque
que aquí se propone, dicho control toma especial relevancia y es de suma
importancia que esto sea puesto en conocimiento de los niveles
gerenciales.

6. COMUNICACIÓN DE DEFICIENCIAS O RECOMENDACIONES SOBRE EL SISTEMA DE

INFORMACIÓN, CONTABILIDAD Y CONTROL

La forma en que, normalmente, las fallas del sistema de información,

contabilidad y control son comunicadas a la Gerencia es a través de
informes, como subproductos de la labor de auditoría. Es importante en la
etapa de planificación estratégica evaluar la predisposición de la Gerencia
hacia la recepción de estos informes o, si por el contrario, no le es de
relevante interés (o, lo que es peor, molestos por inconvenientes para la
evaluación de su desempeño que hacen sus superiores jerárquicos).

Estos informes normalmente se emiten como conclusión de la labor de

auditoría. Según sea la importancia de los mismos, su comunicación
debería hacerse en la etapa de planificación, preliminar o final. Lo más
común es efectuar una única carta con recomendaciones hacia el final del
trabajo.

Aspectos sobre la redacción y contenido de estos informes están

incluidos en el capítulo destinado al estudio de informes del auditor en
general, ya que éste es un informe más de auditoría y debe reunir las
mismas características que todo informe del auditor (plantear de manera
clara y precisa las observaciones detectadas, ser discutido en borrador con
los responsables pertinentes de la Administración de la empresa, incluir sus
puntos de vista —aceptación o rechazo—, e indicación —en caso de
aceptación— del curso de acción que se propone tomar el ente para
remediar el problema planteado por el auditor).

A esta altura sólo corresponde comentar qué consideraciones se

deberían tener en cuenta al emitir este tipo de informes. Las
recomendaciones a incluir en este informe, deberían ser de un tenor tal que
no modifiquen la opinión vertida sobre los estados contables en su conjunto,
o de ser deficiencias de determinada magnitud, que quede claro que a
través de los procedimientos y de la documentación general del trabajo
realizado se han efectuado —por el auditor— todas aquellas tareas
tendientes a reemplazar (a través de procedimientos denominados
alternativos) lo que no "cubren" las deficiencias observadas.

En general, la redacción de estos informes se divide en párrafos que

detallan cada una de las deficiencias o sugerencias cuya comunicación se
considere necesaria (por su naturaleza constructiva). Es conveniente que
estas notas sean redactadas de una manera cuidadosa, donde el lector
tome clara idea de que la labor del auditor es de tipo positivo, y que apunta
hacia la mejora general de la eficiencia y eficacia de los procedimientos de
la organización. Es deseable que antes de su emisión definitiva, cada una
de estas recomendaciones sea comentada con un miembro de la gerencia
que tenga jerarquía o autoridad adecuada, y con las personas que realizan
las tareas que se recomiendan sean mejoradas, volcando sus opiniones en
el informe y obteniendo un compromiso hacia su corrección. Esta carta
debería ser dirigida al máximo responsable de la administración de la
empresa. Normalmente tiene el mismo destinatario que el informe de
auditoría.

En las secciones prácticas de los diversos capítulos de los componentes

de los estados contables se incluyen párrafos-modelo a incluir en cartas de
recomendaciones surgidas de los relevamientos prácticos. La intención de
estos modelos es, simplemente, brindar una herramienta más de apoyo a
aquél que deba realizar esta tarea.

La NIA 265 "Comunicación de deficiencias en control interno a los

responsables de la Dirección" se refiere al concepto descripto en el presente
acápite.

7. RELACIÓN CON LOS PROCEDIMIENTOS Y PROGRAMAS DE TRABAJO DE

AUDITORÍA

Hasta aquí se ha cubierto la forma en que se comprende y se analiza el

sistema de información, contabilidad y control vigente en el ente a auditar y
la forma en que este análisis sirve para identificar el enfoque y los
procedimientos de auditoría a realizar.

¿Cómo se relacionan estas tareas de análisis con las específicas de la

labor de auditoría, que deben concluir inexorablemente con la emisión de
una opinión?

Como consecuencia del análisis del control interno, se identifican

determinados controles denominados clave, por los que se necesita
comprobar su vigencia y correcto funcionamiento. Los procedimientos que
tienden a verificar ese correcto funcionamiento y vigencia, son las
denominados "pruebas de cumplimiento".
 Estas pruebas de cumplimiento van a formar parte de los programas de
trabajo de auditoría, y su realización normalmente va a efectuarse en la
visita denominada preliminar, antes del cierre del período/ejercicio a auditar.

Los programas de trabajo de auditoría realizados a partir de las pruebas

de cumplimiento seleccionadas deberán tener una claridad meridiana, de
manera que no se presten a confusión temas tales como naturaleza de la
prueba, oportunidad y alcance. A su vez este alcance debe ser medido en
función de la cantidad de documentación a revisar y de los pasos a seguir
en caso de detectar errores o fraudes.

La existencia de errores o fraudes en la realización de las pruebas de

cumplimiento, invariablemente implicarán: o un aumento en el alcance de
las tareas, o la conclusión de que ese control no se cumple en forma
adecuada, o no está vigente, y por lo tanto deben modificarse los
procedimientos de auditoría a emplear.

En ese caso se tendría que modificar esa prueba de cumplimiento por la

de cumplimiento de algún otro control que ahora se denominará clave, o por
la realización de otras pruebas de tipo sustantivo. De ahí la importancia de
realizar la prueba de estos controles con anticipación a la fecha de cierre del
período/cierre a auditar, ya que resultaría problemático detectar debilidades
de control y no poder tomar acciones correctivas oportunas en el plan de
auditoría, si es que estas pruebas son efectuadas con posterioridad a dicha
fecha.

Por ejemplo, dentro del relevamiento del componente de Existencias

(bienes de cambio) y costos de producción se puede llegar a definir que
determinados procedimientos en el área de recepción de materiales son
controles clave y probarlos, en lugar de efectuar un recuento físico selectivo
al cierre del período. Si de la conclusión de las pruebas de cumplimiento de
esos controles clave resulta que los mismos no funcionan adecuadamente,
necesariamente se debería tomar un recuento físico al cierre del período. Si
esta prueba de cumplimiento de controles clave se efectúa a posteriori de
esa fecha, el recuento físico no va a poder ser realizado en esa oportunidad,
y esto entorpecería la labor de auditoría, generando ineficiencias (será
menester desarrollar las denominadas pruebas de reconstrucción —con un
recuento físico a fecha posterior—, reconstruyendo en base a
documentación de soporte, lo que hubiera sido el saldo físico a la fecha de
cierre).

La NIA 330 "Procedimientos del auditor para los riesgos analizados", se

refiere concretamente a los procedimientos diseñados para minimizar los
riesgos detectados, siempre analizados en relación con el entorno del
control interno. De esta forma las Normas Internacionales de Auditoría dan
mayor énfasis al análisis y tratamiento de los riesgos de auditoría que al
sistema de control interno en sí mismo. Este es un concepto muy válido
para destacar, ya que la fase en la que ha entrado la economía mundial en
los últimos años ha demostrado que grandes empresas multinacionales,
incluidos grandes estudios de auditoría, pueden sucumbir o sufrir serios
perjuicios como consecuencia de los riesgos comerciales y/o riesgos de
fraude relacionados (debe tenerse en cuenta que, según información
recogida de buena fuente, se acabó la posibilidad de contratar seguros
internacionales globales que cubran responsabilidades de dirección, por
haber abandonado dicho renglón las grandes compañías mundiales
ase/reaseguradoras —por ejemplo, el Lloyd's del Reino Unido—).

8. CONTROLES Y FRAUDE

Corresponde hacer un análisis general en función de la responsabilidad

que le cabe al profesional relacionado con el ente y con los estados
contables sobre los que informa. En este sentido es importante que,
detectado algún tipo de procedimiento que implique fraude, malversación o
manejos no correctos en las operaciones, o a su vez, procedimientos que
lleven a manejos incorrectos o a problemas de salvaguarda de los activos
deban necesariamente ser incluidos en las recomendaciones sobre los
sistemas de información, contabilidad y control. Por supuesto, dependerá de
la magnitud de estos problemas y la naturaleza y oportunidad de su
ocurrencia, que sean informados en un informe individual, en conjunto o
mantener conversaciones especiales con miembros claves de la
organización.

El mensaje es el siguiente: no es labor del auditor detectar fraudes o

errores. Sí pueden llegar a detectarse como parte de la labor de auditoría.
Una vez detectados lo primero y fundamental es informarlos al nivel
gerencial adecuado, luego, dejar constancia escrita de esa cuestión para
salvar la responsabilidad profesional y por último, evaluar las implicancias
que estos fraudes o errores pudieron haber tenido o tienen en los estados
contables y a su vez, efectuar las recomendaciones o sugerencias
necesarias para su solución.

La determinación del nivel gerencial adecuado para comunicar la

existencia de un presunto (o, a veces, concreto) fraude es una cuestión de
juicio profesional; no obstante debe ser por lo menos el nivel inmediato
superior a las personas que aparecen implicadas en el presunto ilícito.

Es posible que como consecuencia de la existencia de un fraude

(concreto o presunto), el auditor deba considerar la posibilidad de retirarse
del trabajo; ello luego de un cuidadoso análisis de las responsabilidades
legales y profesionales que le competen, definiendo la forma adecuada de
hacerlo (para que no implique un "abandono" del trabajo, penado por el
Código de Ética).
 La posibilidad de fraude y todas sus consecuencias en el ente auditado y
en el proceso de auditoría, han sido tratadas profusamente en la NIA 240
"Responsabilidad del auditor de considerar el fraude en la auditoría de
estados financieros".

9. CONSIDERACIÓN DE LOS CONTROLES INTERNOS SEGÚN EL "INFORME COSO"

Con diferentes enfoques, el sistema de control interno de cualquier

empresa ha sido definido en numerosos tratados y pronunciamientos. En
opinión de los autores, el sistema de control interno mejor abordado y
detallado es el correspondiente al "Comittee of Sponsoring Organizations"
(COSO) dependiente de la comisión del Senado de los Estados Unidos, la
"Treadway Commission, National Commission on Fraudulent Financial
Reporting", ampliamente conocido como el "Informe COSO".

El Informe COSO, actualizado en mayo de 2013 (reemplaza a su

antecesor de 1992), define de la siguiente forma al control interno:

"...un proceso efectuado por el consejo de administración, la dirección y el

resto del personal de una entidad, diseñado con el objeto de proporcionar
un grado de seguridad razonable en cuanto a la consecución de objetivos
de operación, información y cumplimiento".

Esta definición resalta que todos los miembros de una organización son
responsables de la implantación y correcto funcionamiento del sistema de
control interno, siendo la Dirección el principal responsable. No son los
auditores internos los responsables de implementar y velar por el correcto
funcionamiento del sistema de control interno. La responsabilidad recae
fundamentalmente sobre la Dirección, a partir de los niveles más altos y
luego en cascada, en todos los niveles directivos intermedios.

Los auditores internos desarrollan una importante función en lo que se

refiere a la evaluación del sistema de control interno. Su dependencia
jerárquica de la más alta Dirección les garantiza la suficiente independencia
para desarrollar su trabajo en forma eficaz.

En el capítulo 32 de la obra se presentan los principales aspectos del

informe COSO relacionados con la aplicación de la Ley Sarbanes-Oxley.