NIA 315: IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO
1. Alcance de esta NIA:
Esta Norma Internacional de Auditoría (NIA) trata
de la responsabilidad que tiene el auditor de identificar y valorar los riesgos
de incorrección material en los estados financieros, mediante el conocimiento
de la entidad y de su entorno, incluido el control interno de la entidad.
2.
Fecha de entrada en vigor
Esta NIA es
aplicable a las auditorías de estados financieros correspondientes a periodos
iniciados a partir del 15 de diciembre de 2009.
3. Objetivo
El objetivo del auditor es identificar y valorar
los riesgos de incorrección material, debida a fraude o error, tanto en los
estados financieros como en las afirmaciones, mediante el conocimiento de la
entidad y de su entorno, incluido su control interno, con la finalidad de
proporcionar una base para el diseño y la implementación de respuestas a los
riesgos valorados de incorrección material.
4. Definiciones
A efectos de las NIA, los siguientes términos tienen los significados
que figuran a continuación:
(a)
Afirmaciones: manifestaciones de la dirección, explícitas o no, incluidas en
los estados financieros y tenidas en cuenta por el auditor al considerar los
distintos tipos de incorrecciones que pueden existir.
(b)
Riesgo de negocio: riesgo derivado de condiciones, hechos, circunstancias,
acciones u omisiones significativos que podrían afectar negativamente a la
capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias
o derivado del establecimiento de objetivos y estrategias inadecuados
(c)
Control interno: el proceso diseñado, implementado y mantenido por los
responsables del gobierno de la entidad, la dirección y otro personal, con la
finalidad de proporcionar una seguridad razonable sobre la consecución de los
objetivos de la entidad relativos a la fiabilidad de la información financiera,
la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de
las disposiciones legales y reglamentarias aplicables. El término "controles"
se refiere a cualquier aspecto relativo a uno o más componentes del control
interno.
(d) Procedimientos de
valoración del riesgo: procedimientos de auditoría aplicados para obtener
conocimiento sobre la entidad y su entorno, incluido su control interno, con el
objetivo de identificar y valorar los riesgos de incorrección material, debida
a fraude o error, tanto en los estados financieros como en las afirmaciones
concretas contenidas en éstos.
(e) Riesgo
significativo: riesgo identificado y valorado de incorrección material que, a
juicio del auditor, requiere una consideración especial en la auditoría.
5.
Procedimientos de valoración del riesgo y actividades relacionadas
El auditor aplicará procedimientos de valoración
del riesgo con el fin de disponer de una base para identificar y valorar los
riesgos de incorrección material en los estados financieros y en las
afirmaciones. No obstante, los procedimientos de valoración del riesgo por sí
solos no proporcionan evidencia de auditoría suficiente y adecuada en la que
basar la opinión de auditoría. (Ref: Apartados A1-A5)
Los
procedimientos de valoración del riesgo incluirán los siguientes:
(a) Indagaciones ante
la dirección y ante otras personas de la entidad que, a juicio del auditor,
puedan disponer de información que pueda facilitar la identificación de los
riesgos de incorrección material, debida a fraude o error. (Ref: Apartado A6).
(b) Procedimientos analíticos
(Ref: Apartados A7-A10)
(c) Observación e inspección.
(Ref: Apartado A11)
El auditor considerará si la información obtenida
durante el proceso de aceptación y continuidad del cliente realizado por el
auditor es relevante para identificar riesgos de incorrección material.
Si el socio del encargo ha realizado otros encargos
para la entidad, considerará si la información obtenida es relevante para
identificar riesgos de incorrección material.
Cuando el auditor tenga la intención de utilizar
información obtenida de su experiencia anterior con la entidad y de procedimientos
de auditoría aplicados en auditorías anteriores, determinará si se han
producido cambios desde la anterior auditoría que puedan afectar a su
relevancia para la auditoría actual. (Ref: Apartados A12-A13)
El socio del encargo y otros miembros clave del
equipo discutirán la probabilidad de que en los estados financieros de la
entidad existan incorrecciones materiales, y la aplicación del marco de
información financiera aplicable a los hechos y circunstancias de la entidad.
El socio del encargo determinará las cuestiones que deben ser comunicadas a los
miembros del equipo que no participaron en la discusión. (Ref: Apartados
A14-A16)
·
El conocimiento requerido de la entidad y su entorno, incluido su control
interno
11. La entidad y su entorno
El auditor obtendrá conocimiento de lo siguiente:
(a) Factores relevantes sectoriales y normativos,
así como otros factores externos, incluido el marco de información financiera
aplicable. (Ref: Apartados A17-A22)
La naturaleza de la entidad, en particular:
(i) sus operaciones;
(ii) sus estructuras de
gobierno y propiedad;
(iii) los tipos de
inversiones que la entidad realiza o tiene previsto realizar, incluidas las
inversiones en entidades con cometido especial; y
(iv) el modo en que
la entidad se estructura y la forma en que se financia para permitir al auditor
comprender los tipos de transacciones, saldos contables e información a revelar
que se espera encontrar en los estados financieros. (Ref: Apartados A23-A27)
La selección y aplicación de políticas contables
por la entidad, incluidos los motivos de cambios en ellas. El auditor evaluará
si las políticas contables de la entidad son adecuadas a sus actividades y
congruentes con el marco de información financiera aplicable, así como con las
políticas contables utilizadas en el sector correspondiente. (Ref: Apartado
A28)
Los objetivos y las estrategias de la entidad, así
como los riesgos de negocio relacionados, que puedan dar lugar a incorrecciones
materiales. (Ref: Apartados A29-A35)
La medición y revisión de la evolución financiera
de la entidad. (Ref: Apartados A36-A41)
12. El control interno de la entidad
El auditor obtendrá conocimiento del control
interno relevante para la auditoría. Si bien es probable que la mayoría de los
controles relevantes para la auditoría estén relacionados con la información
financiera, no todos los controles relativos a la información financiera son
relevantes para la auditoría. El hecho de que un control, considerado
individualmente o en combinación con otros, sea o no relevante para la
auditoría es una cuestión de juicio profesional del auditor. (Ref: Apartados
A42-A65)
13. Naturaleza y extensión del conocimiento de los controles relevantes
Al obtener conocimiento de los controles relevantes
para la auditoría, el auditor evaluará el diseño de dichos controles y
determinará si se han implementado, mediante la aplicación de procedimientos
adicionales a la indagación realizada entre el personal de la entidad. (Ref:
Apartados A66-A68)
Componentes
del control interno
14. Entorno de control
El auditor obtendrá conocimiento del entorno de
control. Como parte de este conocimiento, el auditor evaluará si:
(a) la dirección, bajo la supervisión de los
responsables del gobierno de la entidad, ha establecido y mantenido una cultura
de honestidad y de comportamiento ético; y si
(b) los puntos fuertes de los elementos del entorno
de control proporcionan colectivamente una base adecuada para los demás
componentes del control interno y si estos otros componentes no están
menoscabados como consecuencia de deficiencias en el entorno de control. (Ref:
Apartados A69-A78)
15. El
proceso de valoración del riesgo por la entidad
El
auditor obtendrá conocimiento de si la entidad tiene un proceso para:
(a) la
identificación de los riesgos de negocio relevantes para los objetivos de la
información financiera;
(b) la estimación de la significatividad
de los riesgos;
(c) la valoración de su
probabilidad de ocurrencia; y
(d) la toma de
decisiones con respecto a las actuaciones para responder a dichos riesgos.
(Ref: Apartado A79)
Si la entidad ha establecido dicho proceso
(denominado en lo sucesivo “proceso de valoración del riesgo por la entidad”),
el auditor obtendrá conocimiento de tal proceso y de sus resultados.
Cuando el auditor identifique riesgos de
incorrección material no identificados por la dirección, evaluará si existía un
riesgo subyacente de tal naturaleza que, a juicio del auditor, debería haber
sido identificado por el proceso de valoración del riesgo por la entidad. Si
existe dicho riesgo, el auditor obtendrá conocimiento del motivo por el que el
citado proceso no lo identificó, y evaluará si dicho proceso es adecuado en
esas circunstancias o determinará si existe una deficiencia significativa en el
control interno en relación con el proceso de valoración del riesgo por la
entidad.
Si la entidad no ha establecido dicho proceso, o
cuenta con uno ad hoc, el auditor discutirá con la dirección si han sido
identificados riesgos de negocio relevantes para los objetivos de la
información financiera y el modo en que se les ha dado respuesta. El auditor
evaluará si es adecuada, en función de las circunstancias, la ausencia de un
proceso de valoración del riesgo documentado o determinará si constituye una
deficiencia significativa en el control interno. (Ref: Apartado A80)
18. El sistema de información, incluidos los
procesos de negocio relacionados, relevante para la información financiera, y
la comunicación.
El auditor obtendrá conocimiento del sistema de
información, incluidos los procesos de negocio relacionados, relevante para la
información financiera, incluidas las siguientes áreas:
(a) los tipos de transacciones en las operaciones
de la entidad que son significativos para los estados financieros;
(b) los procedimientos, relativos tanto
a las tecnologías de la información (TI) como a los sistemas manuales, mediante
los que dichas transacciones se inician, se registran, se procesan, se corrigen
en caso necesario, se trasladan al libro mayor y se incluyen en los estados
financieros;
(c) los
registros contables relacionados, la información que sirve de soporte y las
cuentas específicas de los estados financieros que son utilizados para iniciar,
registrar y procesar transacciones e informar sobre ellas; esto incluye la
corrección de información incorrecta y el modo en que la información se
traslada al libro mayor; los registros pueden ser tanto manuales como
electrónicos;.
(d) el
modo en que el sistema de información captura los hechos y condiciones,
distintos de las transacciones, significativos para los estados financieros;
(e) el proceso
de información financiera utilizado para la preparación de los estados
financieros de la entidad, incluidas las estimaciones contables y la
información a revelar significativas; y
los controles sobre los asientos en el libro
diario, incluidos aquellos asientos que no son estándar y que se utilizan para
registrar transacciones o ajustes no recurrentes o inusuales. (Ref: Apartados
A81-A85)
El auditor obtendrá conocimiento del modo en que la
entidad comunica las funciones y responsabilidades relativas a la información
financiera y las cuestiones significativas relacionadas con dicha información
financiera, incluidas: (Ref: Apartados A86-A87)
(a) comunicaciones
entre la dirección y los responsables del gobierno de la entidad; y
(b)
comunicaciones externas, tales como las realizadas con las autoridades
reguladoras.
Actividades de control relevantes para la auditoría
El auditor obtendrá conocimiento de las actividades de control
relevantes para la auditoría, que serán aquellas que, a su juicio, es necesario
conocer para valorar los riesgos de incorrección material en las afirmaciones y
para diseñar los procedimientos de auditoría posteriores que respondan a los
riesgos valorados. Una auditoría no requiere el conocimiento de todas las
actividades de control relacionadas con cada tipo significativo de transacción,
de saldo contable y de información a revelar en los estados financieros o con
cada afirmación correspondiente a ellos. (Ref: Apartados A88-A94).
Para llegar a conocer las actividades de control de
la entidad, el auditor obtendrá conocimiento del modo en que la entidad ha
respondido a los riesgos derivados de las TI. (Ref: Apartados A95-A97)
Seguimiento de los controles
El auditor obtendrá conocimiento de las principales
actividades que la entidad lleva a cabo para realizar un seguimiento del
control interno relativo a la información financiera, incluidas las actividades
de control interno relevantes para la auditoría, y del modo en que la entidad
inicia medidas correctoras de las deficiencias en sus controles. (Ref:
Apartados A98-A100)
Si la entidad cuenta con una función de auditoría
interna1 ,el auditor, con el fin de determinar si la función de auditoría
interna puede ser relevante para la auditoría, obtendrá conocimiento de lo
siguiente:
(a) la naturaleza de
las responsabilidades de la función de auditoría interna y el modo en que se
integra en la estructura organizativa de la entidad; y
(b) las
actividades que han sido o que serán realizadas por la función de auditoría
interna. (Ref: Apartados A101-A103)
El auditor obtendrá conocimiento de las fuentes de
información utilizadas en las actividades de seguimiento realizadas por la
entidad y la base de la dirección para considerar que dicha información es
suficientemente fiable para dicha finalidad. (Ref: Apartado A104).
Obtendrá conocimiento de las actividades de control relevantes para la
auditoría, El auditor identificará y valorará los riesgos de
incorrección material en:
(a) los estados
financieros; y (Ref: Apartados A105-A108)
(b) las
afirmaciones sobre tipos de transacciones, saldos contables e información a
revelar (Ref: Apartados A109-A113) que le proporcionen una base para el diseño
y la realización de los procedimientos de auditoría posteriores.
Con esta finalidad, el auditor:
(a) identificará los riesgos a través
del proceso de conocimiento de la entidad y de su entorno, incluidos los
controles relevantes relacionados con los riesgos, y mediante la consideración
de los tipos de transacciones, saldos contables e información a revelar en los
estados financieros; (Ref: Apartados A114-A115)
(b) valorará
los riesgos identificados y evaluará si se relacionan de modo generalizado con
los estados financieros en su conjunto y si pueden afectar a muchas
afirmaciones;
(c) relacionará los riesgos
identificados con posibles incorrecciones en las afirmaciones, teniendo en
cuenta los controles relevantes que el auditor tiene intención de probar; y
(Ref: Apartados A116-A118)
(d) considerará la
probabilidad de que existan incorrecciones, incluida la posibilidad de
múltiples incorrecciones, y si la incorrección potencial podría, por su
magnitud, constituir una incorrección material.
27. Riesgos que requieren una consideración
especial de auditoría
Como parte de la valoración del riesgo descrita en
el apartado 25, el auditor determinará si alguno de los riesgos identificados
es, a su juicio, un riesgo significativo. En el ejercicio de dicho juicio, el
auditor excluirá los efectos de los controles identificados relacionados con el
riesgo.
Para juzgar los riesgos que son significativos, el
auditor considerará, al menos, lo siguiente:
(a) si se trata de un
riesgo de fraude;
(b)
si el riesgo está relacionado con significativos y recientes acontecimientos
económicos, contables o de otra naturaleza y, en consecuencia, requiere una
atención especial;
(c) la complejidad de las
transacciones;
(d) si el riesgo afecta a
transacciones significativas con partes vinculadas;
(e) el grado de
subjetividad de la medición de la información financiera relacionada con el
riesgo, en especial aquellas mediciones que conllevan un elevado grado de
incertidumbre; y
(f) si el
riesgo afecta a transacciones significativas ajenas al curso normal de los
negocios de la entidad, o que, por otras razones, parecen inusuales. (Ref:
Apartados A119-A123)
Si el auditor ha determinado que existe un riesgo
significativo, obtendrá conocimiento de los controles de la entidad, incluidas
las actividades de control, correspondientes a dicho riesgo. (Ref: Apartados
A124-A126)
30. Riesgos para los que los procedimientos
sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y
adecuada
Con respecto a ciertos riesgos, el auditor puede
juzgar que no es posible o factible obtener evidencia de auditoría suficiente y
adecuada aplicando únicamente procedimientos sustantivos. Dichos riesgos pueden
estar relacionados con el registro inexacto o incompleto de tipos de
transacciones o saldos contables rutinarios y significativos, cuyas
características permiten a menudo un procesamiento muy automatizado con escasa
o ninguna intervención manual. En tales casos, los controles de la entidad
sobre dichos riesgos son relevantes para la auditoría y el auditor obtendrá
conocimiento de ellos. (Ref: Apartados A127-A129)
31. Revisión de la valoración del riesgo
La valoración de los riesgos de incorrección material
en las afirmaciones puede variar en el transcurso de la auditoría, a medida que
se obtiene evidencia de auditoría adicional. Cuando el auditor haya obtenido
evidencia de auditoría de la aplicación de procedimientos de auditoría
posteriores, o bien cuando haya obtenido nueva información, y en uno y otro
caso sean incongruentes con la evidencia de auditoría sobre la que el auditor
basó inicialmente la valoración, el auditor revisará la valoración y
modificará, en consecuencia, los procedimientos de auditoría posteriores que
hubiera planificado. (Ref: Apartado A130)
32. Documentación
El auditor incluirá en la documentación de auditoría:
(a) los
resultados de la discusión entre el equipo del encargo, cuando lo requiera el
apartado 10, así como las decisiones significativas que se tomaron;
(b) los
elementos clave del conocimiento obtenido en relación con cada uno de los
aspectos de la entidad y de su entorno, detallados en el apartado 11, así como
de cada uno de los componentes del control interno enumerados en los apartados
14-24; las fuentes de información de las que proviene dicho conocimiento; y los
procedimientos de valoración del riesgo aplicados;
(c) los riesgos de
incorrección material en los estados financieros y en las afirmaciones, identificados
y valorados de conformidad con lo requerido en el apartado 25; y.
(d) los riesgos
identificados, así como los controles relacionados con ellos, respecto de los
que el auditor ha obtenido conocimiento como resultado de los requerimientos de
los apartados 27-30. (Ref: Apartados A131-A134)
A1.
Procedimientos de valoración del riesgo y actividades relacionadas (Ref:
Apartado 5)
La obtención de conocimiento de la entidad y su
entorno, incluido el control interno de la entidad (denominado en lo sucesivo
“conocimiento de la entidad”), es un proceso continuo y dinámico de
recopilación, actualización y análisis de información durante toda la
auditoría. El conocimiento constituye un marco de referencia dentro del cual el
auditor planifica la auditoría y aplica su juicio profesional a lo largo de
ella. Por ejemplo:
• en la valoración de los riesgos de incorrección material
en los estados financieros;
• en la determinación de la
importancia relativa, de conformidad con la NIA 3203;
• al considerar
la adecuación de la selección y aplicación de políticas contables, así como de
las revelaciones de información en los estados financieros
•
en la identificación de las áreas en las que puede resultar necesaria una
consideración especial de la auditoría; por ejemplo, en transacciones con
partes vinculadas, en la adecuación de la aplicación, por parte de la
dirección, de la hipótesis de empresa en funcionamiento, o en la consideración
de la finalidad empresarial de las transacciones;
• en el desarrollo de
expectativas para su utilización en la aplicación de procedimientos analíticos;
• al responder
a los riesgos valorados de incorrección material, incluido el diseño y la
aplicación de procedimientos de auditoría posteriores con el fin de obtener
evidencia de auditoría suficiente y adecuada; y
• en la evaluación de
la suficiencia y adecuación de la evidencia de auditoría obtenida, tal como la
adecuación de las hipótesis y de las manifestaciones verbales y escritas de la
dirección.
La información obtenida de la aplicación de
procedimientos de valoración del riesgo y de las actividades relacionadas puede
ser utilizada por el auditor como evidencia de auditoría para sustentar
valoraciones de riesgos de incorrección material. Asimismo, el auditor puede
obtener evidencia de auditoría sobre tipos de transacciones, saldos contables o
información a revelar y las afirmaciones relacionadas, así como sobre la
eficacia operativa de los controles, incluso aunque dichos procedimientos no
fueran específicamente planificados como procedimientos sustantivos o como
pruebas de controles. El auditor también puede elegir aplicar procedimientos
sustantivos o pruebas de controles conjuntamente con procedimientos de
valoración del riesgo porque resulte eficiente.
El auditor aplica su juicio profesional para
determinar el grado de conocimiento necesario. La principal consideración del
auditor es determinar si el conocimiento obtenido es suficiente para alcanzar
los objetivos establecidos en la presente NIA. El grado de conocimiento general
de la entidad que se requiere al auditor es inferior al poseído por la
dirección para dirigir la entidad.
Los riesgos que deben ser valorados incluyen tanto
los que se deben a error como los debidos a fraude, y ambos se tratan en la
presente NIA. Sin embargo, la significatividad del fraude es tal que la NIA 240
incluye requerimientos y orientaciones adicionales sobre los procedimientos de
valoración del riesgo y actividades relacionadas para obtener información
con el fin de identificar los riesgos de
incorrección material debida a fraude.
Si bien se requiere que el auditor aplique todos
los procedimientos de valoración del riesgo descritos en el apartado 6 para la
obtención del conocimiento de la entidad (véanse los apartados 11-24), no se
requiere que el auditor aplique todos ellos para cada aspecto de dicho
conocimiento. Se pueden aplicar otros procedimientos cuando la información que
se va a obtener de ellos pueda ser útil para la identificación de riesgos de
incorrección material. Como ejemplos de dichos procedimientos cabe citar:
• La
revisión de información obtenida de fuentes externas, tales como revistas de
negocios y económicas, informes de analistas, de entidades bancarias o de
agencias de calificación, o bien de publicaciones regulatorias o financieras.
• La
realización de indagaciones entre los asesores jurídicos externos o entre los
expertos en valoraciones a los que la entidad haya acudido.
A6.
Indagaciones ante la dirección y ante otras personas de la entidad (Ref:
Apartado 6(a))
Una parte importante de la información obtenida a
través de las indagaciones del auditor procede de la dirección y de los
responsables de la información financiera. Sin embargo, en la identificación de
los riesgos de incorrección material, el auditor también puede obtener
información, o una perspectiva diferente, mediante indagaciones entre otras
personas de la entidad y entre otros empleados con diferentes niveles de
autoridad. Por ejemplo:
• Las indagaciones ante los responsables del
gobierno de la entidad pueden ayudar al auditor a comprender el entorno en el
que se preparan los estados financieros.
•
Las indagaciones entre el personal de auditoría interna pueden proporcionar
información acerca de los procedimientos de auditoría interna aplicados durante
el ejercicio, relativos al diseño y a la eficacia del control interno de la
entidad, así como acerca de si la dirección ha respondido de manera
satisfactoria a los hallazgos derivados de dichos procedimientos.
•
Las indagaciones entre empleados que participan en la puesta en marcha,
procesamiento o registro de transacciones complejas o inusuales pueden ayudar
al auditor a evaluar la adecuación de la selección y aplicación de ciertas
políticas contables.
•
Las indagaciones ante los asesores jurídicos internos pueden proporcionar
información acerca de cuestiones tales como litigios, cumplimiento de las
disposiciones legales y reglamentarias, conocimiento de fraude o de indicios de
fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos
(tales como negocios conjuntos) con socios comerciales y el significado de
términos contractuales
Las indagaciones entre el personal de los
departamentos de mercadotecnia o de ventas pueden proporcionar información
acerca de los cambios en las estrategias de marketing de la entidad, tendencias
de las ventas, o acuerdos contractuales con los clientes.
A7.
Procedimientos analíticos (Ref: Apartado 6(b))
Los procedimientos analíticos aplicados como
procedimientos de valoración del riesgo pueden identificar aspectos de la
entidad que el auditor no conocía y facilitar la valoración de riesgos de
incorrección material con el fin de disponer de una base para el diseño y la
implementación de respuestas a los riesgos valorados. Los procedimientos
analíticos aplicados como procedimientos de valoración del riesgo pueden
incluir información tanto financiera como no financiera, como, por ejemplo, la
relación entre las ventas y la superficie destinada a las ventas o el volumen
de los productos vendidos.
Los procedimientos analíticos pueden ayudar a la
identificación de la existencia de transacciones o hechos inusuales, así como
de cantidades, ratios y tendencias que pueden poner de manifiesto cuestiones
que tengan implicaciones para la auditoría. Las relaciones inusuales o
inesperadas que se identifiquen pueden facilitar al auditor la identificación
de riesgos de incorrección material, especialmente los debidos al fraude.
Sin embargo, cuando en dichos procedimientos analíticos se utilicen
datos con un elevado grado de agregación (como puede ser el caso de
procedimientos analíticos aplicados como procedimientos de valoración del
riesgo), los resultados de dichos procedimientos analíticos sólo proporcionan
una indicación general inicial sobre la posible existencia de una incorrección
material. En consecuencia, en dichos casos, la consideración de otra
información obtenida durante la identificación de riesgos de incorrección
material, conjuntamente con los resultados de dichos procedimientos analíticos
puede facilitar al auditor la comprensión y la evaluación de los resultados de
los procedimientos analíticos
A10. Consideraciones específicas para entidades de pequeña dimensión
Algunas entidades de pequeña dimensión pueden no disponer de información
financiera intermedia o mensual que pueda utilizarse para la aplicación de
procedimientos analíticos. En estas circunstancias, aunque el auditor pueda
aplicar procedimientos analíticos limitados con el fin de planificar la auditoría
u obtener alguna información a través de indagación, puede resultar necesario
que el auditor planifique aplicar procedimientos analíticos para identificar y
valorar los riesgos de incorrección material cuando esté disponible un primer
borrador de los estados financieros de la entidad.
A11.Observación e inspección (Ref: Apartado 6(c))
La observación y la inspección pueden dar soporte a
las indagaciones ante la dirección y ante otras personas, y pueden asimismo
proporcionar información acerca de la entidad y de su entorno. Ejemplos de
dichos procedimientos de auditoría incluyen la observación o inspección de:
• Las operaciones de la
entidad.
• Documentos (como
planes y estrategias de negocio), registros y manuales de control interno.
•
Informes preparados por la dirección (como por ejemplo informes de gestión
trimestrales y estados
financieros intermedios) y por los responsables del
gobierno de la entidad (como por ejemplo actas de las reuniones del consejo de
administración).
• Los locales e instalaciones
industriales de la entidad.
A12. Información obtenida en periodos anteriores (Ref: Apartado 9)
La experiencia previa del auditor con la entidad y
los procedimientos de auditoría aplicados en auditorías anteriores pueden
proporcionar al auditor información sobre cuestiones como:
• Incorrecciones pasadas y si
fueron oportunamente corregidas.
• La naturaleza de la
entidad y su entorno, y el control interno de la entidad (incluidas las
deficiencias en el control interno).
•
Cambios significativos que pueden haberse producido en la entidad o en sus
operaciones desde el periodo anterior, que pueden facilitar al auditor la
obtención de conocimiento suficiente de la entidad para identificar y valorar
los riesgos de incorrección material.
Si el auditor tiene intención de utilizar la
información obtenida en periodos anteriores para los fines de la auditoría
actual, determinará si sigue siendo relevante. Esto se debe a que los cambios
en el entorno de control, por ejemplo, pueden afectar a la relevancia de la
información obtenida en el ejercicio anterior. Con el fin de determinar si se
han producido cambios que puedan afectar a la relevancia de dicha información,
el auditor puede realizar indagaciones y aplicar otros procedimientos de
auditoría adecuados, tales como la comprobación paso a paso de sistemas
relevantes.
A14.
Discusión entre los miembros del equipo del encargo (Ref: Apartado 10)
La discusión entre los miembros del equipo del
encargo sobre la probabilidad de que en los estados financieros de la entidad
existan incorrecciones materiales:
• Proporciona una oportunidad a los miembros del
equipo del encargo con más experiencia, incluido el socio del encargo, de
compartir su información basada en su conocimiento de la entidad.
• Permite a los
miembros del equipo del encargo intercambiar información sobre los riesgos de
negocio a los que está sometida la entidad, así como sobre el modo en que los
estados financieros de la entidad pueden estar expuestos a incorrecciones
materiales debidas a fraude o error y sobre su posible localización.
• Facilita a los
miembros del equipo del encargo la obtención de un mejor conocimiento de la
posibilidad de que los estados financieros contengan una incorrección material
en el área específica que les ha sido asignada, así como la comprensión de la
manera en que los resultados de los procedimientos de auditoría aplicados por
ellos pueden afectar a otros aspectos de la auditoría, incluidas las decisiones
sobre la naturaleza, momento de realización y extensión de procedimientos de
auditoría posteriores.
Proporciona una base para que los miembros del
equipo del encargo se comuniquen y compartan nueva información, obtenida en el
curso de la auditoría, que puede afectar a la valoración del riesgo de
incorrección material o a los procedimientos de auditoría realizados para
responder a dichos riesgos.
La NIA 240 proporciona requerimientos y
orientaciones adicionales en relación con la discusión entre los miembros del
equipo del encargo sobre los riesgos de fraude.
No siempre es necesario o práctico que participen
todos los miembros en una misma discusión (como, por ejemplo, en el caso de una
auditoría en múltiples ubicaciones), ni es necesario que todos los miembros del
equipo del encargo estén informados de todas las decisiones que se tomen en la
discusión.
El socio del encargo puede discutir las cuestiones
con miembros clave del equipo del encargo, incluidos, si se considera adecuado,
los especialistas y los responsables de las auditorías de los componentes,
delegando la discusión con otros miembros, teniendo en cuenta la extensión de
la comunicación a la totalidad del equipo del encargo que se considera
necesaria. Puede ser útil un plan de comunicaciones acordado por el socio del encargo.
A16.
Consideraciones específicas para entidades de pequeña dimensión
Numerosas auditorías pequeñas las lleva a cabo en
su totalidad el socio del encargo (que puede ser un profesional ejerciente
individual). En estas situaciones, el socio del encargo, que ha desarrollado
personalmente la planificación de la auditoría, tiene la responsabilidad de
considerar la susceptibilidad de los estados financieros de la entidad a
incorrecciones materiales debidas a fraude o error.
A23. Naturaleza de la entidad (Ref: Apartado 11(b))
El conocimiento de la naturaleza de la entidad permite al auditor
comprender cuestiones como:
• Si la entidad tiene
una estructura compleja; por ejemplo, con entidades dependientes u otros
componentes en múltiples ubicaciones. Las estructuras complejas a menudo
implican cuestiones que pueden dar lugar a riesgos de incorrección material.
Entre esas cuestiones están, por ejemplo, las relativas a la adecuada
contabilización del fondo de comercio, de los negocios conjuntos, de las
inversiones o de las entidades con cometido especial.
• La propiedad
y las relaciones entre los propietarios y otras personas o entidades. Dicho
conocimiento facilita la determinación de si las transacciones con partes
vinculadas han sido adecuadamente identificadas y contabilizadas. La NIA 550
establece requerimientos y proporciona orientaciones para las consideraciones
del auditor relativas a las partes vinculadas.
Entre los ejemplos de cuestiones que el auditor puede considerar para
obtener conocimiento de la naturaleza de la entidad, se incluyen:
•
Actividad operativa, tales como:
○ Naturaleza de las
fuentes de ingresos, productos o servicios, y mercados, incluida la
participación en el comercio electrónico, como las ventas por internet y las
actividades de marketing.
○
Desarrollo de las operaciones (por ejemplo, etapas y métodos de producción, o
actividades expuestas a riesgos medioambientales).
○ Alianzas, negocios
conjuntos y externalización de actividades.
○ Dispersión geográfica y
segmentación sectorial.
○
Ubicación de las instalaciones de producción, almacenes y oficinas, así como
ubicación y cantidades de existencias.
○ Clientes
clave y proveedores importantes de bienes y servicios, acuerdos laborales
(incluida la existencia de convenios colectivos, compromisos por pensiones u
otros beneficios posteriores a la jubilación, acuerdos de opciones sobre
acciones y de bonos de incentivos, así como la regulación gubernamental en
relación con las cuestiones laborales).
○ Actividades y gastos en
investigación y desarrollo.
○ Transacciones con partes
vinculadas.
•
Inversiones y actividades de inversión, tales como:
○ Adquisiciones o
desinversiones previstas o recientemente realizadas.
○ Inversiones y disposiciones
de valores y préstamos.
○ Actividades de inversión en
capital.
○ Inversiones en
entidades no consolidadas, incluidas sociedades, negocios conjuntos y entidades
con cometido especial.
Financiación y actividades de financiación, tales como:
○ Principales
entidades dependientes y asociadas, incluidas estructuras consolidadas y no
consolidadas.
○
Estructura de la deuda y sus condiciones, incluidos los acuerdos de
financiación fuera de balance y los acuerdos de arrendamiento.
○ Beneficiarios
efectivos (nacionales, extranjeros, reputación comercial y experiencia) y
partes vinculadas.
○ Uso de instrumentos
financieros derivados.
Información financiera, tal como:
○
Principios contables y prácticas sectoriales específicas, incluidas las
categorías significativas específicas del sector (por ejemplo, préstamos e
inversiones en el caso del sector bancario, o investigación y desarrollo en la
industria farmacéutica).
○ Prácticas de reconocimiento
de ingresos.
○ Contabilización a valor
razonable.
○ Activos, pasivos y
transacciones en moneda extranjera.
○
Contabilización de transacciones inusuales o complejas incluidas aquéllas en
áreas controvertidas o novedosas (por ejemplo, contabilización de pagos en
acciones).
Los cambios significativos en la entidad con respecto a periodos
anteriores pueden originar o modificar los riesgos de incorrección material.
A26. Naturaleza de las entidades con cometido especial
Una entidad con cometido especial (denominada en
algunos casos vehículo con cometido especial) es una entidad generalmente
constituida con un propósito limitado y bien definido, como por ejemplo llevar
a cabo un arrendamiento o una titulización de activos financieros, o
desarrollar actividades de investigación y desarrollo.
Puede adoptar la forma de una sociedad anónima,
otro tipo de sociedad, un fideicomiso o una entidad no constituida con forma
jurídica de sociedad. La entidad por cuenta de la que se ha constituido la
entidad con cometido especial puede a menudo transferirle activos (por ejemplo,
como parte de una transacción para dar de baja activos financieros), obtener el
derecho a utilizar sus activos, o prestarle servicios, a la vez que la entidad
con cometido especial puede obtener financiación de otras partes. Como se
indica en la NIA 550, en algunas circunstancias, una entidad con cometido
especial puede ser una parte vinculada de la entidad.
Los marcos de información financiera a menudo
establecen condiciones detalladas para delimitar lo que se entiende por
control, o circunstancias en las cuales la entidad con cometido especial
debería ser considerada consolidable. La interpretación de los requerimientos
de dichos marcos a menudo exige un conocimiento detallado de los acuerdos
relevantes en los que participa la entidad con cometido especial.
A28. La
selección y aplicación de políticas contables por la entidad (Ref: Apartado
11(c))
El conocimiento de la selección y aplicación de
políticas contables puede comprender cuestiones como:
• Los métodos
utilizados por la entidad para contabilizar transacciones significativas e
inusuales.
• El efecto de
políticas contables significativas en áreas emergentes o controvertidas para
las que hay una falta de orientaciones autorizadas o de consenso.
• Cambios en las políticas
contables de la entidad.
• Normas de
información financiera y disposiciones legales y reglamentarias que son nuevas
para la entidad, así como el modo y momento en que la entidad adoptará dichos
requerimientos.
A29. Objetivos y estrategias, así como riesgos de
negocio relacionados (Ref: Apartado 11(d))
La entidad desarrolla su actividad dentro de un
contexto de factores sectoriales y regulatorios, así como de otros factores
internos y externos. Para responder a dichos factores, la dirección o los
responsables del gobierno de la entidad definen objetivos, que constituyen los
planes generales de la entidad. Las estrategias son los enfoques que utilizará
la dirección para intentar alcanzar sus objetivos. Los objetivos y estrategias
de la entidad pueden cambiar con el transcurso del tiempo.
El riesgo de negocio es más amplio que el riesgo de
incorrección material en los estados financieros, aunque lo engloba. El riesgo
de negocio puede surgir del cambio o de la complejidad. No reconocer la
necesidad de cambio también puede dar lugar a un riesgo de negocio. El riesgo
de negocio puede originarse, por ejemplo, por:
• el desarrollo de nuevos
productos o servicios que pueden resultar fallidos;
• un
mercado que, incluso si ha sido desarrollado con éxito, es inadecuado para
sustentar un producto o servicio; o
• defectos en
un producto o servicio que pueden dar lugar a obligaciones y poner en riesgo la
reputación.
• Desarrollos
sectoriales (un riesgo de negocio potencial relacionado puede ser, por ejemplo,
que la entidad no cuente con el personal o la especialización para hacer frente
a los cambios en el sector).
• Nuevos productos y
servicios (un riesgo de negocio potencial relacionado puede ser, por ejemplo,
el aumento de las responsabilidades ligadas a los productos).
• Expansión del
negocio (un riesgo de negocio potencial relacionado con ello puede ser, por
ejemplo, que la demanda no haya sido estimada correctamente).
• Nuevos
requerimientos contables (un riesgo de negocio potencial relacionado puede ser,
por ejemplo, una implementación incompleta o incorrecta, o un incremento de los
costes).
•
Requerimientos normativos (un riesgo de negocio potencial relacionado puede
ser, por ejemplo, una mayor vulnerabilidad desde un punto de vista jurídico).
•
Requerimientos de financiación actuales y prospectivos (un riesgo de negocio
potencial relacionado puede ser, por ejemplo, la pérdida de financiación debido
a la incapacidad de la entidad de cumplir los requerimientos).
• La
utilización de TI (un riesgo de negocio potencial relacionado puede ser, por
ejemplo, que los sistemas y procesos sean incompatibles).
• Los efectos
de implementar una estrategia, en especial cualquier efecto que pueda dar lugar
a nuevos requerimientos contables (un riesgo de negocio potencial relacionado
puede ser, por ejemplo, una implementación incompleta o incorrecta).
Un riesgo de negocio puede tener una consecuencia inmediata sobre el
riesgo de incorrección material para tipos de transacciones, saldos contables e
información a revelar en las afirmaciones o en los estados financieros. Por
ejemplo, el riesgo de negocio originado por una reducción de la clientela puede
incrementar el riesgo de incorrección material ligada a la valoración de las
cuentas a cobrar. Sin embargo, ese mismo riesgo, especialmente si se combina
con un empeoramiento de la situación económica, puede tener también una
consecuencia a más largo plazo, que el auditor tiene en cuenta al valorar la
idoneidad de la hipótesis de empresa en funcionamiento. En consecuencia, el
considerar si un riesgo de negocio puede originar un riesgo de incorrección
material es una cuestión que se valora teniendo en cuenta las circunstancias de
la entidad. En el anexo 2 se enumeran ejemplos de condiciones y hechos que
pueden indicar la existencia de riesgos de incorrección material.
Por lo general, la dirección identifica los riesgos
de negocio y desarrolla enfoques para darles respuesta. Dicho proceso de
valoración del riesgo es un componente del control interno y se trata en el
apartado 15 y en los apartados A79-A80.
A35.Consideraciones
específicas para entidades del sector público
En el caso de auditorías de entidades del sector
público, los “objetivos de la dirección” pueden estar influenciados por
cuestiones relativas a la rendición de cuentas públicas e incluir objetivos que
tengan su origen en las disposiciones legales, reglamentarias o de otro tipo.
A36. Medición y revisión de la evolución financiera de la entidad (Ref:
Apartado 11(e))
La dirección y otras personas medirán y revisarán
aquello que consideren importante. Las mediciones del resultado, tanto externas
como internas, crean presiones sobre la entidad. A su vez, estas presiones
pueden llevar a la dirección a tomar medidas para mejorar los resultados o a
preparar estados financieros con incorrecciones.
En consecuencia, el conocimiento de las mediciones del resultado de la
entidad facilita al auditor la consideración de si las presiones para alcanzar
los resultados previstos pueden desencadenar actuaciones de la dirección que
incrementen los riesgos de incorrección material, incluidos los que se deben a
fraude. Véase la NIA 240 en relación con los requerimientos y orientaciones
sobre los riesgos de fraude.
La medición y revisión de la evolución financiera
no es lo mismo que el seguimiento de los controles (que se trata como
componente del control interno en los apartados A98-A104), aunque sus
propósitos se pueden solapar:
• La medición y
revisión de la evolución financiera tiene como finalidad comprobar si éstos
cumplen los objetivos fijados por la dirección (o por terceros).
•
El seguimiento de los controles se ocupa específicamente de la eficacia del
funcionamiento del control interno.
Sin embargo, en algunos casos, los indicadores de
evolución pueden proporcionar también información que permite a la dirección
identificar deficiencias en el control interno.
Ejemplos de información generada internamente
utilizada por la dirección para la medición y revisión de la evolución
financiera y que el auditor puede tener en cuenta, son, entre otros:
•
Indicadores claves de evolución (financieros y no financieros), así como
ratios, tendencias y estadísticas de operaciones claves.
• Análisis comparativo
de la evolución financiera entre periodos.
• Presupuestos,
pronósticos, análisis de desviaciones, información por segmentos, así como
informes de resultados por divisiones, departamentos u otros niveles.
•
Mediciones del desempeño de los empleados y políticas de incentivos.
•
Comparación de la actuación de una entidad con los
la
competencia
Terceros externos a la entidad también pueden medir
y revisar su evolución financiera. Por ejemplo, tanto la información externa
como los informes de los analistas y de las agencias de calificación crediticia
pueden constituir información útil para el auditor. Dichos informes se pueden a
menudo obtener de la entidad auditada.
Las mediciones internas pueden poner de manifiesto
resultados o tendencias inesperados que requieren que la dirección determine su
causa y adopte medidas correctoras (incluida, en algunos casos, la oportuna
detección y corrección de incorrecciones). Las mediciones de resultados también
pueden indicar al auditor la existencia de riesgos de incorrección de la
correspondiente información en los estados financieros. Por ejemplo, las
mediciones de resultados pueden indicar que la entidad experimenta un rápido
crecimiento o una rentabilidad inusuales en comparación con otras entidades del
mismo sector. Dicha información, en especial si se combina con otros factores,
como bonos o incentivos basados en los resultados, puede indicar un riesgo
potencial de sesgo de la dirección en la preparación de los estados
financieros.
A41. Consideraciones específicas para entidades de pequeña dimensión
A menudo las entidades de pequeña dimensión no
disponen de procesos para la medición y revisión de la evolución financiera. La
indagación ante la dirección puede revelar que ésta se basa en algunos indicadores
clave para evaluar la evolución financiera y adoptar medidas adecuadas. Si
dicha indagación indica la ausencia de medición o revisión de resultados, puede
haber un mayor riesgo de que las incorrecciones no sean detectadas y
corregidas.
A42. El control interno de la entidad (Ref: Apartado 12)
El conocimiento del control interno facilita al
auditor la identificación de tipos de incorrecciones potenciales y de factores
que afectan a los riesgos de incorrección material, así como el diseño de la
naturaleza, momento de realización y extensión de los procedimientos de
auditoría posteriores.
La guía
de aplicación siguiente relativa al control interno se divide en cuatro
secciones:
• Naturaleza general y
características del control interno.
• Controles relevantes para la
auditoría.
• Naturaleza y extensión del
conocimiento de los controles relevantes.
• Componentes del control
interno.
A44. Naturaleza general y características del control interno
Finalidad del control interno
El control interno se diseña, implementa y mantiene
con el fin de responder a los riesgos de negocio identificados que amenazan la
consecución de cualquiera de los objetivos de la entidad
referidos a:
• la fiabilidad de la
información financiera de la entidad;
• la eficacia y eficiencia de
sus operaciones; y
• el cumplimiento de las
disposiciones legales y reglamentarias aplicables.
La manera en que se diseña, implementa y mantiene el control interno
varía según la dimensión y la complejidad de la entidad.
A45. Consideraciones específicas para entidades de pequeña dimensión
Es posible que las entidades de pequeña dimensión
utilicen medios menos estructurados, así como procesos y procedimientos más
sencillos para alcanzar sus objetivos.
A49.
Limitaciones del control interno
El control interno, por muy eficaz que sea, sólo
puede proporcionar a la entidad una seguridad razonable del cumplimiento de sus
objetivos de información financiera. La probabilidad de que se cumplan se ve
afectada por las limitaciones inherentes al control interno. Estas incluyen el
hecho de que los juicios humanos a la hora de tomar decisiones pueden ser
erróneos y de que el control interno puede dejar de funcionar debido al error
humano. Por ejemplo, puede haber un error en el diseño o el cambio de un
control interno. Del mismo modo, el funcionamiento de un control puede no ser
eficaz, como sucede en el caso de que la
información producida para los fines del control interno (por ejemplo, un
informe de excepciones) no se utilice de manera eficaz porque la persona
responsable de la revisión de la información no comprenda su finalidad o no
adopte las medidas adecuadas.
Además, se pueden sortear los controles por
colusión entre dos o más personas o por la inadecuada elusión del control
interno por la dirección. Por ejemplo, la dirección puede suscribir acuerdos
paralelos con clientes que alteren los términos y condiciones de los contratos
de venta estándar de la entidad, lo que puede dar lugar a un reconocimiento de
ingresos incorrecto. Asimismo, se pueden eludir o invalidar filtros de un
programa informático diseñados para identificar e informar sobre transacciones
que superen determinados límites de crédito. Por otro lado, en el diseño e
implementación de los controles, la dirección puede realizar juicios sobre la
naturaleza y extensión de los controles que decide implementar y sobre la
naturaleza y extensión de los riesgos que decide asumir
Consideraciones específicas para entidades de pequeña dimensión
Las entidades de pequeña dimensión suelen tener
menos empleados, lo que puede limitar en la práctica la posibilidad de
segregación de funciones. Sin embargo, en una entidad pequeña dirigida por el
propietario, es posible que el propietario-gerente sea capaz de ejercer una supervisión
más eficaz que en una entidad de gran dimensión. Dicha supervisión puede
compensar la menor capacidad de establecer una segregación de funciones.
Por otro lado, el propietario-gerente puede tener
más posibilidades de eludir los controles porque el sistema de control interno
está menos estructurado. El auditor tiene en cuenta lo anterior en la
identificación de los riesgos de incorrección material debida a fraude.
A50. División del control interno en componentes
La división del control interno en los cinco
componentes siguientes, a efectos de las NIA, proporciona un marco útil para
que los auditores consideren el modo en que distintos aspectos del control
interno de una entidad pueden afectar a la auditoría.
(a) el entorno de control;
(b) el proceso de valoración del
riesgo por la entidad;
(c)
el sistema de información, incluidos los procesos de negocio relacionados,
relevantes para la información financiera, y la comunicación;
(d) actividades de control; y
(e) seguimiento de los
controles
Esta división no refleja necesariamente el modo en
que una entidad diseña, implementa y mantiene el control interno, o el modo en
que puede clasificar un determinado componente. Los auditores pueden utilizar
una terminología o marcos distintos de los que se utilizan en la presente NIA
para describir los diversos aspectos del control interno y su efecto en la
auditoría, siempre que se traten todos los componentes descritos en esta NIA.
En los apartados A69-A104 se recoge la guía de
aplicación relativa a los cinco componentes del control interno y su relación
con la auditoría de estados financieros. En el anexo 1 se proporciona una
explicación adicional de dichos componentes del control interno.
A53. Características de los elementos manuales y
automatizados del control interno relevantes para la valoración del riesgo por
el auditor
El sistema de control interno de una entidad
comprende elementos manuales y, a menudo, elementos automatizados. Las
características de los elementos manuales o automatizados son relevantes para
la valoración del riesgo por el auditor y para los procedimientos de auditoría
posteriores basados en dicha valoración.
La utilización de elementos manuales o
automatizados en el control interno también afecta al modo en que se inician,
registran y procesan las transacciones y se informa sobre ellas:
• Los controles en un sistema manual pueden
comprender procedimientos tales como aprobaciones y revisiones de
transacciones, así como conciliaciones y seguimiento de las partidas en
conciliación.
De forma alternativa, es posible que la entidad
emplee procedimientos automatizados para iniciar, registrar y procesar
transacciones e informar sobre ellas, en cuyo caso los documentos en papel se
sustituyen por registros en formato electrónico.
• Los controles en los sistemas de TI consisten en
una combinación de controles automatizados (por ejemplo, controles integrados
en programas informáticos) y de controles manuales. Además, los controles
manuales pueden ser independientes de las TI, pueden utilizar información
producida por las TI, o pueden limitarse al seguimiento del funcionamiento
efectivo de las TI y de los controles automatizados, así como al tratamiento de
las excepciones. Cuando se utilizan las TI para iniciar, registrar, procesar o
notificar transacciones u otros datos financieros, para su inclusión en los
estados financieros, los sistemas y programas pueden incluir controles
relacionados con las correspondientes afirmaciones en el caso de cuentas
materiales o pueden ser decisivos para un funcionamiento eficaz de los
controles manuales que dependen de las TI.
La combinación por la entidad de elementos manuales y automatizados en
su control interno varía según la naturaleza y complejidad de la utilización de
las TI por la entidad.
Por lo
general, las TI son beneficiosas para el control interno de la entidad, al
permitirle:
•
aplicar de manera congruente las normas de actuación predefinidas y realizar
cálculos complejos en el procesamiento de grandes volúmenes de transacciones o
de datos;
• mejorar la oportunidad, disponibilidad y exactitud de la
información;
• facilitar un análisis adicional de la información;
• mejorar la
capacidad para hacer un seguimiento del resultado de las actividades de la entidad
y de sus políticas y procedimientos;
• reducir el riesgo de que los
controles se sorteen; y
• mejorar la
capacidad de lograr una segregación de funciones efectiva mediante la
implementación de controles de seguridad en las aplicaciones, bases de datos y
sistemas operativos;
Las TI también originan riesgos específicos para el control interno de
la entidad, incluidos, por ejemplo:
• La confianza en
sistemas o programas que procesan datos de manera inexacta, que procesan datos
inexactos, o ambos.
• Accesos no
autorizados a los datos que pueden tener como resultado la destrucción de datos
o cambios indebidos de ellos, incluido el registro de transacciones no
autorizadas o inexistentes, o un registro inexacto de las transacciones.
Pueden producirse riesgos específicos cuando múltiples usuarios acceden
a una misma base de datos.
• La
posibilidad de que el personal del departamento de TI obtenga permisos de
acceso más allá de los necesarios para realizar sus tareas, dejando así de
funcionar la segregación de funciones.
• Cambios no autorizados en
los datos de los archivos maestros.
• Cambios no autorizados en
los sistemas o programas.
• No realizar cambios
necesarios en los sistemas o programas.
• Intervención manual
inadecuada.
• Pérdida potencial de datos o
incapacidad de acceder a los datos del modo requerido.
Los elementos manuales en el control interno pueden
ser más adecuados cuando se requiera hacer uso de juicio y de discrecionalidad,
como, por ejemplo, en las siguientes circunstancias:
• Transacciones importantes,
inusuales o no recurrentes.
• Circunstancias en las que los
errores son difíciles de definir, anticipar o predecir.
• En circunstancias
cambiantes que requieren una respuesta de control que está fuera del alcance de
un control automatizado existente.
• Al realizar el seguimiento de
la eficacia de los controles automatizados.
Los elementos manuales en el control interno pueden
resultar menos fiables que los elementos automatizados debido a que pueden ser
más fácilmente evitados, ignorados o eludidos y también a que están más
expuestos a simples errores y equivocaciones.
En consecuencia, no puede asumirse que un elemento
del control manual será aplicado de manera congruente. Los controles manuales
pueden resultar menos adecuados en las siguientes circunstancias:
•
Un número elevado de transacciones o transacciones recurrentes, o bien en
situaciones en las que los errores que se puedan anticipar o predecir pueden
prevenirse, o detectarse y corregirse, mediante parámetros de control
automatizados.
• Actividades de
control en las que los modos específicos de realizar el control pueden
diseñarse y automatizarse adecuadamente.
La extensión y la naturaleza de los riesgos para el
control interno varían según la naturaleza y las características del sistema de
información de la entidad. La entidad responde a los riesgos que surgen de la
utilización de las TI o de la utilización de elementos manuales en el control
interno mediante el establecimiento de controles eficaces teniendo en cuenta
las características del sistema de información de la entidad.
A60.
Controles relevantes para la auditoría.
Existe una relación directa entre los objetivos de
una entidad y los controles que implementa para proporcionar una seguridad
razonable sobre su cumplimiento. Los objetivos de la entidad, y por lo tanto
los controles, están relacionados con la información financiera, las
operaciones y el cumplimiento de la normativa; sin embargo, no todos estos objetivos
y controles son relevantes para la valoración del riesgo por el auditor.
Los factores relevantes para el auditor al
enjuiciar si un control, de manera individual o en combinación con otros, es
relevante para la auditoría pueden incluir cuestiones como las siguientes:
• Importancia relativa.
• La significatividad del
riesgo relacionado.
• La dimensión de la entidad.
•
La naturaleza de los negocios de la entidad, así como su organización y las
características de su propiedad.
• La diversidad y la complejidad
de las operaciones de la entidad.
• Los requerimientos normativos
aplicables.
• Las circunstancias y el
correspondiente componente de control interno.
• La naturaleza y
complejidad de los sistemas que forman parte del control interno de la entidad,
incluida la utilización de una organización de servicios.
• Si un determinado control, de manera individual o
en combinación con otros, previene o detecta y corrige una incorrección
material, y el modo en que lo hace.
Los controles sobre la integridad y exactitud de la
información generada por la entidad pueden ser relevantes para la auditoría si
el auditor tiene previsto utilizar dicha información en el diseño y aplicación
de procedimientos de auditoría posteriores. Los controles relativos a los
objetivos operativos y de cumplimiento también pueden ser relevantes para la
auditoría si están relacionados con datos que el auditor evalúa o utiliza en la
aplicación de procedimientos de auditoría.
El control interno sobre la salvaguarda de los
activos contra la adquisición, utilización o venta no autorizadas puede incluir
controles relacionados tanto con la información financiera como con los
objetivos operativos. La consideración de dichos controles por el auditor se
limita, por lo general, a aquéllos que son relevantes para la fiabilidad de la
información financiera.
Por lo general, una entidad dispone de controles
relacionados con objetivos que no son relevantes para la auditoría y que, en
consecuencia, no es necesario considerar. Por ejemplo, una entidad puede contar
con un sofisticado sistema de controles automatizados para garantizar un
funcionamiento eficiente y eficaz (como, por ejemplo, el sistema de controles
automatizados de una aerolínea para el mantenimiento de horarios de vuelos),
pero normalmente dichos controles no serían relevantes para la auditoría.
Además, aunque el control interno se aplique a toda la entidad o a cualquiera
de sus unidades operativas o procesos de negocio, el conocimiento del control
interno relativo a cada una de las unidades operativas y procesos de negocio de
la entidad puede no ser relevante para la auditoría.
A65. Consideraciones específicas para entidades del sector público
Los auditores del sector público a menudo tienen
responsabilidades adicionales con respecto al control interno. Por ejemplo,
informar sobre el cumplimiento de un determinado código de conducta. Los
auditores del sector público pueden igualmente tener responsabilidades de
informar sobre el cumplimiento de las disposiciones legales, reglamentarias o
de otro tipo. En consecuencia, es posible que su revisión del control interno
sea más amplia y detallada.
A66.
Naturaleza y extensión del conocimiento de los controles relevantes (Ref:
Apartado 13)
La evaluación del diseño de un control implica la
consideración de si el control, de manera individual o en combinación con otros
controles, es capaz de prevenir de modo eficaz, o de detectar y corregir,
incorrecciones materiales. La implementación de un control significa que el
control existe y que la entidad lo está utilizando. No tiene mucho sentido
evaluar la implementación de un control que no sea eficaz, por lo que se
considera en primer lugar el diseño del control. Un control incorrectamente
diseñado puede representar una deficiencia significativa en el control interno.
Los procedimientos de valoración del riesgo para la obtención de
evidencia de auditoría sobre el diseño e implementación de controles relevantes
pueden incluir:
• La indagación entre los
empleados de la entidad.
• La observación de la aplicación de controles específicos.
• La inspección de documentos e informes
• El seguimiento de transacciones a través del sistema de
información relevante para la información financiera.
Sin embargo, la indagación como único procedimiento
no es suficiente para dichos fines.
La obtención
de conocimiento de los controles de la entidad no es suficiente para la
comprobación de su eficacia operativa, salvo que exista algún grado de
automatización que permita un funcionamiento congruente de los controles.
Por ejemplo, la obtención de evidencia de auditoría
sobre la implementación de un control manual en un determinado momento no
proporciona evidencia de auditoría sobre la eficacia operativa del control en
otros momentos del periodo que comprende la auditoría. Sin embargo, debido a la
congruencia inherente al procesamiento por medio de TI (véase el apartado A55),
aplicar procedimientos de auditoría para determinar si un control automatizado
ha sido implementado puede servir como comprobación de la eficacia operativa de
dicho control, dependiendo de la valoración y comprobación por el auditor de
controles tales como los controles sobre cambios en los programas. En la NIA
330 se describen las pruebas sobre la eficacia operativa de los controles.
A69. Componentes del control interno – Entorno de control (Ref: Apartado
14)
El entorno de control incluye las funciones de
gobierno y de dirección, así como las actitudes, grado de percepción y acciones
de los responsables del gobierno de la entidad y de la dirección en relación
con el control interno de la entidad y su importancia para ella. El entorno de
control establece el tono de una organización, influyendo en la conciencia de
control de sus miembros.
Entre los elementos del entorno de control que
pueden ser relevantes para la obtención de su conocimiento están los
siguientes:
(a) La comunicación y la vigilancia de la
integridad y de los valores éticos. Se trata de elementos esenciales que
influyen en la eficacia del diseño, administración y seguimiento de los
controles
(b)
Compromiso con la competencia. Cuestiones como la consideración por la
dirección de los niveles de competencia que se requieren para determinados
puestos y el modo en que dichos niveles se traducen en cualificaciones y
conocimientos requeridos.
(c) Participación de
los responsables del gobierno de la entidad. Atributos de los responsables del
gobierno de la entidad tales como:
• Su independencia con respecto a la dirección.
• Su experiencia y su reputación.
• Su grado de
participación y la información que reciben, así como el examen de las
actividades.
• La
adecuación de sus actuaciones, incluido el grado con que plantean preguntas
difíciles a la dirección y se realiza su seguimiento, y su interacción con los
auditores internos y externos.
(d) La filosofía y el estilo
operativo de la dirección. Características tales como:
• El enfoque con el que la dirección asume y
gestiona riesgos de negocio.
• Las actitudes y actuaciones de la dirección con
respecto a la información financiera.
• Las actitudes de la dirección con respecto al
procesamiento de la información y a las funciones de contabilidad y al personal
contable.
(e)
Estructura organizativa. El marco en el que se planifican, ejecutan, controlan
y revisan las actividades de la entidad para alcanzar sus objetivos.
(f) Asignación de
autoridad y de responsabilidad. Cuestiones tales como el modo en que se asignan
la autoridad y la responsabilidad con respecto a las actividades de
explotación, así como la manera en que se establecen las relaciones de
información y las jerarquías de autorización.
(g) Políticas y
prácticas de recursos humanos. Las políticas y prácticas relacionadas, por
ejemplo, con la selección, orientación, formación, evaluación, tutoría,
promoción, compensación y actuaciones correctoras.
A71. Evidencia de auditoría con respecto a los elementos del entorno de
control
Se puede obtener evidencia de auditoría relevante
mediante una combinación de indagaciones y otros procedimientos de valoración
del riesgo, tales como la corroboración de la información resultante de
indagaciones mediante la observación o la inspección de documentos. Por
ejemplo, a través de las indagaciones ante la dirección y ante los empleados,
el auditor puede obtener conocimiento del modo en que la dirección comunica su
opinión a sus empleados sobre las prácticas empresariales y el comportamiento
ético. El auditor puede así determinar si se han implementado los correspondientes
controles mediante la consideración, por ejemplo, de si la dirección dispone de
un código de conducta escrito y si actúa de un modo acorde con dicho código.
A72.
Efecto del entorno de control en la valoración de los riesgos de incorrección
material
Algunos elementos del entorno de control de una
entidad tienen un efecto generalizado sobre la valoración de los riesgos de
incorrección material. Por ejemplo, los responsables del gobierno de la entidad
ejercen una influencia significativa sobre la conciencia de control de una
entidad, ya que una de sus funciones es la de contrarrestar las presiones a las
que está sometida la dirección en relación con la información financiera, las
cuales pueden tener su origen en la demanda del mercado o en planes de remuneración.
En consecuencia, las siguientes cuestiones influyen en la eficacia del diseño
del entorno de control relativo a la participación de los responsables del
gobierno de la entidad:
• Su
independencia con respecto a la dirección y su capacidad para evaluar las
acciones de la dirección.
• Si comprenden las
transacciones comerciales de la entidad.
• La medida en que
evalúan si los estados financieros se preparan de conformidad con el marco de
información financiera aplicable.
Un consejo de administración activo e independiente
puede influir en la filosofía y estilo de actuación de la alta dirección. Sin
embargo, otros elementos pueden tener un efecto más limitado. Por ejemplo, si
bien las políticas y prácticas de recursos humanos dirigidas a contratar
personal competente para las áreas financiera, contable y de TI pueden reducir
los riesgos de que se produzcan errores en el procesamiento de la información
financiera, puede que no mitiguen un fuerte sesgo por parte de la alta
dirección hacia la sobrevaloración de los beneficios.
Cuando el auditor realiza una valoración de los
riesgos de incorrección material, la existencia de un entorno de control
satisfactorio puede ser una variable positiva. Sin embargo, a pesar de que
puede ayudar a reducir el riesgo de fraude, un entorno de control satisfactorio
no es un elemento disuasorio del fraude absoluto. En cambio, la existencia de
deficiencias en el entorno de control puede menoscabar la eficacia de los
controles, especialmente en relación con el fraude. Por ejemplo, que la
dirección no dedique suficientes recursos para responder a los riesgos de
seguridad de las TI puede afectar negativamente al control interno al permitir
que se realicen modificaciones indebidas en los programas informáticos o en los
datos, o que se procesen transacciones no autorizadas. Como se explica en la
NIA 330, el entorno de control también influye en la naturaleza, momento de
realización y extensión de los procedimientos de auditoría posteriores.
El entorno de control, por sí mismo, no previene ni
detecta y corrige una incorrección material. Sin embargo, puede influir en la
evaluación por el auditor de la eficacia de otros controles (por ejemplo, el
seguimiento de controles y el funcionamiento de determinadas actividades de control)
y, en consecuencia, en la valoración por el auditor de los riesgos de
incorrección material.
A76.
Consideraciones específicas para entidades de pequeña dimensión
Es probable que el entorno de control en entidades
de pequeña dimensión difiera del de las entidades de mayor dimensión. Por
ejemplo, puede ocurrir que entre los responsables del gobierno de una entidad
de pequeña dimensión no haya un miembro independiente o externo, y la función
de gobierno pueda ser desempeñada directamente por el propietario-gerente
cuando no existen otros propietarios.
La naturaleza del entorno de control puede influir
también en la significatividad, o en la ausencia, de otros controles. Por
ejemplo, la participación activa del propietario-gerente puede mitigar algunos
de los riesgos que surgen de la falta de segregación de funciones en un negocio
pequeño; sin embargo, puede incrementar otros riesgos, por ejemplo, el riesgo
de elusión de los controles.
Además, es posible que en entidades de pequeña
dimensión no esté disponible en forma documentada la evidencia de auditoría
relativa a los elementos del entorno de control, en especial cuando la
comunicación entre la dirección y el resto del personal es informal pero
eficaz. Por ejemplo, es posible que una entidad de pequeña dimensión no tenga
un código de conducta escrito pero que, en su lugar, haya desarrollado una
cultura que resalte la importancia de un comportamiento íntegro y ético a
través de la comunicación verbal y del ejemplo de la dirección
En consecuencia, las actitudes, compromisos y
actuaciones de la dirección o del propietario-gerente son de especial
importancia para el conocimiento por el auditor del entorno de control de una
entidad de pequeña dimensión.
A79. Componentes del control interno – El proceso
de valoración del riesgo por la entidad (Ref: Apartado 15)
El proceso de valoración del riesgo por la entidad
constituye la base con la que la dirección determina el modo en que los riesgos
han de gestionarse. Si dicho proceso es adecuado a las circunstancias, incluida
la naturaleza, dimensión y complejidad de la entidad, facilita al auditor la
identificación de los riesgos de incorrección material.
La consideración de que el proceso de valoración
del riesgo por la entidad sea adecuado a las circunstancias es una cuestión de
juicio.
A80.
Consideraciones específicas para entidades de pequeña dimensión (Ref: Apartado
17)
En una entidad de pequeña dimensión es poco
probable que se haya establecido un proceso para la valoración del riesgo. En
dichos casos, es probable que la dirección identifique los riesgos mediante su
participación personal directa en el negocio. Sin embargo, independientemente
de las circunstancias, sigue siendo necesario indagar sobre los riesgos
identificados y el modo en que la dirección les da respuesta.
Componentes del control interno – El sistema de
información, incluidos los procesos de negocio relacionados, relevante para la
preparación de la información financiera, y la comunicación.
El sistema de información, incluidos los procesos
de negocio relacionados, relevante para la información financiera y la
comunicación (Ref: Apartado 18).
El sistema de información financiera relevante para
los objetivos de la información financiera, que incluye el sistema contable,
comprende los procedimientos y registros diseñados y establecidos para:
• iniciar,
registrar y procesar las transacciones de la entidad (así como los hechos y
condiciones) e informar sobre ellas, así como para rendir cuentas sobre los
activos, pasivos y patrimonio neto correspondientes;
•
resolver el procesamiento incorrecto de transacciones, por ejemplo, ficheros de
espera automatizados y procedimientos aplicados para reclasificar oportunamente
las partidas pendientes de aplicación;
• procesar y dar cuenta de
elusiones del sistema o evitación de los controles;
• transferir
información desde los sistemas de procesamiento de las transacciones al libro
mayor;
• capturar
información relevante para la información financiera sobre los hechos y las
condiciones distintos de las transacciones, tales como la depreciación y la
amortización de activos, así como los cambios en la recuperabilidad de las
cuentas a cobrar; y
• asegurar que se
recoge, registra, procesa, resume e incluye adecuadamente en los estados
financieros la información que el marco de información financiera aplicable
requiere que se revele.
A82.
Asientos en el libro diario
Habitualmente, el sistema de información de la
entidad implica la utilización de asientos estándar en el libro diario
requeridos de manera recurrente para registrar las transacciones. Los ejemplos
pueden ser los asientos en el libro diario para registrar ventas, compras y
pagos en el libro mayor, o para registrar estimaciones contables realizadas
periódicamente por la dirección, tales como cambios en la estimación de las
cuentas incobrables.
El proceso de información financiera de la entidad
también implica la utilización de asientos no estándar en el libro diario para
el registro de transacciones no recurrentes, inusuales o de ajustes. Ejemplos
de dichas anotaciones incluyen los ajustes de consolidación y los asientos de
una combinación de negocios o de la venta de un negocio o de estimaciones no
recurrentes, como el deterioro del valor de un activo. En los sistemas de
libros mayores manuales, los asientos no estándar en el libro diario pueden ser
identificados mediante la inspección de los libros, diarios y documentación de
soporte. Cuando se utilizan procesos automatizados para la llevanza de los libros
y la preparación de los estados financieros, es posible que dichas anotaciones
existan sólo en formato electrónico y puedan ser por tanto más fácilmente
identificadas mediante el uso de técnicas de auditoría asistidas por ordenador.
A84. Procesos de negocio relacionados
Los procesos de negocio de una entidad son las actividades diseñadas
para:
• el desarrollo, la
adquisición, la producción, la venta y la distribución de los productos y
servicios de una entidad;
• asegurar el cumplimiento de
las disposiciones legales y reglamentarias; y
• registrar la información,
incluida la información contable y financiera.
Los procesos de negocio tienen como resultado
transacciones registradas, procesadas y notificadas mediante el sistema de
información. La obtención de conocimiento de los procesos de negocio de la
entidad, que incluyen el modo en que se originan las transacciones, facilita al
auditor la obtención de conocimiento del sistema de información de la entidad
relevante para la preparación de información financiera de un modo adecuado a
las circunstancias de la entidad.
A85. Consideraciones específicas para entidades de pequeña dimensión
Es probable que en las entidades de pequeña
dimensión, los sistemas de información y procesos de negocio relacionados
relevantes para la información financiera sean menos sofisticados que en las
entidades de mayor dimensión, pero su papel es igualmente significativo. Las
entidades de pequeña dimensión que cuenten con una participación activa de la
dirección puede que no necesiten descripciones detalladas de procedimientos
contables, registros contables sofisticados o políticas escritas.
El conocimiento de los sistemas y
procesos de la entidad puede por lo tanto ser más fácil en la auditoría de una
entidad de pequeña dimensión, y puede basarse más en la indagación que en la
revisión de documentación. Sin embargo, la necesidad de obtener conocimiento
sigue siendo importante.
A86. Comunicación (Ref: Apartado 19)
La comunicación por la entidad de las funciones y
responsabilidades y de las cuestiones significativas relacionadas con la
información financiera implica proporcionar conocimiento de las funciones y
responsabilidades individuales del control interno sobre la información
financiera. Comprende cuestiones tales como el grado de conocimiento que tiene
el personal sobre el modo en que sus actividades, en el sistema de información
financiera, se relacionan con el trabajo de otras personas, así como los medios
para informar sobre las excepciones a un nivel superior adecuado dentro de la
entidad. La comunicación puede adoptar la forma de manuales de políticas y de
información financiera. La existencia de canales de comunicación abiertos ayuda
a asegurar que se informe sobre las excepciones y se actúe sobre ellas.
Consideraciones específicas para entidades de pequeña dimensión
En las entidades de pequeña dimensión, la
comunicación puede estar menos estructurada y puede ser más fácil de conseguir
debido a la existencia de un menor número de niveles de responsabilidad y a la
mayor cercanía y disponibilidad de la dirección.
A88.
Componentes del control interno – Actividades de control (Ref: Apartado 20)
Las actividades de control son las políticas y
procedimientos que ayudan a asegurar que se siguen las directrices de la
dirección. Las actividades de control, tanto en los sistemas de TI como
manuales, tienen varios objetivos y se aplican a diferentes niveles
organizativos y funcionales. Ejemplos de actividades de control específicas
incluyen las relacionadas con lo siguiente:
Autorización.
• Revisiones de actuación.
• Proceso de la información.
• Controles físicos.
• Segregación de funciones.
Las
actividades de control relevantes para la auditoría son:
•aquellas que es necesario tratar como tales, al
ser actividades de control relacionadas con riesgos significativos y aquellas
que están relacionadas con riesgos para los cuales aplicar solo procedimientos
sustantivos no proporciona evidencia de auditoría suficiente y adecuada, como
requieren los apartados 29 y 30, respectivamente; o
• las que, a juicio del auditor, se consideran relevantes.
El juicio del auditor sobre si una actividad de
control es relevante para la auditoría se ve influenciado por el riesgo,
identificado por el auditor, que puede dar lugar a una incorrección material y
por la consideración, por parte del auditor, de que la realización de pruebas
sobre la eficacia operativa del control es probablemente adecuada para
determinar la extensión de las pruebas sustantivas.
El auditor puede poner énfasis en la identificación
y la obtención de conocimiento de las actividades de control que tratan las
áreas en las que el auditor considera más probable que existan riesgos de
incorrección material. Cuando múltiples actividades de control alcancen
individualmente el mismo objetivo, no es necesario obtener conocimiento de cada
una de las actividades de control relacionadas con dicho objetivo.
El conocimiento del auditor acerca de la presencia
o ausencia de actividades de control, obtenido de su conocimiento de los demás
componentes del control interno, le facilitan la determinación de si es
necesario dedicar atención adicional a la obtención de conocimiento de las
actividades de control.
Consideraciones
específicas para entidades de pequeña dimensión
Los conceptos que subyacen en las actividades de
control de las entidades de pequeña dimensión probablemente sean similares a
los de entidades de gran dimensión, pero pueden diferir en cuanto al grado de
formalización con el que funcionan. Además, las entidades de pequeña dimensión
pueden considerar innecesarios determinados tipos de actividades de control
debido a los controles aplicados por la dirección.
Por ejemplo, el hecho de que únicamente la
dirección esté autorizada a conceder créditos a clientes o a aprobar compras
significativas puede proporcionar un control fuerte sobre saldos contables y
transacciones importantes, reduciendo o eliminando la necesidad de actividades
de control más detalladas.
Las actividades de control relevantes para la
auditoría de una entidad de pequeña dimensión probablemente estarán
relacionadas con los ciclos de las principales transacciones tales como
ingresos ordinarios, compras y gastos de personal.
A95. Riesgos derivados de las TI (Ref: Apartado 21)
La utilización de TI afecta al modo en que se
implementan las actividades de control. Desde el punto de vista del auditor,
los controles sobre los sistemas de las TI son eficaces cuando mantienen la
integridad de la información y la seguridad de los datos que procesan dichos
sistemas, e incluyen controles generales de las TI y controles de aplicaciones
eficaces.
Los controles generales de las TI son políticas y
procedimientos vinculados a muchas aplicaciones y favorecen un funcionamiento
eficaz de los controles de las aplicaciones. Son aplicables en entornos con
unidades centrales, redes de trabajo y de usuarios finales. Los controles
generales de las TI que mantienen la integridad de la información y la
seguridad de los datos generalmente incluyen controles sobre lo siguiente:
• Centros de datos y
operaciones de redes.
• Adquisición,
reposición y mantenimiento de software de sistemas.
• Cambios en los
programas.
•
Seguridad de accesos.
•
Adquisición, desarrollo y mantenimiento de aplicaciones.
Se implementan por lo general para tratar los riesgos mencionados en el
apartado A56 anterior.
Los controles de aplicaciones son procedimientos
manuales o automatizados que normalmente operan a nivel de procesos del negocio
y que se aplican al procesamiento de las transacciones mediante aplicaciones
específicas. Los controles de aplicaciones pueden ser preventivos o de
detección y tienen como finalidad asegurar la integridad de los registros
contables. En consecuencia, los controles de aplicaciones están relacionados
con los procedimientos utilizados para iniciar y procesar transacciones y otros
datos financieros, así como para informar sobre ellos. Estos controles ayudan a
asegurar que las transacciones han ocurrido, están autorizadas y se han
registrado y procesado íntegra y exactamente. Como ejemplos pueden citarse los
filtros de datos de entrada y de secuencias numéricas con un seguimiento manual
de los informes de excepciones o la corrección en el punto de entrada de datos.
A98.
Componentes del control interno – Seguimiento de los controles (Ref: Apartado
22)
El seguimiento de los controles es un proceso para
valorar la eficacia del funcionamiento del control interno a lo largo del
tiempo. Conlleva la valoración oportuna de la eficacia de los controles y la
adopción de las medidas correctoras necesarias. La dirección lleva a cabo el
seguimiento de los controles mediante actividades continuas, evaluaciones
puntuales o una combinación de ambas. Las actividades de seguimiento continuas
a menudo forman parte de las actividades recurrentes normales de una entidad e
incluyen actividades de gestión y supervisión habituales.
Las actividades de seguimiento por la dirección
pueden incluir la utilización de información procedente de comunicaciones de
terceros externos tales como quejas de clientes y comentarios de las
autoridades reguladoras, que pueden ser indicativos de problemas o resaltar
áreas en las que se necesitan mejoras.
Consideraciones específicas para entidades de pequeña dimensión
El seguimiento del control por la dirección a
menudo se consigue estrechando la participación de la dirección o del
propietario-gerente en las operaciones. Dicha participación identificará, a
menudo, las desviaciones significativas con respecto a las expectativas e
inexactitudes en datos financieros, conducentes a medidas correctoras sobre el
control.
A101.
Funciones de auditoría interna (Ref: Apartado 23)
Es probable que la función de auditoría interna de la entidad sea
relevante para la auditoría si la naturaleza de las responsabilidades y
actividades de la función de auditoría interna está relacionada con la
información financiera de la entidad y el auditor tiene previsto utilizar el
trabajo de los auditores internos para modificar la naturaleza o el momento de
realización, o bien para reducir la extensión de los procedimientos de
auditoría a aplicar.
Si el auditor determina que es probable que la
función de auditoría interna sea relevante para la auditoría, es de aplicación
la NIA 610.
Los objetivos de la función de auditoría interna, y
por consiguiente la naturaleza de sus responsabilidades y su estatus dentro de
la organización, varían ampliamente y dependen de la dimensión y estructura de
la entidad y de los requerimientos de la dirección y, cuando proceda, de los
responsables del gobierno de la entidad. Las responsabilidades de la función de
auditoría interna pueden incluir, por ejemplo, el seguimiento del control
interno, la gestión del riesgo y la revisión del cumplimiento de las disposiciones
legales y reglamentarias. Por otra parte, las responsabilidades de la función
de auditoría interna pueden limitarse a la revisión de la economía, eficiencia
y eficacia de las operaciones, por ejemplo, y en consecuencia pueden no tener
relación con la información financiera de la entidad.
Si la naturaleza de las responsabilidades de la
función de auditoría interna está relacionada con la información financiera de
la entidad, la consideración por el auditor externo de las actividades
realizadas, o que serán realizadas, por la función de auditoría interna puede
incluir una revisión, en su caso, del plan de auditoría de la función de
auditoría interna para el periodo, así como la discusión de dicho plan con los
auditores internos.
· Fuentes de información (Ref: Apartado
24)
Una parte importante de la información utilizada
para el seguimiento puede ser producida por el sistema de información de la
entidad. Si la dirección asume que los datos utilizados para el seguimiento son
exactos sin disponer de una base para dicha hipótesis, los errores que pueden
existir en la información podrían llevar a la dirección a conclusiones erróneas
derivadas de sus actividades de seguimiento. En consecuencia, se requiere el
conocimiento de:
• las fuentes
de la información relacionada con las actividades de seguimiento por la
entidad; y
• la base de la
dirección para considerar que la información es suficientemente fiable para
dicha finalidad como parte del conocimiento por el auditor de las actividades
de seguimiento de la entidad como componente del control interno.
·
Identificación y valoración de los riesgos de incorrección material
Valoración de los riesgos de incorrección material
en los estados financieros (Ref: Apartado 25(a))
Los riesgos de incorrección material en los estados
financieros se refieren a los que se relacionan de manera generalizada con los
estados financieros en su conjunto y, potencialmente, afectan a varias
afirmaciones. Los riesgos de esta clase no son necesariamente riesgos que se
puedan identificar con afirmaciones específicas sobre los tipos de
transacciones, saldos contables o información a revelar.
Representan, más bien, circunstancias que pueden
incrementar los riesgos de incorrección material en las afirmaciones, por
ejemplo, a través de la elusión del control interno por la dirección. Los
riesgos relativos a los estados financieros pueden ser especialmente relevantes
para la consideración por el auditor de los riesgos de incorrección material
debida a fraude.
Los riesgos en los estados financieros pueden ser
originados en especial por un entorno de control deficiente (aunque dichos
riesgos también pueden estar relacionados con otros factores, como condiciones
económicas en declive). Por ejemplo, deficiencias tales como la incompetencia
de la dirección pueden tener un efecto más generalizado sobre los estados
financieros y pueden requerir una respuesta global por parte del auditor.
El conocimiento del control interno por parte del auditor puede generar
dudas sobre la posibilidad de auditar los estados financieros de una entidad.
Por ejemplo:
• Las reservas
acerca de la integridad de la dirección de la entidad pueden ser tan graves que
lleven al auditor a la conclusión de que el riesgo de que la dirección presente
unos estados financieros incorrectos es tal que no se puede realizar una
auditoría.
• Las reservas acerca del estado y la
fiabilidad de los registros de una entidad pueden llevar al auditor a la
conclusión de que es poco probable que se disponga de evidencia de auditoría
suficiente y adecuada que sirva de base para una opinión de auditoría no
modificada sobre los estados financieros.
La NIA 70512 establece los requerimientos y
proporciona orientaciones para determinar si es necesario que el auditor
exprese una opinión con salvedades o deniegue la opinión o, como puede ser
necesario en algunos casos, renuncie al encargo si las disposiciones legales o
reglamentarias aplicables así lo permiten.
Valoración de los riesgos de incorrección material
en las afirmaciones (Ref: Apartado 25(b))
Los riesgos de incorrección material en las
afirmaciones sobre los tipos de transacciones, saldos contables e información a
revelar deben tenerse en cuenta, ya que ello facilita de manera directa la
determinación de la naturaleza, momento de realización y extensión de los
procedimientos de auditoría posteriores relacionados con las afirmaciones que
son necesarios para obtener evidencia de auditoría suficiente y adecuada.
Al identificar y valorar los riesgos de
incorrección material en las afirmaciones, el auditor puede llegar a la
conclusión de que los riesgos identificados se relacionan de manera más
generalizada con los estados financieros en su conjunto y que afectan
potencialmente a muchas afirmaciones.
A110. La
utilización de afirmaciones
Al manifestar que los estados financieros son
conformes con el marco de información financiera aplicable, la dirección,
implícita o explícitamente, realiza afirmaciones en relación con el reconocimiento,
medición, presentación y revelación de los distintos elementos de los estados
financieros y de la correspondiente información a revelar.
Las afirmaciones utilizadas por el auditor para
considerar los distintos tipos de potenciales incorrecciones que pueden ocurrir
se pueden clasificar en las tres categorías siguientes y pueden adoptar las
siguientes formas:
(a) Afirmaciones sobre tipos de transacciones y
hechos durante el periodo objeto de auditoría.
(i) Ocurrencia: las
transacciones y hechos registrados han ocurrido y corresponden a la entidad.
(ii)
Integridad: se han registrado todos los hechos y transacciones que tenían que
registrarse.
(iii) Exactitud: las
cantidades y otros datos relativos a las transacciones y hechos se han registrado
adecuadamente.
(iv)
Corte de operaciones: las transacciones y los hechos se han registrado en el
periodo correcto.
(v)
Clasificación: las transacciones y los hechos se han registrado en las cuentas
apropiadas.
(b) Afirmaciones sobre saldos contables
al cierre del periodo:
(i) Existencia: los activos,
pasivos y el patrimonio neto existen.
(ii) Derechos y
obligaciones: la entidad posee o controla los derechos de los activos, y los
pasivos son obligaciones de la entidad.
(iii)
Integridad: se han registrado todos los activos, pasivos e instrumentos de
patrimonio neto que tenían que registrarse.
(iv) Valoración e imputación: los activos, pasivos
y el patrimonio neto figuran en los estados financieros por importes apropiados
y cualquier ajuste de valoración o imputación resultante ha sido adecuadamente
registrado.
(c) Afirmaciones sobre la
presentación e información a revelar:
(i) Ocurrencia y
derechos y obligaciones: los hechos, transacciones y otras cuestiones revelados
han ocurrido y corresponden a la entidad.
(ii) Integridad: se
ha incluido en los estados financieros toda la información a revelar que tenía
que incluirse.
(iii) Clasificación y
comprensibilidad: la información financiera se presenta y describe
adecuadamente, y la información a revelar se expresa con claridad.
(iv) Exactitud y
valoración: la información financiera y la otra información se muestran
fielmente y por las cantidades adecuadas.
El auditor puede utilizar las afirmaciones tal y
como se han descrito anteriormente o puede expresarlas de una manera diferente
siempre que todos los aspectos descritos anteriormente hayan sido cubiertos.
Por ejemplo, el auditor puede elegir combinar las afirmaciones sobre
transacciones y hechos con las afirmaciones sobre saldos contables.
Consideraciones específicas para entidades del sector público
Al efectuar afirmaciones acerca de los estados
financieros de entidades del sector público, además de las afirmaciones
mencionadas en el apartado A111, la dirección puede afirmar a menudo que las
transacciones y hechos se han desarrollado de conformidad con las disposiciones
legales o reglamentarias, o de otro tipo. Dichas afirmaciones pueden incluirse
en el alcance de la auditoría de los estados financieros.
A114.
Proceso de identificación de los riesgos de incorrección material (Ref:
Apartado 26(a))
La información obtenida mediante la aplicación de
los procedimientos de valoración del riesgo, incluida la evidencia de auditoría
obtenida durante la evaluación del diseño de los controles y la determinación
de si se han implementado, se utiliza como evidencia de auditoría en apoyo de
la valoración del riesgo. La valoración del riesgo determina la naturaleza,
momento de realización y extensión de los procedimientos de auditoría
posteriores que deben aplicarse.
En el anexo 2 figuran ejemplos de circunstancias y
hechos que pueden indicar la existencia de riesgos de incorrección material.
A116. Relación entre los controles y las afirmaciones (Ref: Apartado
26(c))
Al realizar las valoraciones del riesgo, el auditor
puede identificar los controles que pueden prevenir, o detectar y corregir, una
incorrección material contenida en afirmaciones específicas. Por lo general es
útil obtener conocimiento de los controles y relacionarlos con afirmaciones en
el contexto de los procesos y sistemas en los que existen, ya que las
actividades de control, por sí mismas, específicas a menudo no sirven para
responder a un riesgo. Con frecuencia, sólo múltiples actividades de control,
junto con otros componentes de control interno, serán suficientes para
responder a un riesgo.
En cambio, algunas actividades de control pueden
tener un efecto específico sobre una afirmación determinada incorporada en
determinados tipos de transacciones o saldos contables.
Por ejemplo, las actividades de control que una
entidad ha establecido para asegurar que su personal cuenta y registra
correctamente el recuento físico anual de existencias se relacionan
directamente con las afirmaciones de realidad e integridad relativas al saldo
contable de las existencias.
Los controles pueden estar relacionados directa o
indirectamente con una afirmación. Cuanto más indirecta sea la relación, menos
eficaz será el control para prevenir, o detectar y corregir, incorrecciones en
dicha afirmación. Por ejemplo, la revisión por el director de ventas de un
resumen de las ventas de determinadas tiendas por región, normalmente sólo está
indirectamente relacionada con la afirmación de integridad de los ingresos
ordinarios por ventas. En consecuencia, puede ser menos eficaz para reducir los
riesgos de dicha afirmación que los controles más directamente relacionados con
ella, como la conciliación de documentos de envío con documentos de
facturación.
A119. Riesgos significativos
Identificación de riesgos significativos (Ref: Apartado 28)
Los riesgos significativos a menudo están
relacionados con transacciones significativas no rutinarias o con otras
cuestiones que requieren la aplicación de juicio. Las transacciones no
rutinarias son transacciones inusuales, debido a su dimensión o naturaleza y
que, por lo tanto, no ocurren con frecuencia. Las cuestiones que requieren la
aplicación de juicio pueden incluir la realización de estimaciones contables
sobre las que existe una incertidumbre significativa en la medición. Es menos
probable que las transacciones rutinarias, no complejas, que están sujetas a un
procesamiento sistemático, originen riesgos significativos.
Los riesgos de incorrección material pueden ser mayores en el caso de transacciones
significativas no rutinarias que surjan de cuestiones como las siguientes:
• Mayor intervención de la
dirección para especificar el tratamiento contable.
• Mayor intervención manual
para recoger y procesar datos.
• Cálculos o principios
contables complejos.
• La naturaleza de
las transacciones no rutinarias, que pudieran dificultar a la entidad la
implementación de controles sobre sus riesgos.
Los riesgos de incorrección material pueden ser
mayores en el caso de cuestiones de juicio significativas que requieran la
realización de estimaciones contables que surjan de cuestiones como las
siguientes:
• Los principios contables relativos a las
estimaciones contables o al reconocimiento de ingresos pueden estar sujetos a
diferentes
interpretaciones.
El juicio requerido puede ser subjetivo o complejo, o requerir hipótesis
sobre los efectos de hechos futuros; por ejemplo, el juicio sobre el valor
razonable.
La NIA 330 describe las consecuencias para los procedimientos de
auditoría posteriores de la calificación de un riesgo como significativo.
A123. Riesgos significativos relacionados con los riesgos de
incorrección material debida a fraude
La NIA 240 proporciona requerimientos y orientaciones adicionales sobre
la identificación y valoración de los riesgos de incorrección
material debida a fraude
Si bien a menudo es menos probable que los riesgos
relacionados con cuestiones significativas no rutinarias o que requieren la
aplicación de juicio estén sujetos a controles rutinarios, la dirección puede
tener otras respuestas cuya finalidad es tratar dichos riesgos. En
consecuencia, el conocimiento por el auditor de si la entidad ha diseñado e
implementado controles para los riesgos significativos que surjan de cuestiones
no rutinarias o que requieren la aplicación de juicio incluye conocer si la
dirección responde a dichos riesgos y el modo en que lo hace. Dichas respuestas
pueden incluir lo siguiente:
• Actividades
de control tales como la revisión de hipótesis por la alta dirección o por
expertos.
• Procesos documentados para
las estimaciones.
• Aprobación por los
responsables del gobierno de la entidad.
Por ejemplo, cuando se producen hechos únicos como
la recepción de la notificación de una demanda significativa, la consideración
de la respuesta de la entidad puede incluir cuestiones tales como si se ha
remitido a los expertos adecuados (como los asesores jurídicos internos o
externos), si se ha realizado una valoración de su efecto potencial, y el modo
en que se propone que las circunstancias se revelen en los estados financieros.
En algunos casos, la dirección puede no haber
respondido adecuadamente a riesgos significativos de incorrección material
mediante la implementación de controles para dichos riesgos. El hecho de que la
dirección no haya implementado dichos controles indica una deficiencia
significativa en el control interno
A127. Riesgos para los que los procedimientos
sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y
adecuada (Ref: Apartado 30)
Los riesgos de incorrección material pueden estar
directamente relacionados con el registro de tipos de transacciones o saldos
contables rutinarios, y con la preparación de estados financieros fiables.
Dichos riesgos pueden incluir los riesgos de un procesamiento inexacto o
incompleto de tipos de transacciones rutinarias y significativas, tales como
ingresos ordinarios, compras y cobros, o pagos de la entidad.
Cuando dichas transacciones rutinarias estén
sujetas a un procesamiento muy automatizado con escasa o nula intervención
manual, puede que no resulte posible aplicar únicamente procedimientos
sustantivos en relación con el riesgo.
Por ejemplo, el auditor puede considerar que éste
es el caso de aquellas circunstancias en las que una parte significativa de la
información de la entidad se inicia, registra, procesa o notifica sólo de
manera electrónica, como en un sistema integrado. En estos casos:
• Es
posible que la evidencia de auditoría únicamente esté disponible en formato electrónico,
y que su suficiencia y adecuación normalmente dependan de la eficacia de los
controles sobre su exactitud e integridad.
• La posibilidad de
que la información se inicie o altere de manera incorrecta y de que este hecho
no se detecte puede ser mayor si los correspondientes controles no están
funcionando de manera eficaz.
La NIA 330 describe las consecuencias de la identificación de dichos
riesgos para los procedimientos de auditoría posteriores
A130. Revisión de la valoración del riesgo (Ref: Apartado 31)
Durante la realización de la auditoría puede llegar
a conocimiento del auditor información que difiera significativamente de la
información sobre la que se basó la valoración del riesgo. Por ejemplo, la
valoración del riesgo puede basarse en la suposición de que ciertos controles
están funcionando de manera eficaz. Al realizar las pruebas sobre dichos
controles, el auditor puede obtener evidencia de auditoría de que no
funcionaron de manera eficaz en momentos importantes durante la realización de
la auditoría. Del mismo modo, al aplicar procedimientos sustantivos, el auditor
puede detectar incorrecciones por cantidades superiores o con mayor frecuencia
de lo que corresponde a las valoraciones del riesgo realizadas por el auditor.
En tales circunstancias, puede ocurrir que la valoración del riesgo no refleje
adecuadamente las verdaderas circunstancias de la entidad y los procedimientos
de auditoría posteriores planificados pueden no ser eficaces para detectar
incorrecciones materiales. Véase la NIA 330 para más orientaciones.
A131. Documentación (Ref: Apartado 32)
El modo en que se deben documentar los
requerimientos del apartado 32 debe determinarlo el auditor de acuerdo con su
juicio profesional. Por ejemplo, en las auditorías de entidades de pequeña
dimensión, la documentación puede incluirse en la del auditor relativa a la
estrategia global de auditoría y plan de auditoría. Del mismo modo, por
ejemplo, los resultados de la valoración del riesgo se pueden documentar por
separado o se pueden incluir en la documentación del auditor sobre los
procedimientos posteriores.
La forma y extensión de la documentación depende de
la naturaleza, dimensión y complejidad de la entidad, así como de su control
interno, de la disponibilidad de información por parte de la entidad y de la
metodología y tecnología de auditoría utilizadas en el transcurso de la
auditoría.
En el caso de entidades cuya actividad y cuyos
procesos no son complicados a efectos de la información financiera, la
documentación puede adoptar una forma sencilla y ser relativamente breve. No es
necesario documentar la totalidad del conocimiento del auditor sobre la entidad
y las cuestiones relacionadas con dicho conocimiento. Los elementos clave del
conocimiento documentados por el auditor incluyen aquellos que sirven de base
al auditor para valorar los riesgos de incorrección material.
La extensión de la documentación puede también
reflejar la experiencia y las capacidades de los miembros del equipo del
encargo de la auditoría. Siempre que se cumplan los requerimientos de la NIA
230, una auditoría realizada por un equipo del encargo compuesto por personas
con menos experiencia puede necesitar una documentación más detallada, con la
finalidad de facilitarles la obtención del adecuado conocimiento de la entidad,
que una auditoría realizada por un equipo formado por personas con experiencia.
En el caso de auditorías recurrentes, puede
utilizarse cierta documentación de periodos anteriores, actualizada según
resulte necesario para reflejar los cambios en los negocios o procesos de la
entidad.
Anexo 1 (Ref: Apartados 4(c), 14-24,
A69-A104)
Componentes
del control interno
El presente anexo proporciona explicaciones más
detalladas sobre los componentes del control interno, tal y como se establecen
en los apartados 4(c), 14-24 y A69-104, en la medida que tienen relación con
una auditoría de estados financieros.
Entorno de control
El entorno de control engloba los siguientes elementos:
(a) Comunicación y vigilancia de la integridad y de
los valores éticos. La eficacia de los controles no puede situarse por encima
de la integridad y los valores éticos de las personas que los crean,
administran y realizan su seguimiento. La integridad y el comportamiento ético
son el producto de las normas de ética y de comportamiento de la entidad, del
modo en que son comunicados y de la manera en que son implantados en la
práctica. La vigilancia de la integridad y los valores éticos incluye, por
ejemplo, las actuaciones de la dirección con el fin de eliminar o reducir los
incentivos o las tentaciones que pueden llevar al personal a cometer actos
deshonestos, ilegales o faltos de ética. La comunicación de las políticas de la
entidad relativas a la integridad y a los valores éticos puede incluir la comunicación
al personal de normas de comportamiento mediante declaraciones de políticas y
de códigos de conducta, así como a través del ejemplo.
(b)
Compromiso con la competencia. La competencia es el conocimiento y las
cualificaciones necesarias para realizar las tareas que definen el trabajo de
una persona.
(c)
Participación de los responsables del gobierno de la entidad. Los responsables
del gobierno de la entidad influyen de manera significativa en la conciencia de
control de la entidad. La importancia de las responsabilidades de los
responsables del gobierno de la entidad se reconoce en códigos de conducta y
otras disposiciones legales o reglamentarias, u orientaciones creadas en
beneficio de los responsables del gobierno de la entidad. Otras responsabilidades
de los responsables del gobierno de la entidad incluyen la supervisión del
diseño y del funcionamiento eficaz de los procedimientos de denuncia y del
proceso para la revisión de la eficacia del control interno de la entidad.
(d) Filosofía y
estilo operativo de la dirección. La filosofía y el estilo operativo de la
dirección abarcan un amplio espectro de características. Por ejemplo, las
actitudes y actuaciones de la dirección en relación con la información
financiera se pueden manifestar a través de una selección conservadora o
agresiva de principios contables alternativos, o del rigor y grado de
conservadurismo con los que se realizan las estimaciones contables.
(e) Estructura
organizativa. El establecimiento de una estructura organizativa relevante
incluye la consideración de las áreas clave de autoridad y responsabilidad, así
como de las líneas de información adecuadas. La adecuación de la estructura
organizativa de una entidad depende, en parte, de su dimensión y de la
naturaleza de sus actividades.
(f)
Asignación de autoridad y responsabilidad. La asignación de autoridad y
responsabilidad puede incluir políticas relativas a prácticas empresariales
adecuadas, conocimiento y experiencia del personal clave, así como los recursos
disponibles para el desarrollo de las tareas. Además, puede incluir políticas y
comunicaciones cuyo fin es asegurar que todo el personal comprende los
objetivos de la entidad, sabe el modo en que sus actuaciones individuales se
interrelacionan y contribuyen a dichos objetivos, y es consciente del modo en
que se le exigirá su responsabilidad y su contenido.
(g) Políticas y prácticas
relativas a recursos humanos. Las políticas y prácticas relativas a recursos
humanos a menudo demuestran cuestiones importantes en relación con la
conciencia de control de una entidad. Por ejemplo, las normas de selección de
las personas más cualificadas – resaltando la formación, la experiencia laboral
anterior, los logros anteriores y la acreditación de integridad y de comportamiento
ético–demuestran el compromiso de una entidad de contratar personas competentes
y dignas de confianza.
Las políticas de formación que comunican las
funciones y responsabilidades prospectivas e incluyen prácticas, tales como
escuelas y seminarios, ilustran los niveles esperados de desempeño y
comportamiento. Las promociones basadas en evaluaciones periódicas del
desempeño demuestran el compromiso de la entidad con el ascenso de personal
cualificado a niveles más altos de responsabilidad.
El proceso
de valoración del riesgo por la entidad
Para los fines de la información financiera, el
proceso de valoración del riesgo por la entidad incluye el modo en que la
dirección identifica los riesgos de negocio relevantes para la preparación de
los estados financieros de conformidad con el marco de información financiera
aplicable a la entidad, estima su significatividad, valora su probabilidad de
ocurrencia y toma decisiones con respecto a las actuaciones necesarias para
darles respuesta y gestionarlos, así como los resultados de todo ello.
Por ejemplo, el proceso de valoración del riesgo
por la entidad puede tratar el modo en que la entidad considera la posibilidad
de que existan transacciones no registradas o identifica y analiza estimaciones
significativas registradas en los estados financieros.
Los riesgos relevantes para una información
financiera fiable incluyen hechos externos e internos, transacciones o
circunstancias que pueden tener lugar y afectar negativamente a la capacidad de
la entidad de iniciar, registrar, procesar e informar sobre datos financieros
coherentes con las afirmaciones de la dirección incluidas en los estados
financieros. La dirección puede iniciar planes, programas o actuaciones para
responder a riesgos específicos o puede decidir aceptar un riesgo debido al
coste o a otras consideraciones. Los riesgos pueden surgir o variar debido a
circunstancias como las siguientes:
• Cambios en el entorno operativo. Los cambios en
el entorno regulatorio u operativo pueden tener como resultado cambios en las
presiones competitivas y riesgos significativamente distintos.
• Nuevo
personal. El nuevo personal puede tener una concepción o interpretación
diferente del control interno.
• Sistemas de
información nuevos o actualizados. Los cambios rápidos y significativos en los
sistemas de información pueden modificar el riesgo relativo al control interno.
• Crecimiento
rápido. Una expansión significativa y rápida de las operaciones puede poner a
prueba los controles e incrementar el riesgo de que éstos dejen de funcionar.
• Nueva tecnología.
La incorporación de nuevas tecnologías a los procesos productivos o a los
sistemas de información puede cambiar el riesgo asociado al control interno.
• Nuevos
modelos de negocio, productos o actividades. Iniciar áreas de negocio o
transacciones con las que la entidad tiene poca experiencia puede introducir
nuevos riesgos asociados al control interno.
•
Reestructuraciones corporativas. Las reestructuraciones pueden venir
acompañadas de reducciones de plantilla y de cambios en la supervisión y en la
segregación de funciones que pueden cambiar el riesgo asociado al control
interno.
• Expansión de las
operaciones en el extranjero. La expansión o la realización de operaciones en
el extranjero trae consigo nuevos riesgos, a menudo excepcionales, que pueden
afectar al control interno; por ejemplo, riesgos adicionales o diferentes en
relación con transacciones en moneda extranjera.
• Nuevos
pronunciamientos contables. La adopción de nuevos principios contables o la
modificación de los principios contables puede tener un efecto en los riesgos
de la preparación de estados financieros.
El sistema de información, incluidos los procesos
de negocio relacionados, relevante para la información financiera, y la
comunicación
Un sistema de información está constituido por una
infraestructura (componentes físicos y de hardware), software, personas,
procedimientos y datos. Muchos sistemas de información hacen un amplio uso de
las tecnologías de la información (TI).
El sistema de información relevante para los objetivos de la información
financiera, que incluye el sistema de información financiera, engloba los
métodos y registros que:
• identifican y registran todas
las transacciones válidas;
•
describen las transacciones oportunamente con suficiente grado de detalle para
permitir su correcta clasificación a efectos de la información financiera;
• miden el valor de
las transacciones de un modo que permite que su valor monetario correcto se
registre en los estados financieros;
• determinan el
periodo en el que se han producido las transacciones con el fin de permitir su
registro en el periodo contable correcto;.
•
presentan adecuadamente las transacciones y la correspondiente información a
revelar en los estados financieros.
La calidad de la información generada por el
sistema influye en la capacidad de la dirección de tomar las decisiones
adecuadas en materia de dirección y control de las actividades de la entidad,
así como de preparar informes financieros fiables.
La comunicación, que implica proporcionar
conocimiento de las funciones y responsabilidades individuales del control
interno sobre la información financiera, puede adoptar la forma de manuales de
políticas, manuales contables y de información financiera y circulares. La
comunicación también puede ser realizada por vía electrónica, verbal y a través
de las actuaciones de la dirección
Actividades de control
Por lo general, las actividades de control que
pueden ser relevantes para la auditoría pueden clasificarse como políticas y
procedimientos que pertenecen a las siguientes categorías o que hacen
referencia a lo siguiente:
• Revisiones de resultados. Dichas actividades de
control incluyen revisiones y análisis de los resultados reales en comparación
con los presupuestos, los pronósticos y los resultados del periodo anterior; la
puesta en relación de diferentes conjuntos de datos – operativos o financieros–
junto con el análisis de las relaciones y las actuaciones de investigación y
corrección; la comparación de datos internos con fuentes externas de
información; y la revisión de los resultados funcionales o de las actividades.
Procesamiento de la información. Los dos grandes
grupos de actividades de control de los sistemas de información son los
controles de aplicaciones, que se aplican al procesamiento de las aplicaciones
individuales, y los controles generales de las TI, que consisten en políticas y
procedimientos relativos a numerosas aplicaciones y que son la base de un
funcionamiento eficaz de los controles de aplicaciones al permitir asegurar un
funcionamiento continuo adecuado de los sistemas de información.
Ejemplos de controles de aplicaciones incluyen la comprobación de la
exactitud aritmética de los registros, el mantenimiento y revisión de las
cuentas y balances de comprobación, controles automatizados tales como filtros
de datos de entrada y comprobaciones de secuencia numérica, y el seguimiento
manual de los informes de excepciones.
Ejemplos de controles generales de las TI son los
controles sobre los cambios en los programas, los que restringen el acceso a
los programas o a los datos, los relativos a la implementación de nuevas
versiones de aplicaciones de paquetes de software, y los relacionados con el
software de sistemas que restringen el acceso o hacen un seguimiento de la
utilización de las utilidades del sistema que podrían cambiar datos o registros
financieros sin dejar rastro para la auditoría.
Controles físicos. Controles que engloban:
o La seguridad física de los activos, incluidas las salvaguardas
adecuadas, tales como instalaciones con medidas de seguridad, para el acceso a
los activos y a los registros. o La autorización del acceso a los programas
informáticos y a los archivos de datos.
o El recuento periódico y la comparación con las
cantidades mostradas en los registros de control (por ejemplo, la comparación
de los recuentos de efectivo, valores y existencias con los registros
contables).
El grado en que los controles físicos cuya
finalidad es prevenir el robo de los activos son relevantes para la fiabilidad
de la preparación de los estados financieros, y por consiguiente, para la
auditoría, depende de circunstancias tales como si existe una alta exposición
de los activos a la apropiación indebida.
Segregación de funciones La asignación a diferentes
personas de las responsabilidades relativas a la autorización de las
transacciones, al registro de las transacciones y al mantenimiento de la
custodia de los activos. La finalidad de la segregación de funciones es reducir
las oportunidades de que cualquier persona esté en una situación que le permita
a la vez cometer y ocultar errores o fraude en el curso normal de sus
funciones.
Algunas actividades de control pueden depender de
la existencia de políticas adecuadas de mayor rango establecidas por la
dirección o por los responsables del gobierno de la entidad. Por ejemplo, los
controles de autorización pueden delegarse de acuerdo con directrices
establecidas, tales como criterios de inversión fijados por los responsables
del gobierno de la entidad; por el contrario, las transacciones no rutinarias,
tales como adquisiciones o desinversiones importantes, pueden requerir una
aprobación específica a un nivel alto, incluso en algunos casos por parte de
los accionistas.
Seguimiento de los controles
Una responsabilidad importante de la dirección es
establecer y mantener el control interno de manera continuada. El seguimiento
de los controles por la dirección incluye la consideración de si están
funcionando como se espera y si se modifican según corresponda ante cambios en
las condiciones.
El seguimiento de los controles puede incluir
actividades como la revisión por la dirección de si las conciliaciones
bancarias se preparan oportunamente, la evaluación por los auditores internos
del cumplimiento por el personal de ventas de las políticas de la entidad sobre
condiciones de los contratos de venta, y la supervisión por el departamento
jurídico del cumplimiento de las políticas de la entidad en materia de ética o
de práctica empresarial.
El seguimiento se realiza también para asegurarse
de que los controles siguen funcionando de manera eficaz con el transcurso del
tiempo. Por ejemplo, si la puntualidad y la exactitud de las conciliaciones
bancarias no son objeto de seguimiento, es probable que el personal deje de
prepararlas.
Los auditores internos o el personal que realice
tareas similares pueden contribuir al seguimiento de los controles de una
entidad mediante evaluaciones individuales. Normalmente, proporcionan
información con regularidad acerca del funcionamiento del control interno,
dedicando una considerable atención a la evaluación de la eficacia de dicho
control, comunican información sobre los puntos fuertes y las deficiencias del
control interno y formulan recomendaciones para su mejora
Las actividades de seguimiento pueden incluir la
utilización de información de comunicaciones de terceros externos que pueden
indicar problemas o resaltar áreas que necesitan mejoras. Los clientes
implícitamente corroboran los datos de facturación al pagar sus facturas o al
reclamar por sus cargos. Además, las autoridades reguladoras se pueden
comunicar con la entidad en relación con cuestiones que afectan al
funcionamiento del control interno; por ejemplo, comunicaciones relativas a
inspecciones por autoridades de supervisión bancaria.
Asimismo, en la realización de actividades de
seguimiento, la dirección puede tener en cuenta comunicaciones relativas al
control interno procedentes de los auditores externos.
Anexo 2 (Ref: Apartados A33, A115)
Condiciones y hechos que pueden indicar la
existencia de riesgos de incorrección material
A continuación figuran ejemplos de condiciones y
hechos que pueden indicar la existencia de riesgos de incorrección material.
Los ejemplos mencionados aquí abarcan un amplio espectro de condiciones o
hechos; sin embargo, no todos son relevantes para todo encargo de auditoría y
la lista de ejemplos no es necesariamente exhaustiva.
• Operaciones
en regiones económicamente inestables; por ejemplo, en países con significativa
devaluación de la moneda o con economías muy inflacionistas.
•
Operaciones expuestas a mercados volátiles; por ejemplo, comercio con futuros.
• Operaciones sujetas
a un alto grado de regulación compleja.
• Problemas de empresa en
funcionamiento y de liquidez, incluida la pérdida de clientes significativos.
•
Restricciones en la disponibilidad de capital y de créditos.
• Cambios en el
sector en el que opera la entidad.
• Cambios en la
cadena de suministros.
• Desarrollo u
oferta de nuevos productos o servicios, o cambios a nuevas líneas de negocio.
• Expansión a nuevas
ubicaciones.
• Cambios en la
entidad, como importantes adquisiciones o reorganizaciones u otros hechos
inusuales.
•
Probabilidades de venta de entidades o de segmentos de negocio.
•
Existencia de alianzas y de negocios conjuntos complejos.
• Utilización de
financiación fuera de balance, entidades con cometido especial y otros acuerdos
de financiación complejos.
•
Transacciones significativas con partes vinculadas.
•
Falta de personal con las cualificaciones necesarias en el área contable y de
información financiera.
• Cambios en personal
clave, incluida la salida de ejecutivos clave.
• Deficiencias en el
control interno, especialmente las no tratadas por la dirección.
• Incongruencias
entre la estrategia de TI de la entidad y sus estrategias de negocio.
• Cambios en el
entorno de las TI.
• Instalación de
nuevos y significativos sistemas de TI relacionados con la información
financiera.
• Indagaciones
sobre las operaciones de la entidad o de sus resultados financieros realizadas
por organismos reguladores o gubernamentales.
•
Incorrecciones anteriores, historial de errores o un elevado número de ajustes
al cierre del periodo.
•
Número significativo de transacciones no rutinarias o no sistemáticas,
incluidas transacciones intergrupo e importantes transacciones generadoras de
ingresos al cierre del periodo.
•
Transacciones registradas sobre la base de las intenciones de la dirección; por
ejemplo, refinanciación de la deuda, activos mantenidos para la venta y
clasificación de los valores negociables.
• Aplicación de
nuevos pronunciamientos contables.
•
Mediciones contables que conllevan procesos complejos.
• Hechos
o transacciones que implican una incertidumbre significativa de medición,
incluidas las estimaciones contables.
•
Litigios y pasivos contingentes pendientes; por ejemplo, garantías post-venta,
garantías financieras y reparación medioambiental.
Comentarios
Publicar un comentario