CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS...

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

MARCO GENERAL

PROCESO DE AUDITORIA

Evaluación de riesgos

Respuesta al riesgo

Presentación deinformes

PROCESO DE LA AUDITORÍA BASADO EN RIESGOS

PROCESO DE LA AUDITORÍA BASADO EN RIESGOS

Entender el proceso

¿Existen controles relevantes?

Entender los riesgos, confirmar los objetivos de auditoría e identificar los controles relevantes.

.El riesgo de que ocurran errores e irregularidades significativos** se ha evaluado como alto

Seleccionar un conjunto secundario para las pruebas*

.

¿Están bien diseñados los controles??

El riesgo preliminar de que ocurran errores e irregularidades significativos** se ha evaluado como bajo o moderado

.Efectuar pruebas de control del conjunto secundario para respaldar el riesgo de que ocurran errores e irregularidades significativos**.

¿Son eficaceslos controles (o

sea, si se respalda el riesgo de que ocurran errores e irregularidades

significativos**)?

¿Existen controles adicionales?

Seleccionar otros controles

.

Aumentar el riesgo de que ocurran errores e

irregularidades significativos** a alto

Planear los procedimientos

restantes de auditoría

procedimientos analíticos

Pruebas de detalle

Fin

si

si

si

si

no

no

no

no

PROCESO DE AUDITORIA BASADO EN RIESGO

* Incluye efectuar la prueba de detalles del conjunto secundario de loscontroles relevantes y evaluar el riesgo preliminar de que ocurranerrores e irregularidades significativos con respecto a cada objetivode auditoría.

** El riesgo de que ocurran errores e irregularidades significativos seevalúa con respecto a cada objetivo de auditoría. Las decisionessobre siexiste un control o si éste es eficaz debe considerarse con respecto acada objetivo de auditoría. Una situación en la que no existan

controlescon respecto a cierto objetivo de auditoría (o sea, el riesgo de queocurran errores e irregularidades significativos es alto) no significa quehade adoptarse un enfoque completamente sustantivo con respecto atodos los objetivos de auditoría; sólo aplicaría al objetivo de auditoría

bajoconsideración.


En la conducción de una auditoría, la firma de Contadores y el equipo de trabajo están obligados a:

� Cumplir con los requisitos éticos, incluyendo los relativos a la independencia.� Cumplir con los requisitos de control de calidad (NIA 220).� Realizar la auditoría de acuerdo con las NIAs.� Planificar y realizar una auditoría con una actitud de escepticismo profesional,

reconociendo que pueden existir circunstancias que provoquen que los estados financieros contengan errores materiales.

� Obtener una certeza razonable de que los estados financieros tomados en su conjunto están libres de errores materiales, ya sea por fraude o error.

� La preparación de los estados financieros requiere que la administración realice una serie de juicios o supuestos que afectan las estimaciones contables significativas y que controlan que sean adecuadas tales estimaciones en forma permanente.

� Planear y realizar la auditoría para reducir el riesgo de auditoría hasta un nivel aceptable bajo.

� Determinar si el marco de información financiera adoptado por la administración, en la preparación de los estados financieros, es aceptable teniendo en cuenta la naturaleza de la entidad y el objetivo de los estados financieros.


Etapas de una auditoría

El enfoque de auditoría debe ser diseñado para reunir las pruebas suficientes y apropiadas para apoyar el dictamen de auditoría de la manera más eficiente y eficaz.

a. Actividades preliminares del trabajo

En la etapa de planeación, el socio se asegura de que: NIA 300 - 315

� Se haya obtenido la aceptación del cliente.� Se hayan revisado los aspectos de control de calidad para el trabajo incluyendo la revisión

de la competencia del equipo para llevar a cabo la asignación y control del cumplimiento de los requisitos éticos, incluyendo la revisión de los requisitos de independencia.


b. Planeación

De acuerdo con la NIA300, la auditoría de estados financieros, requiere de una planificación adecuada para alcanzar sus objetivos en la forma más eficiente posible. Desde luego, la planificación detallada de algunos procedimientos no puede hacerse con exactitud si no se conoce el resultado de algunos otros. Por consiguiente, debe haber un plan inicial a ser revisado de manera continua y, en su caso, modificado, al mismo tiempo que se supervise el trabajo ya efectuado. El objetivo del auditor es planear la auditoría para que ésta sea realizada de manera efectiva. Los componentes clave de la planificación son:

i. Identificar el alcance del trabajo.ii. Desarrollar:

� Una estrategia de auditoría, teniendo en cuenta el alcance del trabajo.

� El negocio y el entorno normativo en el que opera la entidad.

� Los objetivos de información, el calendario o programa de auditoría y la naturaleza de la comunicación requerida.

� Cuestiones relacionadas con la dirección de la auditoría incluyendo el establecimiento preliminar de niveles de materialidad, la revisión preliminar de riesgos incluyendo el riesgo de fraude, la revisión preliminar de control interno, incluido el entorno de control y el proceso adoptado por la entidad para identificar, medir, monitorear y controlar los riesgos.

iii. Desarrollar, con base en lo anterior, el plan general de auditoría detallando la naturaleza, el calendario o programa y el alcance de los procedimientos de auditoría que se van a llevar a cabo con el fin de reducir el riesgo de auditoría a un nivel aceptablemente bajo, la naturaleza de las pruebas que se van a adoptar, los procedimientos que se realicen al nivel de aseveración y la adaptación de los programas o cédulas de auditoría a las necesidades específicas.


La planificación implica elaborar la estrategia de auditoría de acuerdo con el tipo de trabajo a desarrollar con el propósito de minimizar los riesgos a un nivel aceptable para el auditor. Los objetivos de la planificación son:

� Enfocar el trabajo en las áreas importantes

� Resolver problemas potenciales de forma oportuna

� Organizar y administrar, de forma apropiada, el trabajo de auditoría de modo que se desempeñe de manera efectiva y eficiente

� Asistir en la selección de los miembros del equipo de trabajo con los niveles apropiados de capacidades, así como la competencia para responder a los riesgos previstos, y la asignación apropiada de trabajo a los mismos

� Facilitar la dirección y supervisión de los miembros del equipo del trabajo, así como de la revisión de su trabajo

� Asistir, cuando se aplicable, en la coordinación del trabajo hecho por auditores de componentes y/o especialistas


Actividades preliminares al inicio de una planifica ción de Auditoría

La NIA 300 define algunas actividades preliminares al inicio de una planificación de auditoría:

• Haber evaluado la continuidad de la relación con el cliente

• Evaluar el cumplimiento de los requisitos éticos relevantes (Independencia y conflictos de intereses).

• Aceptación de los términos del trabajo por parte del cliente.

Trabajos Iniciales – Clientes de Primer Año

De acuerdo con la NIA 510, cuando el auditor conduce un trabajo de auditoria inicial su objetivo es obtener suficiente evidencia apropiada sobre si los saldos iniciales contienen errores significativos que puedan afectar los estados financieros actuales, y si las políticas contables se han aplicado apropiadamente y los cambios se han registrado apropiadamente de acuerdo con el marco de referencia de información financiera aplicable.


Aspectos relevantes a tener en cuenta en la planifi cación de una Auditoría

1. Antes de iniciar nuestro proceso de auditoría debemos tener claros nuestros objetivos. Sugerimos que los objetivos estén alineados de acuerdo con el modelo COSO, dentro de las siguientes categorías:

a. Operacionales: utilización eficaz y eficiente de los recursos de una organización. (Por ej. Rendimiento, Rentabilidad, Salvaguarda de activos, etc.)

b. Información financiera: preparación y publicación de estados financieros fiables.

c. Cumplimiento: Cumplimiento de las leyes y normas aplicables.

El alcance de la auditoría debe estar encaminado a asegurar el cumplimiento de estos objetivos dependiendo el tipo de auditoría que realicemos. Ejemplo: para una auditoría financiera nuestro trabajo estará enfocado a evaluar el cumplimiento del objetivo relacionado con la preparación y publicación de estados financieros fiables y de cumplimiento. Para un trabajo de Auditoria independiente o Revisoría Fiscal, tendremos que abarcar los tres objetivos enunciados en COSO (operacionales, de información financiera y cumplimiento)

2. La auditoría se debe realizar por personal que tenga un entrenamiento técnico adecuado y experiencia en auditoría. Es recomendable trabajar con un equipo multidisciplinario de acuerdo con las necesidades del cliente, el tipo de auditoría, y en lo posible, con experiencia en la industria. Ejemplos: Contadores, Abogados, Ingenieros de Sistemas, Ingenieros Industriales, Especialistas en Impuestos, Especialistas en temas de la Industria, etc.


3. En la planificación de la auditoría es vital lograr un entendimiento integral del negocio, del ambiente de la industria y externo, que facilite la identificación de riesgos. El número de riesgos significativos identificados es directamente proporcional al grado de entendimiento del negocio, su ambiente externo y de la industria. A mayor entendimiento, mayor es la probabilidad de identificar riesgos significativos. Los riesgos significativos son aquellos con una alta probabilidad de ocurrencia y un impacto significativo en los estados financieros

4. En la planificación de la auditoría, nuestros esfuerzos deben ir encaminados principalmente a:

a. Identificar riesgos significativos del negocio y sus implicaciones en los estados financieros (provisiones en los estados financieros y/o revelaciones)

b. Identificar riesgos significativos de fraude y sus implicaciones en los estados financieros (Malversación de activos y/o información financiera fraudulenta)

c. Determinar las transacciones significativas que se registran en los estados financieros (rutinarias y no rutinarias)


5. Definir la materialidad de planificación. La materialidad de planificación le permite al auditor enfocarse en los aspectos relevantes de los estados financieros

6. El entendimiento del negocio lo realizamos de arriba hacia abajo, por esto es importante entrevistarnos con la alta gerencia, para conocer sus objetivos, estrategias, los riesgos que pueden impedir que la compañía logre los objetivos y los controles que tiene para mitigar esos riesgos

7. En la planificación de la auditoría el auditor debe complementar su trabajo mediante la realización de procedimientos analíticos preliminares que incluyan el análisis de indicadores, tanto financieros como no financieros, de rendimiento

8. Dentro de la planificación de la auditoría, es recomendable efectuar un recorrido por las instalaciones físicas con el fin de comprender mejor el negocio y poder conocer el personal clave

9. Es importante documentarnos lo mejor posible mediante información interna y externa:

Información Interna� Estatutos� Manuales de procedimientos� Políticas� Actas (Asamblea de Accionistas, Junta Directiva, Comités, etc)� Reportes de la gerencia a la junta directiva� Contratos� Correspondencia con entidades de vigilancia y control� Correspondencia con abogados� Certificado de Cámara de Comercio� Intranet de la compañía� Página web de la Compañía

Información Externa� Revistas y diarios� Portales de búsqueda en la web� Bases de datos� Cámara de comercio

10. Al final de la planificación de la auditoría debemos validar el entendimiento del negocio, los riesgos identificados y los hallazgos, con la gerencia del cliente.



c. Ejecución

Los componentes clave de la fase de ejecución son los siguientes:

� La realización de la prueba de los controles y las pruebas sustantivas sobre las transacciones y saldos, incluyendo los procedimientos analíticos sustantivos para obtener evidencia de auditoría suficiente y adecuada para que el equipo de trabajo pueda llegar a conclusiones razonables sobre las cuales se base el dictamen de auditoría.

� Evaluación de los supuestos significativos utilizados en la medición del valor razonable.

� La identificación de partes relacionadas y la obtención de pruebas suficientes y adecuadas de auditoría en materia de medición y la divulgación de las transacciones con partes relacionadas.

� La documentación de la naturaleza, el calendario o programa y del alcance de los procedimientos de auditoría realizados y los resultados y las conclusiones alcanzadas de la evidencia de auditoría obtenida.


d. Conclusión y otras áreas de auditoría

La revisión y los procedimientos de conclusión se concentran en asegurar que se haya obtenido evidencia suficiente y adecuada para apoyar el dictamen de auditoría. Se trata de afirmar que:

� Se hayan aclarado todos los asuntos pendientes.

� Se hayan documentado y resuelto las consultas sobre asuntos difíciles o polémicos de manera adecuada y que se hayan aplicado las conclusiones pertinentes.

� Se hayan realizado los procedimientos analíticos para llegar a una conclusión sobre si los estados financieros tomados en su conjunto son consistentes con los conocimientos del negocio por parte de la firma.

� En caso de que no se pudiera obtener de manera razonable otra evidencia de auditoría, que se hayan obtenido declaraciones por escrito de la administración en áreas materiales para los estados financieros.

� Existe evidencia de que el equipo de trabajo ha considerado y confirmado que el marco de información financiera adoptado por la entidad es aceptable y que los estados financieros cumplen con este, en cuanto al reconocimiento y a la medición, representación y la revelación.

� El socio encargado ha revisado el expediente de auditoría y se estima que se han obtenido pruebas suficientes y adecuadas para apoyar las conclusiones derivadas y el dictamen de auditoría que se va a emitir.

El auditor debe considerar los niveles evaluados de los riesgos inherentes y de control al determinar lanaturaleza, oportunidad y alcance de los procedimientos de auditoría requeridos para reducir el riesgo deauditoría a un nivel aceptable. Al respecto el auditor debe considerar:

a. La naturaleza de los procedimientos de auditoría, por ejemplo, usar pruebas dirigidas hacia terceros fuera de la Compañía en lugar de dirigir las pruebas hacia individuos o documentación de la Compañía (NIA 505), o usar pruebas detalladas para un objetivo particular de auditoría en adición a procedimientos analíticos (NIA 500-501 y 520).

b. La oportunidad de los procedimientos sustantivos, por ejemplo, realizarlos al final del período en lugar de una fecha anterior y

c. La extensión de los procedimientos sustantivos, por ejemplo, aplicando una muestra mayor (NIA 530)

NIA: EVALUACION DE RIESGO Y CONTROL

¿QUÉ ES AUDITORÍA BASADA EN RIESGOS?NIA 200

El objetivo de la auditoría de estados financieros es permitirle al auditor expresar una opinión respecto de si los estados financieros están prepar ados, en todos los aspectos materiales, de acuerdo con la estructura aplicable de información financiera.

En la auditoría basada en riesgos el objetivo del auditor es obtener seguridad razonable de que en los estados financieros no existan declaraciones equivocadas materiales causadas por fraude o error. Esto implica tres pasos clave:

� Valorar los riesgos de declaración equivocada material contenida en los estados financieros;

� Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros; y

� Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de auditoría.

.

El auditor no puede dar seguridad absoluta debido a las limitaciones inherentes del trabajo llevado a cabo, los juicios humanos que se requieren, y la naturaleza de la evidencia examinada. La siguientemuestra resalta algunas de las limitaciones de la auditoría

LIMITACIONES RAZONES

Uso de pruebas Cualquier muestra menor que el 100% de la población introduce algún riesgo de que la declaración equivocada no será detectada.

Limitaciones del control interno

Aún los controles mejor diseñados y más efectivos pueden ser eludidos o negados por la administración o por colusión entre los empleados.

Fraude que permanecesin ser detectado

Dado que el fraude está específicamente diseñado para no ser descubierto, siempre hay la posibilidad de que no será descubierto.

Naturaleza de la evidencia de auditoría disponible

La mayoría de la evidencia de auditoría tiende a ser de carácter persuasiva, más que conclusiva

Disponibilidad de laevidencia de auditoría

Puede estar disponible respaldo insuficiente para llegar a conclusiones absolutas sobre aserciones específicas tales como los estimados hechos a valor razonable

Confianza en los juicios hechos por el auditor

Se requiere juicio profesional para:• Identificar y tratar de manera apropiada los factores de riesgo;• Decidir qué evidencia obtener;• Valorar los estimados hechos por la administración; y• Obtener conclusiones con base en la evidencia y las representaciones de la administración

Dificultad para asegurar lacompletitud

Hay el riesgo de que alguna información importante no se conozca,no se obtenga o le haya sido ocultada al auditor


El auditor debe planear y ejecutar la auditoría par a reducir el riesgo de auditoría a un nivel bajo aceptable que sea consistente con el objetivo de la auditoría

El riesgo de auditoría contiene dos elementos clave:

� El riesgo de que los estados financieros contengan una declaración equivocada material (riesgo inherente y de control);

� El riesgo de que el auditor no detectará tal declaración equivocada (riesgo de detección o del contrato).

Para reducir el riesgo de auditoría a un riesgo bajo aceptable, el auditor tiene que:

� Valorar el riesgo de declaración equivocada material; y� Limitar el riesgo de detección. Esto también se puede lograr mediante la aplicación de

procedimientos que respondan a los riesgos valorados en los niveles de estado financiero, clases de transacciones, saldos de cuenta y aserción.

Aserciones*Incluidas en las representaciones de la administración respecto de los estados financieros, son una cantidad de afirmaciones implícitas. Se relacionan con el reconocimiento, medición, presentación y revelación de los diversos elementos (cantidades y

revelaciones) contenidos en los estado financieros.


Nota: Las aserciones que se usan en este diagrama s on C = Completitud, E = Existencia, A = Exactitud y asociación, V = Valuación.

Nivel de estadoFinanciero


VISION

MISION

OBJETIVOS INSTITUCIONALES VENTAJAS

COMPETITIVAS

FACTORES CRITICOS DE

EXITO

ESTRATEGIAS

CORE COMPETENCIAS O COMPETENCIAS CLAVE

VALORES ORGANIZACIONALES

COMPETENCIAS DEL PERSONAL

OBJETIVOS OPERACIONALES

( SCORECARD)

OPORTUNIDADES

FUERZASDEBILIDADES

RIESGOS

EVALUACION DEL DESEMPEÑO

EL MAPA DE LA PLANEACION ESTRATEGICA

PROCESO DE AUDITORIA BASADO EN RIESGO

o Evaluación de Riesgos

o Respuesta a los Riesgos

o Reporte

Actividad Propósito Documentación

Actividades preliminares del encargo

Plan de auditoría

Desarrollar procedimientos de evaluación de riesgos

Decidir si se acepta el encargo

Desarrollar estrategias general y plan de auditoria

Identificar/evaluar los riesgosa a través del entendimiento de la entidad

Listado Factores de riesgo Independencia Carta Encargo

Materialidad Discusiones equipo de auditoría Estrategia de auditoría general

Riesgo de fraude y negocios incluyendo riesgo significativo

Diseño / Implementación de controles internos relevantes

Evaluar los riesgos:• Nivel de EEFF• Nivel de aseveración

Diseño general de Respuestas y procedimientos adicionales de auditoría

Implementar respuestas al Riesgo evaluado

Desarrollo de respuestas apropiadas a la evaluación Riesgo

Reducir el riesgo de auditoría a unnivel bajo aceptable

Actualizar la estrategia general Respuestas totales Plan de auditoria que une la evaluación de Riesgos a los procedimientos

Trabajo desarrollado Hallazgos de Auditoría Supervisión Staff Revisión papeles de trabajo

Evaluar la evidencia de auditoría obtenida

Prepara el reporte de auditoría

Se requiere trabajo

adicional?

Determinar que trabajo adicional (sihay) es requerido

Revisar riesgos y procedimientos de auditoría Cambios en MaterialidadComunicación de hallazgos conclusiones procedimientos desarrollados

Formarse la opinión basado en loshallazgos de auditoría

• Decisiones Significativas• Firma de la opinión de auditoría

NO

SI

COMPONENTES DEL RIESGO DE AUDITORÍA

Los principales componentes del riesgo de auditoría están descritos en el siguiente cuadro:

NATURALEZA DESCRIPCIÓN COMENTARIO.

Riesgo inherente Susceptibilidad de la aserción a estardeclarada equivocadamente, la cualpodría ser material individualmente ocuando se agrega con otrasdeclaraciones equivocadas, asumiendoque no hay controles relacionados.El riesgo inherente se trata tanto a nivelde estado financiero como a nivel deaserción.

Hay riesgos de negocio y de otro tipo quesurgen de los objetivos de la entidad,naturaleza de las operaciones e industria,entorno regulatorio en el cual opera y sutamaño y complejidad. Los riesgos dedeclaración equivocada material variarán conbase en la naturaleza del saldo de la cuenta ode la clase de transacción. Los riesgos deinterés particular para el auditor puedenincluir:� Complejidad de los cálculos que podrían estar

equivocados;� Alto valor del inventario;� Estimados de contabilidad que estén sujetos a

importante incertidumbre en la medición;� Carencia de suficiente capital de trabajo para

continuar las operaciones;� Declinación o volatilidad en la industria con

muchas fallas de negocio; y� Desarrollos tecnológicos que puedan� hacer obsoleto a un producto particular.

Riesgo de fraude(Parte del riesgo inherente o posible riesgode control)

El riesgo de un acto intencionalcometido por uno o más individuos dela administración, de quienes tengan acargo el gobierno, empleados oterceros, que conlleva el uso de engañopara obtener una ventaja injusta oilegal.

Hay dos tipos de declaración equivocadaintencional que son relevantes para el auditor:� Declaraciones equivocadas que surgende información financiera fraudulenta; y� Declaraciones equivocadas que surgendel uso indebido de los activos

NATURALEZA DESCRIPCIÓN COMENTARIO.

Riesgo de control(¿Los controles internos Existentes mitigan los Riesgos inherentes?)

Riesgo de que el sistema de control interno de la entidad no prevendrá o no detectará, sobre una base oportuna, ladeclaración equivocada que podría ser material, individualmente o cuando se agrega con otras declaraciones Equivocadas

La entidad debe identificar y valorar sus riesgos de negocio y de otro tipo (tal como el fraude) y responder mediante el diseño y la implementación de un sistema de control interno. Los controles a nivel de entidad tales como supervisión por parte de la junta, controles generales de TI, y políticas de recursos humanos, son generales para todas las aserciones mientras que los controles a nivel de actividad se relacionan con aserciones específicas.A causa de las limitaciones inherentes de cualquier sistema de control siempre existirá algún riesgo de control.Del auditor se requiere que entienda el control interno de la entidad y ejecute procedimientos para valorar los riesgos de declaración equivocada material a nivel de aserción.

Riesgo combinado Es un término que se usa algunas veces para referirse a los riesgos valorados (riesgo inherente y de control) de declaración equivocada tanto a nivel de estado financiero como a nivel de aserción.

Los auditores pueden hacer valoraciones separadas o combinadas de los riesgos inherente y de control, dependiendo de las técnicas o metodologías de auditoría que se prefieran, así como de consideraciones prácticas.

Riesgo de Detección Es el riesgo de que el auditor no detectará la declaración equivocada que existe en una aserción que podría ser material, ya sea individualmente o cuando se agrega con otras declaraciones equivocadas.El nivel aceptable del riesgo de detección para un nivel dado de riesgo de auditoría equivale a la relación inversa con los riesgos de declaración equivocada material a nivel de aserción.

El auditor identifica las aserciones donde hay riesgos de declaración equivocada material y concentra los procedimientos de auditoría en esas áreas. Al diseñar y evaluar los resultados de la ejecución de esos procedimientos, el auditor debe considerar la posibilidad de:� Seleccionar un procedimiento de auditoría que no sea

apropiado;� Aplicar de manera equivocada un procedimiento de

auditoría que sea apropiado; o� Interpretar de manera equivocada los resultados de un

procedimiento de Auditoría.

COMPONENTES DEL RIESGO DE AUDITORÍA

Riesgo inherente

Riesgo de control(Respuestas que mitigan los riesgos inherentes)

Riesgo combinados

Riesgo de detección

Riesgo bajo Riesgo moderado Riesgo alto

INTERRELACIONES ENTRE LOS COMPONENTES DEL RIESGO DE AUDITORÍA

Factores de negocio, fraude y otros que ponen en riesgo la información Financiera

Procedimientos de auditoria (pruebas de los controles & sustantivas)

Controles a nivel de entidad ygenerales de TI

Procesos de negocio

Ingresos ordinarios Compra Nómina

EstrategiaGobiernoCultura/valoresCompetenciaActitud frente al control

Tolerancia de la entidad frente al riesgo

Nivel aceptable del riesgode auditoría

Val

orac

ión

del r

iesg

o

Aplicar procedimientosde aceptación o

continuación

Planear la auditoría

Apliqueprocedimientos de

valoración del riesgo

Decidir si aceptar ono el contrato

Desarrollar unenfoque general de

Auditoría (2)

Entienda la entidadIdentifique & valore el

RDEM (3)

Listar los factores de riesgo Carta de

contratación

Estrategia general deauditoríaMaterialidadDiscusiones del equipo deauditoría

Riesgos de negocio & de fraude, incluyendo riesgossignificantes

Diseño/implementación decontroles internos relevantes

RDEM valorado a:* nivel de estado financiero* nivel de aserción

Actividad Propósito Documentación (1)

Notas:1. Refiérase a NIA 230 para una lista más completa de la documentación que se requiere2. Planeación es un proceso continuo e interactivo a través de la auditoría3. RDEM = riesgos de declaración equivocada material

VALORACIÓN DEL RIESGO

Res

pues

ta a

l rie

sgo

Diseñe procedimientos de auditoría adicionales

Aplique procedimientos de

auditoría adicionales

Desarrolle unarespuesta apropiada

para los riesgosValorados (2)

Reduzca el riesgo deauditoría a un nivel bajo

aceptable

Actualice la estrategia general Desarrolle un plan de auditoría que vincule los riesgos valorados con los procedimientos de auditoría adicionales

Trabajo realizadoHallazgos de auditoríaSupervisión del personal Revisión de los papeles de trabajo


Notas:1. Refiérase a NIA 230 para una lista más completa de la documentación requerida2. Planeación es un proceso continuo e interactivo a través de la auditoría

RESPUESTA AL RIESGO

PRESENTACIÓN DE REPORTES

Pre

sent

acio

n de

rep

orte

s

Evalúe la evidenciade auditoría obtenida

Prepare el reportedel auditor

Determine quétrabajo adicional deauditoría se requiere

Forme una opiniónbasada en loshallazgos de auditoría

Factores de riesgo adicionales Procedimientos de auditoría Revisados Cambios en la materialidadConclusiones alcanzadas


Regrese a lavaloración delriesgo

¿Se requiere trabajoadicional?

Decisiones significantesOpinión de auditoría formada

Si

No

Nota:1. Refiérase a NIA 230 para una lista más completa de la documentación requerida

EVALUAR LOS RIESGOS

Nivel Descripción Nivel Descripción

1 Improbable 1 Insignificante

2Poco probable /

Raro2 M enor

3 Probable 3 M oderado

4 Potencial 4 M ayor

5 Casi cierto 5 Catastro fico

NIVEL DE PROBABILIDAD NIVEL DE IMPACTO

Concepto Concepto

Puede ocurrir en algún momentoEl riesgo tiene un efecto nulo o pequeño, en el desarro llo

del proceso - baja perdida financiera

Se espera que ocurra en la mayoria de circunstacias

El proceso es gravemente dañado - Enorme perdida financiera

Puede ocurrir só lo en circunstancias excepcionales

El desarro llo del proceso sufre un daño menor - Con perdida financiera menor

Probablemente ocurriria en la mayoria de circunstancias

El desarro llo del proceso sufre un deterioro, dificultando o retrazando su cumplimiento - Con afectación financiera

Puede ocurrir en la mayoría de circunstancias

El desarro llo del proceso es afectado significativamente - Pérdida financiera mayor

Catastrófico

Mayor

Moderado

Menor

Insignificante

Rara vez Ocas iona lPoco

frecuenteFrecuente Muy frecuente

Extremo

Moderado Moderado Alto Extremo Extremo

IMP

AC

TO

Moderado Alto Alto Extremo

Bajo Moderado Alto Alto Alto

FRECUENCIA

Bajo Moderado Moderado Moderado Alto

Bajo Bajo Bajo Moderado Moderado

Matriz de riesgos

EVALUAR LOS RIESGOS

AnálisisCualitativo

Análisis Cuantitativo

Probabilidad

Impacto

Probable

Posible

Improbable

Leve

Moderado

Catastrófico

Probabilidad de ocurrencia

Nivel Calificación

0 – 25 Improbable 1

26- 70 Posible 2

71- 100 Probable 3

Impacto Nivel Calificación

0 – 25 Leve 10

26- 70 Moderado 20

71- 100 Catastrófico 30

EVALUAR LOS RIESGOS

EVALUAR LOS RIESGOS

Evaluar los riesgos

EVALUAR LOS RIESGOS

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

TRATAMIENTO DE LOS RIESGOS

TRATAR LOS RIESGOS

Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.

PASOS SUGERIDOS

Seleccionarprocesos

clave

Comprenderlos procesos

Fuente de los riesgos

Documentarcontroles

clave

Evaluar el diseño

Efectividadde los

controles

Reporte

• Seleccionar los procesos clave conformea la importancia en el cumplimientomisional, manejo de fondos y probabilidad de corrupción

• Considerar insumos de materialidad e importancia

• Comprender las actividades y los procedimientos

• Identificar reportes contables o de la gestión de proyectos, a fin de establecermaterialidad

• Cruzar riesgos vs. procesos

• Documentar controles a nivel entidad• Documentar otros controles• Documentar controles a nivel preventivo y detectivos en los procesos

principales

• Evaluar la efectividad del diseño de los controlesa nivel entidad

• Tomar acciones de mejora sobre las deficienciasencontradas

• Evaluar la efectividad de los controles a nivel entidad y de procesos

• Remediar deficiencias a travésde la implementación de recomendaciones

• Concluir• Comunicar• Reportar

• Cuáles son los riesgos a que se encuentran expuestos los procesos?

• En qué actividades se encuentranlos riesgos?

• Cuáles son los controles clave?• Quién es propietario de los

controles clave?

• Cómo se encuentra el diseño de los controles ?

• Cuáles son los riesgos de falla de los controles?

• Cuál es el desempeño de los controles?

• Existen debilidades materiales o de cumplimiento?

Objetivos institucionales

GESTIÓN DE RIESGO OPERATIVO

FLUJO DE COBRANZA DOCUMENTARIA EN GARANTIA O EN DES CUENTORecepción de documentos en Cobranza por la SUCURSAL

Jefe deOperacionesCliente

EjecutivoComercial

Empresa Adm.Procesos Centrales

Depto.SS.CentralesCobranza

Des

de la

ent

rega

por

el c

lient

e ha

sta

el e

nvío

a la

Em

pres

a A

dm.d

e P

roce

sos

Cen

tral

es

EntregaDocumentos

solicitados porel EjecutivoComercial

RecibeDocumentos

entregados porel EjecutivoComercial

Devuelve alcedente losdocumentos

conobservaciones

¿Doctos.Conformes?

Recibe,verifica, revisa

y estampa V°B°en Mandato de

Cobranza

¿Doctos.Conformes?

SI

NO

Regularizaobservaciones

¿Corregidos?

SI

Revisadocumentos

RecibeDocumentos

enviado por elJefe de

Operaciones

SI Ingresa enPlanilla Controldoctos.recibidos

Devuelvedoctos. alEjecutivoComercial

NO

Envia doctos. aEmpresa

Adm.ProcesosCentrales

RecibeDocumentos

¿Doctos.Conformes?

Envía Planillade Control con

V°B° dedocumentosingresados al

sistema.

Recepciona yArchiva Planillade Control con

V°B°

DevuelveDoctos. con

Formulario deRechazos

NO

Recibe Doctos.con Formulariode Rechazos yenvía al Jefe de

OperacionesRecibe Doctos.Rechazados y

entrega alEjecutivoComercial

Resuelverechazos de los

doctos.

Inicio

NO

A

A

SI

B

RO:

* Suplantación deAceptantes enoperaciones.

RO:*No verificación de antecedentesllegados desde el ejecutivo.*No reemplazo de documentoseliminados objetados.*Registrar en forma errónea uomitir en Formulario dedevolución.* Extravío de documentación.

RO:* Mal evaluación deantecedentes comercialesdel deudor y Aceptantes.* No evaluación dedocumentación entregada.* Mantención de registrosincompletos de cliente.* No verificación de firmaen formulariocorrespondiente y endoso.

RO:*Mal ingreso dedocumentos recibidos,enplanilla de Control.* No verificación de V°B dePlanilla de Control.

RO:*No envío de Planilla deControl*No validación dedocumentación, llegadadesde Depto SSCentrales.* No revisión de Pagode impuestos.

Mapeo Procesos de negocio

Auto evaluaciónevaluaciòn

Prioridadalta

Prioridadmedia

Prioridad baja

Mapa de riesgos

INDICADORES CLAVE

Datos EventosInternos

Reporte deincidenteseventos

incidentes

AnálisisNormal

escenarios

Datos eventosexternos

GESTIÒN INTEGRALTABLERO DE MANDO

COMPROMISOS, SEGUIMIENTO

Este una vez que se evaluan los controles, se observa el resultado de su nueva valoración para la organización. Igual ocurriría si se adicionarán Tratamientos.

Genera gráficos y Mapas del estado de sus riesgos, con múltiples vistas: Áreas, Objetivos, Cuentas, Procesos, Evaluación Auditoria, etc.

Herramienta gerencial:

Genera variados Gráficos y Mapasde Riesgos (Matrices), por suvaloración Absoluta, con Controlesy con Tratamientos, por múltiplesvistas y niveles de agregación(Estructuras).

Este Mapa muestra, como la Consecuencia y Probabilidad del riesgo 2, y Severidad (color)cambian , a medida que se controla.

EJECUCIÓN DE LA AUDITORIA

Mapa de Riesgos

Valoración de riesgos absolutos y con controles

EJECUCIÓN DE LA AUDITORIA

NIA 315 FACTORES RELEVANTES DE LA INDUSTRIA

NIA 315 Entendimiento de la Entidad y su entorno y evolución de los riesgos de riesgos de representación errónea de importancia relativa.

“El auditor deberá obtener un entendimiento de los factores relevantes de la industria, de regulación y otros factores externos, incluyendo el marco de referencia de información financiera aplicable. Estos factores incluyen condiciones de la industria, tales como el entorno competitivo, las relaciones con proveedores y clientes y desarrollos tecnológicos; el entorno de regulación... La naturaleza de la entidad se refiere a las operaciones de la entidad, su propiedad y gobierno, los tipos de inversión que está haciendo y que planea hacer ...”

“El auditor deberá obtener un entendimiento de los objetivos y estrategias de la entidad y de los riesgos de negocio relacionados que puedan dar como resultado representaciones erróneas de importancia relativa de los estados financieros.”

EVALUACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL PROCES O DE AUDITORÍA DETERMINADOS POR LA NIA 315

La identificación y valoración de los riesgos hace parte de las labores del auditor, de acuerdo con lo establecido en la NIA 315. En esta norma se resalta la importancia del juicio profesional, y la relevancia de la generación de la información contable en una organización.

El riesgo en la gestión de los auditores en la organización es uno de los factores fundamentales que puede observarse en la norma internacional de auditoría NIA- 315. La norma hace hincapié en la utilidad del uso del juicio profesional, y considera que la evaluación de los riesgos debe estar bajo la responsabilidad del auditor y, por tanto, se mide en la capacidad de inspección, planeación y ejecución, además de la cobertura integral que pueda proporcionar al trabajo.

Adicionalmente, se debe tener en cuenta que los riesgos se generan no solo al interior de la organización, sino que se pueden ocasionar por el entorno; por tanto se resalta la capacidad integradora del auditor en la evaluación del entorno, la organización y como un instrumento clave, pues debe evaluar el sistema de control interno.


La norma indica que las funciones del auditor, con respecto al riesgo, se extienden a las gestiones de identificación y valoración de los riesgos, que tienden potencialmente a producir errores o fraudes en los estados financieros, a fin de que se pueda entregar a la organización la plataforma para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material.

Si bien no existe una lista definida de riesgos que se pueden evaluar al interior de una organización, gracias a que estos dependen de las características propias de la empresa, del entorno y modelo de negocio sobre el que se desempeñan, los auditores cuentan con un fundamento de situaciones que pueden establecerse como prioritarias al momento de iniciar las gestiones en torno a la identificación del riesgo: entre ellas se pueden identificar: evaluación del sistema de políticas, la estructura del control interno, desempeño financiero de la organización, estrategias de inversión, entre otras.


Por lo anterior, se evidencia la importancia del juicio profesional en el proceso de auditoría quien desde el entendimiento de la organización y el entorno debe proyectarse en la ejecución del plan de auditoría, bajo la obligatoriedad de la utilidad en la generación de información, en la pertinencia de la misma y el cumplimiento con los marcos regulatorios, que permiten al auditor entender los tipos de transacciones, las cuentas de balance y las revelaciones que espera que contengan los estados financieros sujetos a examen.

Los instrumentos con que cuentan los auditores para el efectivo cumplimiento de la labor son tres:

a. indagaciones ante la dirección y ante las personas de la entidad en general,

b. procedimientos analíticos y

c. observación e inspección.

El primero consiste en el acceso que tiene el auditor para realizar las labores de investigación e inspección directamente con el personal que se considere como poseedor de información valiosa para la identificación de los riesgos.

Los procedimientos analíticos, diseñados por el auditor, pueden incluir la comparación de estados financieros de anteriores períodos, los sistemas de información internos, las características del control para la generación y alimentación de la información contable.

ETAPAS DE LA EVALUACIÓN DEL RIESGO EN UN PROCESO DE AUDITORÍA BAJO NIA

En el proceso de auditoría bajo NIA, los profesionales contables deben enfocarse en los riesgos, dicho proceso está enfocado en tres pasos elementales: la identificación, la evaluación del riesgo y la administración del cambio.

A continuación, se responde brevemente el presente cuestionamiento: ¿Cuáles serían los pasos de la evaluación de riesgos en el ambiente de auditoría?

Evaluar, analizar, cuantificar los riesgos es uno de los procedimientos que se deben ejecutar durante el desarrollo de una auditoría. Los pasos para la evaluación de los riesgos son:

1. Identificación de los riesgos

Es el proceso generalmente integrado con el proceso de planeación de la auditoría contenido en la NIA 300. En este primer paso de la evaluación de los riesgos en un ambiente de auditoría la responsabilidad del auditor está enfocada en la posibilidad de reconocer los riesgos que están asociados a la entidad, en los diferentes procesos que se encuentran asociados a la labor de auditoría en la organización.

ETAPAS DE LA EVALUACIÓN DEL RIESGO EN UN PROCESO DE AUDITORÍA BAJO NIA

2. Evaluación del riesgo

Consiste en determinar la importancia, evaluar la frecuencia con que ocurre y considerar las acciones administrativas; en esta segunda fase el auditor posteriormente a la identificación de los riesgos debe ejecutar un ejercicio de clasificación de los riesgos de modo que se puedan caracterizar y determinar el nivel de impacto sobre la entidad auditada.

3. La administración del cambio

Toda entidad debe tener un proceso formal e informal que identifique las condiciones que tienen efecto negativo sobre la habilidad para lograr los objetivos de la empresa, con ello se debe enfocar en la retroalimentación de la empresa de modo tal que se tomen las medidas para que se disminuyan los riesgos y se prevenga la aparición de nuevos riesgos que pueden estar asociados a los previamente identificados en procesos de auditoría anteriores.

La administración del cambio también asociada al mejoramiento continuo aparece como un concepto novedoso para los profesionales contables que ejercen como auditores o revisores fiscales, puesto que le extiende la labor más allá de las actividades de inspección y detección para trasladarlos a un campo en el que se requieren acciones posteriores que puedan ser interpretadas por la organización auditada como una solución a los riesgos hallados o como posibilidades de prevención ante la aparición de nuevos riesgos y la mitigación de aquellos que se puedan determinar como potenciales.

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON L OS PROCEDIMIENTOS PARA DETERMINARLO?

La aplicación de los procedimientos de valoración del riesgo en las labores ejecutadas por el auditor, permiten obtener información que puede ser utilizada como evidencia en la auditoría NIA 500, para sustentar valoraciones del riesgo de inexactitudes relevantes.

En la ejecución de sus labores, el auditor debe aplicar procedimientos que le permitan identificar y valorar los riesgos de errores o inexactitudes relevantes que se hayan presentado en la información consignada en los Estados Financieros y en las Notas a los mismos. Sin embargo, a pesar de la importancia de su aplicación, los procedimientos de valoración del riesgo por sí solos no suministran evidencia de auditoría suficiente y adecuada en la cual basar la opinión de auditoría.


El auditor debe determinar el grado de conocimiento que necesita de la entidad y de su entorno, incluyendo el funcionamiento del control interno, de manera que la aplicación de los procedimientos de valoración del riesgo le suministre información suficiente que constituya un marco de referencia para que el mismo planifique la auditoría y aplique el juicio profesional a lo largo de la ejecución de la misma. Para ello el auditor debe analizar, entre otras cosas:

i. La valoración de los riesgos de inexactitudes o errores relevantes en los Estados Financieros.

ii. La determinación de la importancia relativa.

iii. La selección y aplicación de políticas contables, así como las revelaciones de información en los Estados Financieros.

iv. La identificación de las áreas en las que puede resultar necesaria una consideración especial de la auditoría; por ejemplo, en transacciones con partes vinculadas, en la adecuación de la aplicación por parte de la dirección, de la hipótesis de empresa en funcionamiento, o en la consideración de la finalidad empresarial de las transacciones.

v. El desarrollo de expectativas para su utilización en la aplicación de procedimientos analíticos.

vi. La manera de responder a los riesgos valorados de inexactitudes o errores relevantes, incluido el diseño y la aplicación de procedimientos de auditoría posteriores, con el fin de obtener evidencia de auditoría suficiente y adecuada.

vii. La evaluación de la suficiencia y adecuación de la evidencia de auditoría obtenida, tal como la adecuación de la hipótesis y de las manifestaciones verbales y escritas de la dirección.


Con la aplicación de los procedimientos de valoración, el auditor puede obtener información útil como evidencia para sustentar valoraciones del riesgo de inexactitudes relevantes, presentes por ejemplo en las transacciones, en los saldos contables, en la información a revelar en los Estados Financieros, así como también, para determinar la eficacia operativa de los controles utilizados en la entidad.

Un aspecto importante a considerar, es que al momento de la valoración, se deben incluir los riesgos generados por errores y los que se deben a prácticas fraudulentas. Por tanto, es necesario que el auditor aplique todos los procedimientos de valoración del riesgo para conocer la entidad, y en caso de considerarlo necesario, los acompañe de otros procedimientos que le proporcionen información útil para la identificación de errores relevantes; dentro de dichos procedimientos alternos, se pueden mencionar:

i. La revisión de información obtenida de fuentes externas, tales como revistas de negocios y económicas, informes de analistas, de entidades bancarias o de agencias de calificación, o bien de publicaciones regulatorias o financieras.

ii. La realización de indagaciones entre los asesores jurídicos externos o entre los expertos en valoraciones a los que la entidad haya acudido.


Ahora bien, los procedimientos de valoración del riesgo deben incluir las siguientes prácticas:

1. Indagaciones ante la dirección y ante otras personas de la entidad que, a juicio del auditor, dispongan de información que facilite la identificación de los riesgos de incorrección material, por fraude o error

Lo anterior parte del hecho de que la información obtenida a través de las indagaciones del auditor procede de la dirección y delos responsables de la información financiera. Sin embargo, en la identificación de los riesgos de inexactitudes relevantes, el auditor también puede obtener información, o una perspectiva diferente, mediante indagaciones a otras personas de la entidad y empleados con diferentes niveles de autoridad. Por ejemplo:

a. Las indagaciones ante los responsables de la dirección de la entidad ayudan al auditor a comprender el entorno en el que se preparan los Estados Financieros.

b. Las indagaciones a empleados que participan en el procesamiento o registro de transacciones complejas o inusuales, ayudan al auditor a evaluar la adecuación de la selección y aplicación de ciertas políticas contables.

c. Las indagaciones al personal de auditoría interna proporcionan información acerca de los procedimientos de auditoría interna aplicados durante el ejercicio, relativos al diseño y a la eficacia del control interno de la entidad, así como acerca de si la dirección ha respondido de manera satisfactoria a los hallazgos derivados de dichos procedimientos.

d. Las indagaciones ante los asesores jurídicos internos proporcionan información acerca de cuestiones tales como litigios, cumplimiento de las disposiciones legales y reglamentarias, conocimiento del fraude o indicios de fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos (tales como negocios conjuntos) con socios comerciales y el significado de términos contractuales.

e. Las indagaciones al personal de los departamentos de mercadotecnia o de ventas proporcionan información acerca de los cambios en las estrategias de marketing de la entidad, tendencias de las ventas, o acuerdos contractuales con los clientes.


2. Procedimientos analíticos

Los procedimientos analíticos NIA 520 aplicados como procedimientos de valoración del riesgo pueden identificar aspectos de la entidad que el auditor no conocía y facilitar la valoración de riesgos de inexactitudes o errores relevantes, con el propósito de disponer de la base para el diseño y la implementación de respuestas a los riesgos valorados; además, éstos procedimientos pueden incluir información tanto financiera como no financiera, por ejemplo, la relación entre las ventas y la superficie destinada a las ventas o el volumen de los productos vendidos.

Por otra parte, los procedimientos analíticos también pueden ayudar a identificar la existencia de transacciones o hechos inusuales, así como cantidades, o tendencias que pueden poner de manifiesto cuestiones que tengan implicaciones para la auditoría, que faciliten la identificación de riesgos de errores de relevancia, especialmente aquellos originados por fraude.

Por lo tanto, en dichos casos, la consideración de otra información obtenida durante la identificación de riesgos de errores relevantes, conjuntamente con los resultados de dichos procedimientos analíticos pueden facilitar al auditor la comprensión y la evaluación de los resultados


3. Observación e inspección

La observación y la inspección pueden dar soporte a las indagaciones ante la dirección y ante otras personas, y asimismo proporcionar información acerca de la entidad y de su entorno. Ejemplos de dichos procedimientos de auditoría incluyen la observación o inspección de:

i. Las operaciones de la entidad.

ii. Los documentos en donde se contengan la planeación y las estrategias de negocio, los registros y los manuales de control interno.

iii. Los informes preparados por la dirección, como por ejemplo los informes de gestión trimestrales y estados financieros intermedios, y los informes preparados por los responsables de la dirección de la entidad como por ejemplo actas de reuniones del consejo de administración.

iv. Los locales e instalaciones industriales de la entidad.

ADMINISTRACIÓN DEL RIESGO: EL PUENTE QUE UNE EL CON TROL INTERNO Y EL RIESGO

La administración del riesgo es un proceso cuyo objetivo es incrementar la confianza y habilidad de una organización para superar los obstáculos que se presenten y así alcanzar las metas.

¿Pueden unirse el control interno y el riesgo? Debe existir, y es casi obligatorio, que el control interno y el riesgo se encuentren unidos. Cabe recordar que el riesgo es la posibilidad de que un evento desfavorable pueda afectar negativamente la habilidad de la organización para lograr los objetivos.

Por otra parte, el control interno es un proceso diseñado para proveer una seguridad razonable respecto al logro de los objetivos de los negocios.

¿Qué une a estos dos conceptos? La administración del riesgo, la cual se define como un proceso para incrementar la confianza y habilidad de una organización para anticipar, priorizar y superar obstáculos y de esta manera alcanzar las metas.

IMPORTANCIA DEL CONTROL DEL RIESGO EN LA AUDITORÍA

El proceso de auditoría realizado bajo norma internacional debe fundamentarse en la administración del riesgo de modo tal que los resultados permitan resultados preventivos y no correctivos y posteriores como se encuentran establecidos en la norma local.

Uno de los cambios más fuertes en la transición de norma nacional a norma internacional en regulación de los procedimientos de auditoría, es el riesgo entre este, el riesgo de control, puesto que bajo normal local no se tenía un amplio conocimiento sobre el riesgo y se desconocían conceptos como el mapa de riesgo, mientras que internacionalmente si se ha trabajado el tema del riesgo.

NATURALEZA DEL CONTROL INTERNO

El auditor debe obtener un entendimiento del contro l interno, que sea relevante para la auditoría.

El control interno es diseñado e implementado por la administración para tratar losriesgos de negocio y de fraude identificados que amenazan el logro de los objetivosestablecidos, tales como la confiabilidad de la información financiera.

Definición de control interno

Control interno es un proceso:� Diseñado y efectuado por quienes tienen a cargo el gobierno, la administración y otro

personal; y� Que tiene la intención de dar seguridad razonable sobre el logro de los objetivos de la

entidad con relación a la confiabilidad de la información financiera, la efectividad y la eficiencia de las operaciones, y el cumplimiento con las leyes y regulaciones aplicables.

NIA 315 establece:

Hay una relación directa entre los objetivos de la entidad y el control interno que la entidad implementa para asegurar el logro de tales objetivos. Una vez que se establecen los objetivos, es posible identificar y valorar los eventos (riesgos) potenciales que impedirían el logro de los objetivos. Con base en esta información, la administración puede desarrollar respuestas apropiadas, las cuales incluirán el diseño del control interno.

El control interno puede ser diseñado en primer lugar para prevenir que ocurran debilidades materiales potenciales o para detectar y corregir las debilidades materiales luego que hayan ocurrido.

Los objetivos de la entidad, y por consiguiente su control interno, pueden ser agrupadosampliamente en cuatro categorías:

� Metas estratégicas, de alto nivel, que respaldan la misión de la entidad;� Información financiera (control interno sobre la información financiera);� Operaciones (controles operacionales); y� Cumplimiento con leyes y regulaciones.


Objetivos del control interno

El control interno que es relevante para la auditoría corresponde principalmente a la información financiera. Éste aborda los objetivos que tiene la entidad en la preparación de estados financieros para propósitos externos. Los controles operacionales, tales como la programación de la producción y del personal, el control de calidad, el cumplimiento de los empleados con los requerimientos de salud y seguridad, normalmente no serían relevantes para la auditoría, excepto cuando:

� La información producida es usada para desarrollar un procedimiento analítico;� La información es requerida para revelación en los estados financieros.

Por ejemplo, si las estadísticas de la producción se usaron como base para un procedimiento analítico, serían relevantes los controles para asegurar la exactitud de tales datos. Si el no-cumplimiento con ciertas leyes y regulaciones tienen un efecto directo y material sobre los estados financieros, serían relevantes los controles para detectar y reportar sobre el no-cumplimiento.


Objetivos del control interno

componentes del control interno


Actividades de control

� Políticas/procedimientos que aseguran que las directrices de la gerencia se llevan a cabo.

� Gama de actividades incluyendo aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, seguridad de los activos y segregación de funciones.

Monitoreo

� Evaluación del desempeño de un sistema de control a través del tiempo.

� Combinación de evaluación continua e individual.

� Actividades de administración y supervisión.

� Actividades de auditoría interna.

Ambiente de Control

� Establece el tono de la organización, influenciando la conciencia de control de sus funcionarios.

� Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.

� Fundamento para todos los demás componentes de control.

Información y Comunicación

� Información relevante identificada, capturada y comunicada de forma oportuna.

� Acceso a la información generada interna y externamente.

� Flujo de información que permite acciones de control exitosas a partir de instrucciones sobre las responsabilidades de resumen de hallazgos para acción por parte de la gerencia.

Evaluación de riesgo

La evaluación de riesgo es la identificación y análisis de los riesgos relevantes para alcanzar los objetivos de la organización que conforman la base para determinar las actividades de control.

Todos los cinco componentes deben ser colocados en su lugar para un control efectivo




Monitoreo





Ambiente de Control














Monitoreo





Ambiente de Control











El auditor debe obtener un entendimiento del ambien te de control.


ELEMENTOS CLAVE A ABORDAR DESCRIPCIÓN

Comunicación y cumplimiento forzoso de la integridad y de los valores éticos

Elementos esenciales que influyen en la efectividad del diseño, administración y monitoreo de los controles

Compromiso para con la competencia Consideración que hace la administración respecto de los niveles de competencia para los trabajos particulares y cóm o esos niveles se convierten en capacidades y conocimientos requer idos

Filosofía de la administración y estilo de operación

Enfoque de la administración para asumir y administ rar los riesgos de negocio, y actitudes y acciones de la administra ción hacia la información financiera, el procesamiento de informa ción, las funciones de contabilidad y el personal

Estructura organizacional La estructura dentro de la cual se planean, ejecutan, controlan y revisan las actividades de la entidad para lograr s us objetivos

Asignación de autoridad y responsabilidad

Cómo se asigna la autoridad y la responsabilidad po r las actividades de operación y cómo se establecen las r elaciones y las jerarquías de autorización para la presentación de r eportes

Políticas y prácticas de recursos humanos

Actividades de contratación, orientación, entrenami ento, evaluación, asesoría, promoción, compensación y rem ediación.

NIA 315 establece:

El auditor debe obtener un entendimiento de los procesos que la entidad tiene para identificar los riesgos de negocio que son relevantes para los objetivos de la información financiera y para decidir respecto de las acciones a tomar para cubrir esos riesgos, y los resultados consiguientes.


Los asuntos que el auditor debe considerar son cómo la administración:

� Identifica los riesgos de negocio (riesgos inherente y residual) que son relevantes para la administración financiera;

� Estima la importancia de esos riesgos;� Valora la probabilidad de su ocurrencia; y� Decide las acciones para administrarlos.

Si la administración identifica riesgos de declaración equivocada material que laadministración falló en identificar, debe:

� Considerar por qué. ¿Fallaron los procesos de la administración? ¿Los procesos son adecuados en las circunstancias?

� Si en el proceso de valoración del riesgo de la entidad existe una debilidad material, comunicarle ello a quienes tienen a cargo el gobierno.

Valoración del riesgoNIA 315 establece:



NIA 315 establece:

Para valorar los riesgos de declaración equivocada material a nivel de aserción y para diseñar los procedimientos de auditoría adicionales que son respuesta a los riesgos valorados, el auditor debe obtener un entendimiento suficiente respecto de las actividades de control.

Las áreas que el auditor debe considerar incluyen:

� ¿Qué riesgos de declaración equivocada material (relacionados con clases de transacciones, saldos de cuentas, y revelaciones de estados financieros, que sean significantes) existen a nivel de aserción y requieren que sean mitigados?

� ¿Cómo las actividades de control específicas, individualmente o en combinación con otras, previenen, o detectan y corrigen, declaraciones equivocadas materiales contenidas en clases de transacciones, saldos de cuentas o revelaciones?

� ¿Han sido diseñados e implementados cualesquiera controles anti-fraude? Esos controles serían diseñados para cubrir los factores de riesgo de fraude identificados dentro de la entidad, tales como la capacidad que tiene la administración de eludir los controles.

� Riesgos significantes. El entendimiento de los controles sobre los riesgos significantes le da al auditor información para desarrollar un enfoque de auditoría que sea efectivo. Observe que los riesgos relacionados con los asuntos no-rutinarios o que requieren juicio a menudo es menos probable que estén sujetos a controles rutinarios.


Sistema de información

NIA 315 establece:

El auditor debe obtener un entendimiento del sistema de información, incluyendo los procesos de negocio relacionados, relevantes para la información financiera, incluyendo las siguientes áreas:

� Las clases de transacciones en las operaciones de la entidad que son importantes para los estados financieros.

� Los procedimientos, en los sistemas tanto de TI como manuales, mediante los cuales las transacciones son iniciadas, registradas, procesadas y reportadas en los estados financieros.

� Los registros de contabilidad relacionados, ya sean electrónicos o manuales, la información de respaldo, y las cuentas específicas contenidas en los estados financieros, con relación al inicio, registro, procesamiento y presentación de reportes de las transacciones.

� Cómo los sistemas de información capturan los eventos y las condiciones, diferentes a las clases de transacciones, que son significantes para los estados financieros.

� El proceso de información financiera usado para preparar los estados financieros de la entidad, incluyendo los estimados de contabilidad y las revelaciones significantes.


Cont.… Sistema de informaciónASUNTOS A CONSIDERAR

Fuentes de información Las clases de transacciones en las operaciones de la entidad que son significantes para los estados financieros� Cómo las transacciones se originan dentro de los procesos de negocio de la entidad� Los registros de contabilidad relacionados (sean electrónicos o manuales), la información de respaldo y las

cuentas específicas contenidas en los estados financieros, con relación al inicio, registro, procesamiento y presentación de reportes sobre las transacciones

� Cómo el sistema de información captura eventos y condiciones diferentes a las clases de transacciones que son significantes para los estados financieros

Procesamiento de la información

El proceso de información financiera usado para preparar los estados financieros de la entidad, incluyendo los estimados de contabilidad y las revelaciones significantes� Cómo la entidad comunica los roles de la información financiera, las responsabilidades y los asuntos importantes

relacionados con la información financiera� Los riesgos de declaración equivocada material asociados con el eludir inapropiado de los controles sobre las

entradas al libro diario � Los procedimientos usados para:

o Iniciar, registrar, procesar y reportar las transacciones significantes y no-estándar contenidas en los estados financieros (tales como transacciones con partes relacionadas y reportes de gastos);

o Transferencia de información desde el sistema de procesamiento de transacciones hacia el libro mayor o el sistema de información financiera;

o Captura de la información relevante para la información financiera por eventos y condiciones diferentes a las transacciones (tales como depreciación/amortización de activos y cambios en la recuperabilidad de las cuentas por cobrar);

o Registro y control del uso de entradas estándar y no estándar en el libro diario; yo Asegurar que la información que la estructura aplicable de información financiera requiere revelar es

acumulada, registrada, procesada, resumida y reportada apropiadamente en los estados financieros� Cómo se resuelve el procesamiento incorrecto de las transacciones.� Esto podría ser automatizado o requerir intervención manual� ¿Los controles automatizados pueden ser suspendidos en cualquier� circunstancia y qué ocurre cuando fallan en operar?� ¿Cómo se reportan las excepciones y cómo se actúa frente a ellas?

Uso de la informaciónproducida

¿Qué reportes son producidos regularmente por el sistema de información y cómo se usan para administrar la entidad?¿Qué información es suministrada por la administración a quienes tienen a cargo el gobierno y a las partes externas tales como las autoridades reguladoras?


Monitoreo de los controles

NIA 315 establece:

El auditor debe obtener un entendimiento de los principales tipos de actividades que la entidad usa para monitorear al control interno sobre la información financiera, incluyendo las relacionadas con las actividades de control que son relevantes para la auditoría, y la manera como la entidad inicia las acciones correctivas para sus controles.

El monitoreo periódico (evaluaciones separadas de áreas específicas dentro de la entidad), tal como la función de auditoría interna, no es común en las entidades más pequeñas. Sin embargo, las evaluaciones periódicas de los procesos críticos pueden ser realizadas por empleados calificados que no estén directamente involucrados o mediante la contratación de una persona externa.Las actividades de monitoreo proveen a la administración con retroalimentación respecto de si el sistema de control interno que han diseñado para mitigar los riesgos:

� Es efectivo para lograr los objetivos de control establecidos;� Está implementado apropiadamente y es entendido por los empleados;� Está siendo usado y se cumple con él sobre una base del día-a-día; y� Tiene necesidad de modificación o mejoramiento para reflejar los cambios en las

condiciones.Las actividades de monitoreo que realiza la administración también pueden incluir el uso de información proveniente de terceros tales como reclamos de los clientes o comentarios de cuerpos regulatorios que puedan señalar problemas, mostrar áreas que necesiten mejoramiento, o requerir de los auditores externos comunicaciones relacionadas con el control interno.

También incluye controles sobre:� Capacidad que tiene la administración para eludir l os controles� Procesamiento centralizado� Proceso de información financiera de final del perí odo� Políticas que se refieren a los riesgos de negocio clave

Saldos y revelacionessignificantes del estadofinanciero

El auditor debe entender cómo la entidad comunica l os roles y las responsabilidades relacionados con la información financiera, así como los asuntos importantes relacionados con la información financiera.

Niveles del control interno


NIA 315 establece:

Controles de tecnología de la información


NIA 315 establece:

El auditor debe obtener un entendimiento de cómo la entidad ha respondido a los riesgos que surgen de la TI

Beneficios y riesgos de los controles de TI

Beneficios de los controles de la TI

• Aplicación consistente de reglas de negocio pre-def inidas y ejecución de cálculos complejos en el procesamiento de volúmenes grandes de transacciones o datos

• Mejoramiento de la oportunidad, disponibilidad y ex actitud de la información• Facilitar el análisis adicional de la información• Fortalecer la capacidad para monitorear las activid ades de la entidad, así como sus políticas y

procedimientos• Reducir el riesgo de que el control interno será el udido• Fortalecer la capacidad para lograr efectiva segreg ación de funciones mediante la implementación

de la seguridad del control interno en aplicaciones , bases de datos, y sistemas de operación.

Riesgos asociados con los controles internos de la TI

• Confianza en sistemas o programas que procesen de ma nera errónea los datos, procesen de manera inexacta los datos, o ambos

• Acceso no-autorizado a datos que pueda resultar en d estrucción de datos o cambios inapropiados a los datos, incluyendo el registro de transacciones no-autorizadas o no-existentes, o el registro inexacto de transacciones (pueden surgir riesgos par ticularmente cuando hay acceso de múltiples usuarios a una base de datos común)

• La posibilidad de que personal de TI tenga acceso p rivilegiado que esté más allá del necesario para realizar las funciones que les sean asignadas, rompi endo por lo tanto la segregación de funciones

• Cambios no-autorizados a los datos en los archivos m aestros• Câmbios no-autorizados a sistemas o programas• Falla en hacer los cambios necesarios a los sistema s o programa• Intervención manual inapropiada• Pérdida potencial de datos o incapacidad para tener acceso a los datos cuando se requiera


NIA 315 establece:Controles de tecnología de la información

Hay dos tipos de controles de la TI que se necesita que trabajen juntos para asegurar el procesamiento completo y exacto de la información.

• Controles generales de TIEstos controles operan a través de todas las aplicaciones y usualmente constan de una mezcla de controles automatizados (implícitos en los programas de computador) y controles manuales (tales como el presupuesto de TI y los contratos con los proveedores de los servicios); y

• Controles de aplicación de TIEstos controles son controles automatizados que se relacionan específicamente con las aplicaciones (tales como procesamiento de ventas o nómina).


NIA 315 establece:Controles generales de TILa siguiente muestra esboza los controles generales de la TI.

El ambiente de control de la TI

• La estructura de gobierno de la TI• Cómo los riesgos de la TI son identificados, mitigados y administrados• El sistema de información, el plan estratégico y el presupuesto• Las políticas, los procedimientos y los estándares de la TI• La estructura organizacional y la segregación de funciones

Operaciones de computación del día-a-día

• Adquisiciones, instalaciones, configuraciones, integración, y mantenimiento de la infraestructura de la TI

• Entrega de servicios de información a los usuarios• Administración de los proveedores que son terceros• Uso de programas del sistema, seguridad de los programas, sistemas y utilidades de

administración de la base de datos• Rastreo de incidentes, etiquetados del sistema y funciones de monitoreo

Acceso a programas y datos

• Seguridad de las claves• Protecciones en Internet y controles de acceso remoto• Encriptamiento de datos y claves criptográficas• Cuentas de usuario y controles de acceso privilegiado• Uso de perfiles que permiten o restringen el acceso• Revocación de claves de empleados e identificaciones de los usuarios cuando los empleados

renuncian o terminan el trabajo

Desarrollo de programas ycambios de Programas

• Adquisición e implementación de aplicaciones nuevas• Desarrollo de sistemas y metodología del aseguramiento de la calidad• Mantenimiento de las aplicaciones existentes incluyendo los controles sobre los cambios de

programas

Monitoreo de las operaciones de la TI

• Políticas y procedimientos relacionados con el sistema de información y la presentación de reportes que aseguren que los usuarios cumplen con los controles generales de TI y que la TI está alineada con los requerimientos del negocio.


NIA 315 establece:

Beneficios y riesgos de los controles manuales

Beneficios de loscontroles manuales

• Más apropiados para áreas donde se requiere juicio y discreción, en relación con transacciones grandes, inusuales o no-recurrentes.

• Beneficiosos cuando los errores son difíciles de definir, anticipar, o predecir• Las circunstancias cambiantes pueden requerir una respuesta de control que esté

por fuera del alcance del control automatizado existente• Pueden monitorear la efectividad de los controles automatizados

Riesgos asociadoscon los controlesmanuales

• Menos confiables que los controles automatizados, dado que son ejecutados por personas

• Más fáciles para ser soslayados, ignorados o anulados• Propensos a errores y equivocaciones simples• No se puede asumir consistencia en la aplicación• Menos confiables altos volúmenes o transacciones recurrentes donde los controles

automatizados serían más eficientes• Menos confiables para actividades donde las maneras específicas para ejecutar el

control puedan ser adecuadamente diseñadas y Automatizadas

Sistema Gestión Control Interno

Medición y mejoramiento continuo

Gestión por procesos / riesgos

OperacionesTerrestres

Servicios maritimos

RHFacturación

Fortalecimiento de la cultura organizacional

EMPRESA

Misión Visión

EstrategiasPolíticas y Lineamientos

Factores críticos de éxito

Medidas de desempeño

DIAGNOSTICO ESTADO DE MADUREZ SISTEMA DE CONTROL INTERNO

ETAPAS DE MADURACIÓN DE LOS CONTROLES EN LAS COMPAÑÍAS

Marco de Maduración del Control Interno - ¿En donde se encuentra usted?

No confiable

Las actividades de control no están diseñadas o no están implementadas. El ambiente de control es impredecible.

Informal

Las actividades de control están diseñadas e implementadas pero no están documentadas adecuadamente.

Estandarizado

Actividades de control diseñadas, implementadas y adecuadamente documentadas.

Monitoreado

Controles estandarizados. Se evalúa periódicamente el diseño y la efectividad operacional y se reporta a la gerencia.

Optimizado

Los controles están integrados. Existe un monitoreo por parte de la gerencia en tiempo real, mejoramiento continuo.

CONSOLIDADO POR PRINCIPIOS

Las ponderaciones de la percepción sobre los controles internos implementados en la organización indican que sedebe mejorar sustantivamente en los componentes de evaluación de riesgos, información y comunicaciones ymonitoreo donde se denotando que existen oportunidades para consolidar las deficiencias encontradas de acuerdocon las desviaciones del promedio y la mejor práctica. En este consolidado se evaluaron los 18 principios de los 5componentes.


Componente No Requisito Principio Recomendación Priorida d Nivel deEsfuerzo

Líder responsable (Sugerido)

Tiempo Mínimo Estimado de

Implementación (*)

Requerimiento deConocimiento

Actividades aRealizar

Requerimiento de recurso humano

Estimado de Recursos

Financieros / Tecnológicos

Fechas de Implementación

Responsable

Entorno de Control 1Objetivos del SCI alineados con la visión y misión y estrategia 1

Evaluar la posibilidad de la inclusión de un objetivo estratégico específicamenteorientado al Sistema de Control Interno ensu conjunto.

Moderada Medio

Entorno de Control 4 Gobierno Corporativo 1

Definir y formalizar un procedimiento o canales formales a partir del cual los colaboradores y terceros conozcan y acepten los principios y lineamientos del código de ética y el código de conducta

Moderada Medio

Entorno de Control 5 Gobierno corporativo 2

Estudiar la posibilidad de la creación formal del rol y responsabilidad de comités asesores para el buen gobierno (comité de auditoría, comité de riesgos, otros.)

Moderada Medio

Entorno de Control 6Asignación de roles y responsabilidades

3

Implementar procedimiento para larevision permante de la asignación deautoridad y responsabilidad para cadacargo y en especial para los cargosclaves en la organización, estáformalmente definida, cautelando lasegregación de funciones en los distintosniveles organizacionales.

Moderada Medio

Entorno de Control 7Personal competente y entrenado

4

Implementar procedimiento para lagarantizar la transferencia deconocimiento en los proceso deinduccion, entrenamiento, capacitación yformación continua.

Moderada Medio

Entorno de Control 8Vinculación y mantenimiento del recurso humano

4

Diseñar políticas para la administracióndel recurso humano formal que incluyeprocedimientos actualizados y revisadospermanentemente para la selección,inducción, desarrollo, rotación,capacitación, motivación, evaluación delpersonal y sucesión .

Moderada Medio

Definido por el Líder Responsable

Moderada Medio

Definir los principios y lineamientos para la construcción del código de ética y el código de conducta para los diferentes actores de TECSA (Accionistas, Clientes, Proveedores, Empleados y Directivos) de acuerdo con las mejores prácticas.

Entorno de Control Gobierno Corporativo

AltoAlta

Realizar una campaña de socialización de los principios básicos del Sistema deControl Interno, tal como lo establece lasbuenas practicas.

Entorno de ControlSocialización de los principios básicos del SCI 1

3

ANEXO 1PLAN DE IMPLEMENTACIÓN DE BRECHAS IDENTIFICADAS EN EL SISTE MA DE CONTROL INTERNO

2

1


PROCEDIMIENTOS POSTERIORES DE AUDITORÍA PARA CONTRO L DE RIESGOS

La NIA 330 determina la responsabilidad del auditor frente a la implementación y diseño de procedimientos posteriores al proceso de auditoría, a fin de evitar las consecuencias de los riesgos evaluados e identificados en concordancia con la NIA 315.

El auditor tiene la responsabilidad de identificar y comunicar los riesgos detectados durante el proceso de auditoría ante la Administración y /o Gerencia, o ante el máximo organismo en caso de ser necesario, en concordancia con lo establecido en la Norma Internacional de Auditoría, NIA 315, frente a lo cual es importante señalar que la responsabilidad no se restringe al proceso de evaluación, identificación y comunicación de los riesgos, sino que se debe extender al diseño e implementación de respuestas a los riesgos de incorrección material identificados y valorados por el auditor.

¿Cuál es la responsabilidad del auditor?

De acuerdo con lo establecido en la Norma Internacional de Auditoría, NIA 330, el auditor es responsable de diseñar e implementar respuestas globales para responder a los riesgos valorados de incorrección material en los estados financieros, aplicando procedimientos de auditoría posteriores cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones, y respondan a dichos riesgos.


¿Cómo diseñar los procedimientos de auditoría?

Para establecer un plan de trabajo en el que se determinan los procedimientos ejecutorios para la auditoría de implementación y desarrollo de soluciones contundentes que disminuyan la posibilidad de afectación como efectos de los riesgos identificados durante el proceso de auditoría, el auditor debe:

1. Tener en consideración los motivos de la valoración otorgada al riesgo de incorrecciones materiales en las afirmaciones emitidas para cada transacción auditada, incluyendo el saldo contable y la integridad de la información revelada; dentro de este punto debe quedar contenido:

i. La probabilidad de que exista una incorrección material, es decir, el riesgo inherente.

ii. Señalar que en la valoración del riesgo se han tenido en cuenta los controles relevantes, es decir, el riesgo de control establecido por medio de la evidencia de auditoría que determina la eficacia de operación de los controles. Por lo anterior, el auditor tiene previsto confiar en la eficacia operativa de los controles para la determinación de la naturaleza, momento de realización y extensión de los procedimientos sustantivos.

iii. Obtendrá evidencia de auditoría más convincente cuanto mayor sea la valoración del riesgo realizada por el auditor.


2. Una de las metodologías para la obtención de evidencia de auditoría que permita el desarrollo e implementación de los procedimientos reparadores de los errores encontrados son las pruebas de control, cuyo fin es definir la eficacia operativa y el auditor diseñará y realizará pruebas de controles con el propósito de obtener evidencia de auditoría suficiente y adecuada sobre la eficacia operativa de los controles relevantes.

Algunos elementos que hay que tener en cuenta para la realización de las pruebas de controles

En el momento en el que el auditor establezca las pruebas de controles para definir la eficacia de las mismas y la efectividad de su alcance y aplicación debe:

1. Realizar indagaciones en combinación con otros procedimientos de auditoría; algunos elementos que se han de evaluar en este procedimiento son:• La manera en que se hayan aplicado los controles en los momentos relevantes a lo largo del período

auditado.

• La congruencia con la que se hayan aplicado los controles definidos por la entidad.

• Las personas que los hayan aplicado y los medios utilizados.

2. Determinar si los controles que van a ser probados son dependientes de otros controles y, en este caso, si es necesario obtener evidencia de auditoría que corrobore la eficacia de otros controles indirectos.


¿En qué momento se deben realizar las pruebas de controles?

Una precisión importante consiste en que en el momento de aplicar las pruebas de control no se puede establecer de manera general, puesto que este es dependiente directamente del plan de trabajo del auditor y predominantemente de las especificidades de la organización y sus particularidades de funcionamiento, que pueden estar determinadas por el sector al que pertenece, por el objeto social, por el tipo de sociedad, entre otras.

El auditor debe realizar las pruebas sobre los controles en lo que respecta al momento concreto, o a la totalidad del período en relación con el cual tiene previsto confiar en dichos controles, a fin de obtener una base adecuada para la confianza prevista por el auditor.

¿Se puede utilizar la evidencia de auditoría obtenida durante un período intermedio?Evidentemente, el auditor puede utilizar toda la evidencia obtenida sobre la eficacia operativa de los controles durante un período intermedio.Cuando el auditor ha programado utilizar evidencia de un proceso de auditoría anterior, con el propósito de evaluar la eficacia operativa de controles específicos, está supeditado al juicio profesional del auditor determinar que la evidencia es relevante o si se han producido cambios significativos en los controles con posterioridad a la auditoría anterior.


Qué debe tener en cuenta el auditor que va a utilizar evidencia de auditoría anterior?En primer lugar el auditor debe combinar las evidencias del período anterior con las del presente período, obtenidas a través de las indagaciones y diferentes procedimientos ejecutados, con el objetivos de establecer si se han producido cambios que afectan la continuidad de la relevancia de la evidencia de auditoría procedente de la auditoría anterior y el auditor realizará pruebas sobre los controles en la auditoría actual.

Si la evaluación es negativa, es decir, no se han producido los cambios mencionados, el auditor debe probar los controles al menos en una de cada tres auditorías, realizando pruebas sobre algunos controles en cada auditoría, para evitar la posibilidad de que se prueben en un solo período de auditoría todos los controles en los que tenga previsto confiar y no se realice prueba alguna en los dos períodos de auditoría subsiguientes.

MATERIALIDAD O IMPORTANCIA RELATIVA EN LA AUDITORÍA - NIA 320

La NIA 320 entrega algunas herramientas para determinar si una partida tiene o no importancia relativa. Conozca a través de este artículo algunas claves del estándar para una efectiva auditoría.Un auditor considerará que existe poca importancia relativa en los casos en los que un hecho sujeto a reconocimiento sea trivial, y ya que esta condición es ambivalente y está sujeta al criterio profesional del auditor, la NIA 320 explica la materialidad en términos generales.

1. Errores u omisiones importantes en la estructura financiera de la compañía, pues de forma individual o acumulada podrían influir razonablemente en la toma de decisiones de los usuarios de la información.

2. El auditor evaluará el cumplimiento del principio de materialidad o importancia relativa, con especial atención del espacio donde actúa la organización y analizando los efectos tanto del tamaño como de la naturaleza del error o, dado el caso, la combinación de ambos.

3. Para poder determinar si cierta información es o no importante para los usuarios de la información financiera, el auditor deberá evaluar las necesidades comunes de información de dichos usuarios, puesto que los impactos derivados de las decisiones de reconocimiento financiero pueden variar comprensiblemente si se estudian desde la perspectiva de usuarios individuales o específicos, cuyos intereses o requerimientos pueden tener gran variación.


En virtud a los criterios expuestos, el auditor de la información financiera bajo los nuevos estándares internacionales, está en la obligación de evaluar el cumplimiento de la materialidad de los estados financieros vistos como un todo, es decir, analizados en su conjunto; pero también deberá hacerlo al nivel o niveles de clases particulares de transacciones, “deberá evaluar la importancia relativa, preferiblemente, de cada uno de los movimientos de la organización en el curso normal de sus operaciones”; una operación con importancia relativa revestirá de materialidad y, por tanto, necesidad de ser reconocida, medida, presentada y revelada oportuna y fielmente en los informes financieros.

En ese mismo sentido, el auditor deberá confirmar la materialidad de los saldos o las revelaciones, y un monto o montos inferiores al nivel de materialidad previamente establecido en el manual de políticas contables de la compañía, para poder evaluar los efectos de los riesgos a los que se sujeta la empresa, y poder así diseñar los procesos y procedimientos idóneos para responder a los riesgos evaluados.


Focos para determinar niveles de materialidad en las políticas contablesComo se mencionó en anteriores líneas, el establecimiento de una condición de materialidad para una partida o grupo de partidas en particular, dependerá mucho de las cualidades específicas de cada organización; sin embargo, a la hora de fijar estos límites, en los manuales de políticas contables hay algunas variables que podrían ser muy útiles para tomar la decisión acertada basado en alguno de los siguientes focos:• Estudios de mercado: explorar experiencias de empresas semejantes; sin embargo, este caso puede

verse permeado por las especificidades internas de la compañía tales como la composición misma de la estructura financiera (activos, pasivos, capital, ingresos, costos y gastos), desconocimiento de los intereses de los usuarios particulares, naturaleza y ambiente económico en que opera la organización, además de la volatilidad de la composición del mercado en que se encuentra incursionada la empresa, y con respecto al cual se establecen los límites.

• Intereses de los usuarios: evaluar las percepciones o necesidades informativas que requieren los usuarios de la información.

• Información histórica: antes de la elaboración del manual de políticas contables (para empresas previamente en marcha, “Principio de Negocio en Marcha”), ¿cuáles eran los picos inferiores y posteriores de movimientos en cierta operación específica a la cual se le desea asignar un valor mínimo, para equiparla de importancia relativa?

• Concepto de materialidad de la entidad: este es el foco de análisis de más fácil acceso y el más recomendado para las organizaciones, puesto que depende del punto de vista de la administración de la entidad, de la cual se espera una visión amplia y general, pero a la vez particular y articuladora de toda la compañía y su funcionamiento, por lo cual sus opiniones pueden aportar información

substancial para la efectiva determinación de la materialidad.


Las NAI entraron en vigencia, previa superación del protocolo establecido, utilizando una metodología que es familiar, la misma que aprobó en vigor la reglamentación correspondiente a los Marcos Técnicos Normativos de Información Financiera para los tres grupos de convergencia, mediante la expedición de un decreto reglamentario, al cual se adjunta la versión literal de las normas; cuestión que ha tenido una importante y trascendente discusión: ¿convergencia o adopción?Lo proyectado desde el artículo 5 de la Ley 1314 está ad portas de aplicarse, por lo cual en este editorial se esboza la necesidad de considerar la materialidad o importancia relativa en los estados financieros, NIA 320; incluida en el anexo del citado decreto, y cuya finalidad es guiar la responsabilidad del auditor de aplicar el concepto de importancia relativa para una efectiva revisión de estados financieros.La urgencia de hablar de materialidad o importancia relativa en los estados financieros“un dato específico tendrá importancia relativa si su omisión o presentación errónea tiene el potencial de

desencadenar la toma de decisiones equivocadas o influenciar la perspectiva de análisis de alguno de

los usuarios de la información”


Desde la presunción que la información financiera es la encargada de reflejar transparente y cercanamente la realidad económica de la empresa, los contadores públicos encargados de realizar los informes financieros, al igual que quienes los revisan (auditor interno, externo o revisor fiscal), están llamados a prestar especial atención al principio de importancia relativa, pues este permitirá velar por la información que se presenta en los estados financieros, revelando los aspectos más importantes sucedidos durante el período; un dato específico tendrá importancia relativa si su omisión o presentación errónea tiene el potencial de desencadenar la toma de decisiones equivocadas o influenciar la perspectiva de análisis de alguno de los usuarios de la información; las partidas calificadas como materiales deben ser objetivas y fielmente presentadas, medidas y reveladas en los estados financieros presentados.

Un breve caso: en una empresa de fabricación de maquinaria pesada, se pagan aduanas y costos de descargue en puerto, generados por la administración logística y autorización de ingreso al país de un contenedor cargado de diferentes tipos de tornillos (100 referencias); si la empresa tiene conocimiento amplio y suficiente sobre el total de las unidades de cada tipo de tornillos que se encuentran en el contenedor, será simple realizar el proceso de cedulación oportuna para las asignaciones en el proceso de coste, los cargos de impuestos y costos logísticos a cada unidad.

En caso contrario, si el contenedor se adquirió como un todo, “una unidad”, sin discriminación de su composición, seguramente resultará más costoso para la empresa el esfuerzo administrativo de contar, separar y costear todos los componentes de la carga, que reconocer dichos pagos por su valor total; en ese caso se consideraría que asignar el costo de cada tornillo, los preoperativos pertinentes para insertarlos al proceso de producción, no es una operación con importancia relativa para el ente revelador.

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS...

Documents

Transcript of CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS...