NIA 400-499 Control Interno
NIA 400 Evaluaciones De Riesgo Y Control Interno
CONTENIDO
Párrafos
Introducción 1-10
Riesgo inherente 11-12
Sistemas de contabilidad y de control interno 13-20
Riesgo de control 21-39
Relación entre las evaluaciones de riesgos inherente
y de control 40
y de control 40
Riesgo de detección 41-47
Riesgo de auditoría en el negocio pequeño 48
Comunicación de debilidades 49
Apéndice:
Ilustración de la interrelación de los componentes del riesgo de auditoría
Las Normas Internacionales de Auditoría
(NIAs) deberán ser aplicadas en la auditoría de los estados financieros. Las
NIAs también deberán aplicarse, adaptadas según sea necesario, a la auditoría
de otra información y a los servicios relacionados.
Las NIAs contienen los principios básicos y los procedimientos esenciales (identificados en letra negra) junto con los lineamientos relacionados en forma de material explicativo y de otro tipo. Los principios básicos y los procedimientos esenciales deberán interpretarse en el contexto del material explicativo y de otro tipo que proporciona lineamientos para su aplicación. Para comprender y aplicar los principios básicos y los procedimientos esenciales junto con los lineamientos relacionados, es necesario considerar el texto íntegro de la NIA incluyendo el material explicativo y de otro tipo contenido en la NIA, y no sólo el texto resaltado en negro. En circunstancias excepcionales, un auditor puede juzgar necesario apartarse de una NIA para lograr en forma más efectiva el objetivo de una auditoría. Cuando surge un caso así, el auditor deberá estar preparado para justificar la desviación. Las NIAs necesitan ser aplicadas sólo a asuntos de importancia relativa. |
La
Perspectiva del Sector Público (PSP) emitida por el Comité del Sector Público
de la Federación Internacional de Contadores se expone al final de una NIA.
Cuando no se añade PSP, la NIA es aplicable, respecto de todo lo importante,
al sector público.
|
Introducción
1. El propósito de esta Norma Internacional de
Auditoría (NIA) es establecer normas y proporcionar lineamientos para obtener
una comprensión de los sistemas de contabilidad y de control interno y sobre el
riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y
riesgo de detección.
2. El auditor deberá obtener una comprensión
de los sistemas de contabilidad y de control interno suficiente para planear la
auditoría y desarrollar un enfoque de auditoría efectivo. El auditor debería
usar juicio profesional para evaluar el riesgo de auditoría y diseñar los
procedimientos de auditoría para asegurar que el riesgo se reduce a un nivel
aceptablemente bajo.
3. "Riesgo de auditoría" significa el
riesgo de que el auditor dé una opinión de auditoría inapropiada cuando los
estados financieros están elaborados en forma errónea de una manera importante.
El riesgo de auditoría tiene tres componentes: riesgo inherente, riesgo de
control y riesgo de detección.
4. "Riesgo inherente" es la
susceptibilidad del saldo de una cuenta o clase de transacciones a una
representación errónea que pudiera ser de importancia relativa, individualmente
o cuando se agrega con representaciones erróneas en otras cuentas o clases,
asumiendo que no hubo controles internos relacionados.
5. "Riesgo de control" es el riesgo de
que una representación errónea que pudiera ocurrir en el saldo de cuenta o
clase de transacciones y que pudiera ser de importancia relativa
individualmente o cuando se agrega con representaciones erróneas en otros
saldos o clases, no sea prevenido o detectado y corregido con oportunidad por
los sistemas de contabilidad y de control interno.
6. "Riesgo de detección" es el riesgo
de que los procedimientos sustantivos de un auditor no detecten una
representación errónea que existe en un saldo de una cuenta o clase de
transacciones que podría ser de importancia relativa, individualmente o cuando
se agrega con representaciones erróneas en otros saldos o clases.
7. "Sistema de contabilidad" significa
la serie de tareas y registros de una entidad por medio de las que se procesan
las transacciones como un medio de mantener registros financieros. Dichos
sistemas identifican, reúnen, analizan, calculan, clasifican, registran,
resumen, e informan transacciones y otros eventos.
8. El término "Sistema de control
interno" significa todas las políticas y procedimientos (controles
internos) adoptados por la administración de una entidad para ayudar a lograr
el objetivo de la administración de asegurar, tanto como sea factible, la
conducción ordenada y eficiente de su negocio, incluyendo adhesión a las
políticas de administración, la salvaguarda de activos, la prevención y
detección de fraude y error, la precisión e integralidad de los registros
contables, y la oportuna preparación de información financiera confiable. El
sistema de control interno va más allá de aquellos asuntos que se relacionan directamente
con las funciones del sistema de contabilidad y comprende:
(a) "el ambiente de control" que
significa la actitud global, conciencia y acciones de directores y
administración respecto del sistema de control interno y su importancia en la
entidad. El ambiente de control tiene un efecto sobre la efectividad de los
procedimientos de control específicos. Un ambiente de control fuerte, por
ejemplo, uno con controles presupuestales estrictos y una función de auditoría
interna efectiva, pueden complementar en forma muy importante los
procedimientos específicos de control. Sin embargo, un ambiente fuerte no
asegura, por sí mismo, la efectividad del sistema de control interno. Los
factores reflejados en el ambiente de control incluyen:
• ·La
función del consejo de directores y sus comités
• ·Filosofía
y estilo operativo de la administración
• ·Estructura
organizacional de la entidad y métodos de asignación de autoridad y
responsabilidad.
• ·Sistema
de control de la administración incluyendo la función de auditoría interna,
políticas de personal, y procedimientos y segregación de deberes.
(b) "procedimientos de control" que
significa aquellas políticas y procedimientos además del ambiente de control
que la administración ha establecido para lograr los objetivos específicos de
la entidad. Los procedimientos específicos de control incluyen:
• Reportar,
revisar y aprobar conciliaciones
• Verificar
la exactitud aritmética de los registros
• Controlar
las aplicaciones y ambiente de los sistemas de información por computadora, por
ejemplo, estableciendo controles sobre
- cambios a programas de computadora
- acceso a archivos de datos
• Mantener
y revisar las cuentas de control y las balanzas de comprobación.
• Aprobar
y controlar documentos
• Comparar
datos internos con fuentes externas de información.
• Comparar
los resultados de cuentas de efectivo, valores e inventario con los registros
contables.
• Limitar
el acceso físico directo a los activos y registros.
• Comparar
y analizar los resultados financieros con las cantidades presupuestadas.
9. En la auditoría de estados financieros, el
auditor está interesado sólo en aquellas políticas y procedimientos dentro de
los sistemas de contabilidad y de control interno que son relevantes para las
aseveraciones de los estados financieros. La comprensión de los aspectos
relevantes de los sistemas de contabilidad y de control interno, junto con las
evaluaciones del riesgo inherente y de control y otras consideraciones, harán
posible para el auditor:
(a) identificar los tipos de potenciales
representaciones erróneas de importancia relativa que pudieran ocurrir en los
estados financieros;
(b) considerar factores que afectan el riesgo
de representaciones erróneas sustanciales; y
(c) diseñar procedimientos de auditoría
apropiados.
10. Al desarrollar el enfoque de auditoría, el
auditor considera la evaluación preliminar del riesgo de control (conjuntamente
con la evaluación del riesgo inherente) para determinar el riesgo de detección
apropiado por aceptar para las aseveraciones del estado financiero y para
determinar la naturaleza, oportunidad y alcance de los procedimientos
sustantivos para dichas aseveraciones.
Riesgo inherente
11. Al desarrollar el plan global de auditoría,
el auditor debería evaluar el riesgo inherente a nivel del estado financiero.
Al desarrollar el programa de auditoría, el auditor debería relacionar dicha
evaluación a nivel de aseveración de saldos de cuenta y clases de transacciones
de importancia relativa, o asumir que el riesgo inherente es alto para la
aseveración.
12. Para evaluar el riesgo inherente, el auditor
usa juicio profesional para evaluar numerosos factores, cuyos ejemplos son:
A nivel del estado financiero
• La
integridad de la administración
• La
experiencia y conocimiento de la administración y cambios en la administración
durante el periodo, por ejemplo, la inexperiencia de la administración puede
afectar la preparación de los estados financieros de la entidad.
• Presiones
inusuales sobre la administración, por ejemplo, circunstancias que podrían
predisponer a la administración a dar una representación errónea de los estados
financieros, tales como el que la industria está pasando por un gran número de
fracasos de negocios o una entidad que carece de suficiente capital para
continuar operaciones.
• La naturaleza del negocio de la
entidad, por ejemplo, el potencial para obsolescencia tecnológica de sus
productos y servicios, la complejidad de su estructura de capital, la
importancia de las partes relacionadas y el número de locaciones y diseminación
geográfica de sus instalaciones de producción.
• Factores que afectan la
industria en la que opera la entidad, por ejemplo, condiciones económicas y de
competencia según identificadas por las tendencias e índices financieros, y
cambios en tecnología, demanda del consumidor y prácticas de contabilidad comunes
a la industria.
A
nivel de saldo de cuenta y clase de transacciones
• Cuentas de los estados
financieros probables de ser susceptibles a representación errónea, por
ejemplo, cuentas que requirieron ajuste en el periodo anterior o que implican
un alto grado de estimación.
• La complejidad de transacciones
subyacentes y otros eventos que podrían requerir usar el trabajo de un experto.
• El grado de juicio implicado
para determinar saldos de cuenta.
• Susceptibilidad de los activos
a pérdida o malversación, por ejemplo, activos que son altamente deseables y
movibles como el efectivo.
• La terminación de transacciones
inusuales y complejas, particularmente en o cerca del fin del periodo.
• Transacciones no sujetas a
procesamiento ordinario
Sistemas de contabilidad y de control interno
13. Los controles
internos relacionados con el sistema de contabilidad están dirigidos a lograr
objetivos como:
• Las transacciones son
ejecutadas de acuerdo con la autorización general o específica de la
administración.
• Todas las transacciones y otros
eventos son prontamente registrados en el monto correcto, en las cuentas
apropiadas y en el periodo contable apropiado, a modo de permitir la
preparación de los estados financieros de acuerdo con un marco de referencia
para informes financieros identificado.
• El acceso a activos y registros
es permitido sólo de acuerdo con la autorización de la administración.
• Los activos registrados son
comparados con los activos existentes a intervalos razonables y se toma la
acción apropiada respecto de cualquiera diferencia.
Limitaciones
inherentes de los controles internos
14. Los sistemas
de contabilidad y de control interno no pueden dar a la administración evidencia
conclusiva de que se han alcanzado los objetivos a causa de limitaciones
inherentes. Dichas limitaciones incluyen:
• El usual requerimiento de la
administración de que el costo de un control interno no exceda los beneficios
que se espera sean derivados.
• La mayoría de los controles
internos tienden a ser dirigidos a transacciones de rutina más que a
transacciones que no son de rutina.
• El potencial para error humano
debido a descuido, distracción, errores de juicio y la falta de comprensión de
las instrucciones.
• La posibilidad de burlar los
controles internos a través de la colusión de un miembro de la administración o
de un empleado con partes externas o dentro de la entidad.
• La posibilidad de que un
persona responsable de ejercer un control interno pudiera abusar de esa
responsabilidad, por ejemplo, un miembro de la administración sobrepasando un
control interno.
• La posibilidad de que los
procedimientos puedan volverse inadecuados debido a cambios en condiciones, y
de que el cumplimiento con los procedimientos pueda deteriorarse.
Comprensión
de los sistemas de contabilidad y de control interno
15. Al obtener una
comprensión de los sistemas de contabilidad y de control interno para planear
la auditoría, el auditor obtiene un conocimiento del diseño de los sistemas de
contabilidad y de control interno, y de su operación. Por ejemplo, un auditor
puede desarrollar una prueba de "rastreo", o sea, seguirle la pista a
unas cuantas transacciones por todo el sistema de contabilidad. Cuando las
transacciones seleccionadas son típicas de las transacciones que pasan a través
del sistema, este procedimiento puede ser tratado como parte de las pruebas de
control. La naturaleza y alcance de las pruebas de rastreo desarrolladas por el
auditor son tales que ellas solas no proporcionarían suficiente evidencia
apropiada de auditoría para soportar una evaluación de riesgo de control que
sea menos que alto.
16. La naturaleza,
oportunidad y alcance de los procedimientos desempeñados por el auditor para
obtener una comprensión de los sistemas de contabilidad y de control interno
variará según, entre otras cosas:
• El tamaño y complejidad de la
entidad y de su sistema de computación.
• Consideraciones sobre importancia
relativa
• El tipo de controles internos
implicados
• La naturaleza de la
documentación de la entidad de los controles internos específicos.
• La evaluación del auditor del
riesgo inherente
17. Ordinariamente,
la comprensión del auditor de los sistemas de contabilidad y de control
interno, que es importante para la auditoría se obtiene a través de experiencia
previa con la entidad y se suplementa con:
(a) investigaciones con la administración, personal de supervisión
y otro personal apropiado en diversos niveles organizacionales dentro de la
entidad, junto con referencia a la documentación, como manuales de
procedimientos, descripciones de puestos y diagramas de flujos;
(b) inspección de documentos y registros producidos por los
sistemas de contabilidad y de control interno; y
(c) observación de las actividades y operaciones de la entidad,
incluyendo observación de la organización de operaciones por computadora,
personal de la administración, y la naturaleza del proceso de transacciones.
Sistema
de contabilidad
18. El auditor
debería obtener un comprensión del sistema de contabilidad suficiente para
identificar y entender:
(a) las principales clases de transacciones
en las operaciones de la entidad;
(b) cómo se inician dichas transacciones;
(c) registros contables importantes,
documentos de soporte y cuentas en los estados financieros; y
(d) el proceso contable y de informes
financieros, desde el inicio de transacciones importantes y otros eventos hasta
su inclusión en los estados financieros.
Ambiente
de control
19. El auditor
debería obtener un comprensión del ambiente de control suficiente para evaluar
las actitudes, conciencia y acciones de directores y administración, respecto
de los controles internos y su importancia en la entidad.
Procedimientos de control
20. El auditor
debería obtener una comprensión de los procedimientos de control suficiente
para desarrollar el plan de auditoría. Al obtener esta comprensión el
auditor consideraría el conocimiento sobre la presencia o ausencia de
procedimientos de control obtenido de la comprensión del ambiente de control y
del sistema de contabilidad para determinar si es necesaria alguna comprensión
adicional sobre los procedimientos de control. Como los procedimientos de
control están integrados con el ambiente de control y con el sistema de
contabilidad, al obtener el auditor una comprensión del ambiente de control y
del sistema de contabilidad, es probable que obtenga también algún conocimiento
sobre procedimientos de control, por ejemplo, al obtener una comprensión del
sistema de contabilidad referente a efectivo, el auditor ordinariamente se da
cuenta de si las cuentas bancarias están conciliadas. Ordinariamente, el
desarrollo del plan global de auditoría no requiere una comprensión de
procedimientos de control para cada aseveración de los estados financieros en
cada cuenta y clase de transacción.
Riesgo de control
Evaluación
preliminar del riesgo de control
21. La evolución
preliminar del riesgo de control es el proceso de evaluar la efectividad de los
sistemas de contabilidad y de control interno de una entidad para prevenir o
detectar y corregir representaciones erróneas de importancia relativa. Siempre
habrá algún riesgo de control a causa de las limitaciones inherentes de
cualquier sistema de contabilidad y de control interno.
22. Después de
obtener una comprensión de los sistemas de contabilidad y de control interno,
el auditor debería hacer una evaluación preliminar del riesgo de control, al
nivel de aseveración, para cada saldo de cuenta o clase de transacciones, de
importancia relativa.
23. El auditor
ordinariamente evalúa el riesgo de control a un alto nivel para algunas o todas
las aseveraciones cuando:
(a) los sistemas de contabilidad y de control interno de la
entidad no son efectivos; o
(b) evaluar la efectividad de los sistemas de contabilidad y de
control interno de la entidad no sería eficiente.
24. La
evaluación preliminar del riesgo de control para una aseveración del estado
financiero debería ser alta a menos que el auditor:
(a) pueda identificar controles internos
relevantes a la aseveración que sea probable que prevengan o detecten y
corrijan una representación errónea de importancia relativa; y
(b) planee desempeñar pruebas de control para
soportar la evaluación.
Documentación
de la comprensión y de la evaluación del riesgo de control
(a) la
comprensión obtenida de los sistemas de contabilidad y de control interno de la
entidad; y
(b) la evaluación del riesgo de control. Cuando el riesgo de control es evaluado como
menos que alto, el auditor debería documentar también la base para las
conclusiones.
26. Pueden usarse
diferentes técnicas para documentar información relativa a los sistemas de
contabilidad y de control interno. La selección de una técnica particular es
cuestión de juicio por parte del auditor. Son técnicas comunes, usadas solas o
en combinación, las descripciones narrativas, los cuestionarios, las listas de
verificación, y los diagramas de flujo. La forma y extensión de esta
documentación es influida por el tamaño y complejidad de la entidad y la
naturaleza de los sistemas de contabilidad y de control interno de la entidad.
Generalmente, mientras más complejos los sistemas de contabilidad y de control
interno de la entidad y más extensos los procedimientos del auditor, más
extensa necesitará ser la documentación del auditor.
Pruebas
de control
27. Las pruebas de
control se desarrollan para obtener evidencia de auditoría sobre la efectividad
de:
(a) el diseño de los sistemas de contabilidad y de control
interno, es decir, si están diseñados adecuadamente para prevenir o detectar y
corregir representaciones erróneas de importancia relativa; y
(b) la operación de los controles internos a lo largo del periodo.
28. Algunos de los
procedimientos para obtener la comprensión de los sistemas de contabilidad y de
control interno pueden no haber sido específicamente planeados como pruebas de
control pero pueden proporcionar evidencia de auditoría sobre la efectividad
del diseño y operación de los controles internos relevantes a ciertas
aseveraciones y, consecuentemente, servir como pruebas de control. Por ejemplo,
al obtener la comprensión sobre los sistemas de contabilidad y de control
interno referentes a efectivo, el auditor puede haber obtenido evidencia de auditoría
sobre la efectividad del proceso de conciliación de bancos a través de
investigaciones y observación.
29. Cuando el
auditor concluye que los procedimientos desempeñados para obtener la
comprensión de los sistemas de contabilidad y de control interno también
proporcionan evidencia de auditoría sobre la adecuación de diseño y efectividad
de operación de las políticas y procedimientos relevantes a una particular
aseveración de los estados financieros, el auditor puede usar esa evidencia de
auditoría, provisto que sea suficiente, para soportar una evaluación de riesgo
de control a un nivel menos que alto.
• Inspección de documentos que
soportan transacciones y otros eventos para ganar evidencia de auditoría de que
los controles internos han operado apropiadamente, por ejemplo, verificando que
una transacción ha sido autorizada.
• Investigaciones sobre, y
observación de, controles internos que no dejan rastro de auditoría, por
ejemplo, determinando quién desempeña realmente cada función, no meramente
quién se supone que la desempeña.
• Reconstrucción del desempeño de
los controles internos, por ejemplo, la conciliación de cuentas de bancos, para
asegurar que fueron correctamente desempeñados por la entidad.
31. El auditor
debería obtener evidencia de auditoría por medio de pruebas de control para
soportar cualquiera evaluación del riesgo de control que sea menos que alto.
Mientras más baja la evaluación del riesgo de control, más soporte debería
obtener el auditor de que los sistemas de contabilidad y de control interno
están adecuadamente diseñados y operando en forma efectiva.
32. Cuando está
obteniendo evidencia de auditoría sobre la operación efectiva de los controles
internos, el auditor considera cómo fueron aplicados, la consistencia con que
fueron aplicados durante el periodo y por quién fueron aplicados. El concepto
de operación efectiva reconoce que pueden haber ocurrido algunas desviaciones.
Las desviaciones de los controles prescritos pueden ser causadas por factores
como cambios en personal clave, fluctuaciones de temporada importantes en el
volumen de transacciones, y error humano. Cuando las desviaciones son
detectadas el auditor hace investigaciones específicas respecto de esos
asuntos, particularmente la programación de tiempos en los cambios de personal
en funciones clave de control interno. El auditor entonces se asegura que las
pruebas de control cubran en forma apropiada dicho periodo de cambio o
fluctuación.
33. En un ambiente
de sistemas de información por computadora, los objetivos de pruebas de control
no cambian de los de un ambiente manual; sin embargo, pueden cambiar algunos
procedimientos de auditoría. El auditor puede encontrar necesario, o puede
preferir, usar técnicas de auditoría con ayuda de computadoras. El uso de
dichas técnicas, por ejemplo, herramientas de interrogatorio a archivos o datos
de pruebas de auditoría, puede ser apropiado cuando los sistemas de
contabilidad y de control interno no dan evidencia visible que documente el
desempeño de los controles internos que están programados dentro de un sistema
de contabilidad computarizado.
34. Basado en
los resultados de las pruebas de control, el auditor debería evaluar si los
controles internos están diseñados y operando según se contempló en la
evaluación preliminar de riesgo de control. La evaluación de desviaciones
puede dar como resultado que el auditor concluya que el nivel evaluado de
riesgo de control necesita ser revisado. En tales casos el auditor modificaría
la naturaleza, oportunidad y alcance de los procedimientos sustantivos
planeados.
Calidad
y oportunidad de la evidencia de auditoría
35. Ciertos tipos
de evidencia de auditoría obtenida por el auditor son más confiables que otros.
Ordinariamente, la observación del auditor proporciona evidencia de auditoría
más confiable que meramente hacer investigaciones, por ejemplo, el auditor
podría obtener evidencia de auditoría sobre la apropiada segregación de deberes
al observar al individuo que aplica un procedimiento de control o haciendo
investigaciones con el personal apropiado. Sin embargo, la evidencia de
auditoría obtenida por algunas pruebas de control, como observación, pertenece
sólo al momento del tiempo en que fue aplicado el procedimiento. El auditor
puede decidir, por lo tanto, suplementar estos procedimientos con otras pruebas
de control capaces de proporcionar evidencia de auditoría sobre otros periodos
de tiempo.
36. Al determinar
la evidencia de auditoría apropiada para soportar una conclusión sobre riesgo
de control, el auditor puede considerar la evidencia de auditoría obtenida en
auditorías previas. En un trabajo continuo, el auditor estará consciente de los
sistemas de contabilidad y de control interno a través del trabajo llevado a cabo
previamente pero necesitará actualizar el conocimiento adquirido y considerar
la necesidad de obtener evidencia de auditoría adicional de cualesquier cambios
en control. Antes de apoyarse en procedimientos desempeñados en auditorías
previas, el auditor debería obtener evidencia de auditoría que soporte esta
confiabilidad. El auditor debería obtener evidencia sobre la naturaleza,
oportunidad y alcance de cualesquier cambios en los sistemas de contabilidad y
de control interno de la entidad, ya que dichos procedimientos fueron
desempeñados y debería evaluar su impacto sobre la confiabilidad que intenta
depositarles el auditor. Mientras más largo el tiempo desde que se desempeñaron
dichos procedimientos, menos seguridad puede resultar.
37. El auditor
debería considerar si los controles internos estuvieron en uso a lo largo del
periodo. Si se usaron controles sustancialmente diferentes en tiempos
diferentes durante el periodo, el auditor debería considerar cada uno
separadamente. Una falla en los controles internos por una porción específica
del periodo requiere consideración por separado de la naturaleza, oportunidad y
alcance de los procedimientos de auditoría a ser aplicados a las transacciones
y otros eventos de ese periodo.
38. El auditor
puede decidir desempeñar algunas pruebas de control durante una visita
intermedia antes del final del periodo. Sin embargo, el auditor no puede
confiar en los resultados de dichas pruebas sin considerar la necesidad de
obtener evidencia de auditoría adicional relacionada con el resto del periodo.
Los factores que tendrá que considerar incluyen:
• Los resultados de las pruebas
provisionales.
• La extensión del periodo
remanente.
• Si han ocurrido cambios en los
sistemas de contabilidad y de control interno durante el periodo remanente.
• La naturaleza y monto de las
transacciones y otros eventos y los saldos implicados.
• El ambiente de control,
especialmente controles de supervisión.
• Los procedimientos sustantivos
que el auditor planea llevar a cabo.
Evaluación final del riesgo de control
39. Antes de la
conclusión de la auditoría, basado en los resultados de los procedimientos
sustantivos y de otra evidencia de auditoría obtenida por el auditor, el
auditor debería considerar si la evaluación del riesgo de control es
confirmada.
Relación entre las evaluaciones de riesgos inherente y de control
40. La
administración a menudo reacciona a situaciones de riesgo inherente diseñando
sistemas de contabilidad y de control interno para prevenir o detectar y
corregir representaciones erróneas y por lo tanto, en muchos casos, el riesgo
inherente y el riesgo de control están altamente interrelacionados. En estas
situaciones, si el auditor se decide a evaluar los riesgos inherente y de
control por separado, hay una posibilidad de una evaluación inapropiada del
riesgo. Como resultado, el riesgo de auditoría puede ser más apropiadamente determinado
en dichas situaciones haciendo una evaluación combinada.
Riesgo de detección
41. El nivel de
riesgo de detección se relaciona directamente con los procedimientos
sustantivos del auditor. La evaluación del auditor del riesgo de control, junto
con la evaluación del riesgo inherente, influye en la naturaleza, oportunidad y
alcance de los procedimientos sustantivos que deben desempeñarse para reducir
el riesgo de detección, y por tanto el riesgo de auditoría, a un nivel aceptablemente
bajo. Algún riesgo de detección estaría siempre presente aún si un auditor
examinara 100 por ciento del saldo de una cuenta o clase de transacciones
porque, por ejemplo, la mayor parte de la evidencia de auditoría es persuasiva
y no conclusiva.
42. El auditor
debería considerar los niveles evaluados de riesgos inherente y de control al
determinar la naturaleza, oportunidad y alcance de los procedimientos
sustantivos requeridos para reducir el riesgo de auditoría a un nivel
aceptable. A este respecto, el
auditor consideraría:
(a) la naturaleza de los procedimientos sustantivos, por ejemplo,
usar pruebas dirigidas hacia partes independientes fuera de la entidad y no
pruebas dirigidas hacia partes o documentación dentro de la entidad, o usar
pruebas de detalles para un objetivo particular de auditoría además de
procedimientos analíticos;
(b) la oportunidad de procedimientos sustantivos, por ejemplo,
desempeñándolos al fin del periodo y no en una fecha anterior; y
(c) el alcance de los procedimientos sustantivos, por ejemplo,
usar un tamaño mayor de muestra.
43. Hay una
relación inversa entre riesgo de detección y el nivel combinado de riesgos
inherente y de control. Por ejemplo, cuando los riesgos inherente y de control
son altos, el riesgo de detección aceptable necesita estar bajo para reducir el
riesgo de auditoría a un nivel aceptablemente bajo. Por otra parte, cuando los
riesgos inherente y de control son bajos, un auditor puede aceptar un riesgo de
detección más alto y aún así reducir el riesgo de auditoría a un nivel
aceptablemente bajo. Refiérase al Apéndice para una ilustración de la
interrelación de los componentes del riesgo de auditoría.
44. Mientras que
las pruebas de control y procedimientos sustantivos son distinguibles en cuanto
a su propósito, los resultados de cualquiera de los dos tipos de procedimientos
puede contribuir al propósito del otro. Las representaciones erróneas
descubiertas al conducir los procedimientos sustantivos pueden causar que el
auditor modifique la evaluación previa de riesgo de control. Refiérase al
Apéndice para una ilustración de la interrelación de los componentes del riesgo
de auditoría.
45. Los niveles
evaluados de riesgos inherente y de control no pueden ser suficientemente bajos
para eliminar la necesidad para el auditor de desempeñar algún procedimiento
sustantivo. Sin importar los niveles evaluados de riesgos inherente y de
control, el auditor debería desempeñar algunos procedimientos sustantivos para
los saldos de las cuentas y clases de transacciones de importancia relativa.
46. La evaluación
del auditor de los componentes del riesgo de auditoría puede cambiar durante el
curso de una auditoría, por ejemplo, puede llegar información a la atención del
auditor cuando desempeña procedimientos sustantivos que difiera importantemente
de la información sobre la que el auditor originalmente evaluó los riesgos inherente
y de control. En tales casos, el auditor modificaría los procedimientos
sustantivos planeados basado en una revisión de los niveles evaluados de los
riesgos inherente y de control.
47. Mientras
más alta la evaluación del riesgo inherente y de control, más evidencia de
auditoría debería obtener el auditor del desempeño de procedimientos
sustantivos. Cuando tanto el riesgo inherente como el de control son
evaluados como altos, el auditor necesita considerar si los procedimientos
sustantivos pueden brindar suficiente evidencia apropiada de auditoría para
reducir el riesgo de detección, y por tanto el riesgo de auditoría, a un nivel
aceptablemente bajo. Cuando el auditor determina que el riesgo de detección
respecto de una aseveración de los estados financieros para el saldo de una
cuenta o clase de transacciones de importancia relativa, no puede ser reducido
a un nivel aceptablemente bajo, el auditor debería expresar una opinión
calificada o una abstención de opinión.
Riesgo de auditoría en el negocio pequeño
48. El auditor
necesita obtener el mismo nivel de seguridad para expresar una opinión no
calificada sobre los estados financieros tanto de entidades pequeñas como
grandes. Sin embargo, muchos controles internos que serían relevantes para
entidades grandes no son prácticos en el negocio pequeño. Por ejemplo, en
pequeños negocios, los procedimientos de contabilidad pueden ser desarrollados
por unas cuantas personas que pueden tener responsabilidades tanto de operación
como de custodia, y por lo tanto faltaría la segregación de deberes o estaría
severamente limitada. La inadecuada segregación de deberes puede, en algunos
casos, ser cancelada por un fuerte sistema de control de la administración en
el que existen controles de supervisión del dueño/gerente a causa del
conocimiento personal directo de la entidad e involucramiento en las
transacciones. En circunstancias donde la segregación de deberes es limitada y
falta la evidencia de auditoría de los controles de supervisión, la evidencia
de auditoría necesaria para soportar la opinión del auditor sobre los estados
financieros puede tener que obtenerse completamente a través del desempeño de
procedimientos sustantivos.
Comunicación de debilidades
49. Como resultado
de obtener una comprensión de los sistemas de contabilidad y de control interno
y de las pruebas de control, el auditor puede darse cuenta de las debilidades
en los sistemas. El auditor debería hacer saber a la administración, tan
pronto sea factible y a un apropiado nivel de responsabilidad, sobre las
debilidades de importancia relativa en el diseño u operación de los sistemas de
contabilidad y de control interno, que hayan llegado a la atención del auditor.
La comunicación a la administración de las debilidades de importancia
relativa ordinariamente sería por escrito. Sin embargo, si el auditor juzga que
la comunicación oral es apropiada, dicha comunicación sería documentada en los
papeles de trabajo de la auditoría. Es importante indicar en la comunicación
que sólo han sido reportadas debilidades que han llegado a la atención del
auditor como un resultado de la auditoría y que el examen no ha sido diseñado
para determinar la adecuación del control interno para fines de la
administración.
Perspectiva del Sector Público
1. Respecto del párrafo 8 de esta NIA, el
auditor tiene que estar consciente que los "objetivos de la
administración" de entidades del sector público pueden estar influenciados
por intereses que se refieren a la responsabilidad pública y pueden incluir
objetivos que tienen su origen en la legislación, reglamentos, ordenanzas del
gobierno, y directivas ministeriales. La fuente y naturaleza de estos objetivos
tienen que ser consideradas por el auditor al evaluar si los procedimientos de
control interno son efectivos para propósitos de la auditoría.
2. El párrafo 9 de esta NIA dice que, en la
auditoría de estados financieros, el auditor sólo está interesado en aquellas
políticas y procedimientos dentro de los sistemas de contabilidad y de control
interno que son relevantes a las aseveraciones de los estados financieros. Los
auditores del sector público a menudo tienen responsabilidades adicionales, aún
en el contexto de sus auditorías de estados financieros, respecto de los
controles internos. Su revisión de los controles internos puede ser más amplia
y más detallada que en una auditoría de estados financieros en el sector
privado.
3. El párrafo 49 de esta NIA trata de la
comunicación de las debilidades. Puede haber requerimientos adicionales para
reportes para los auditores del sector público. Por ejemplo, las debilidades de
control interno encontradas en los estados financieros y en otras auditorías
pueden tener que ser reportadas a la legislatura u otro organismo gobernante.
Apéndice: Ilustración de la interrelación de los componentes del riesgo de auditoría
La siguiente
tabla muestra como puede variar el nivel aceptable de riesgo de detección,
basado en evaluaciones de los riesgos inherente y de control.
|
|
La evaluación del auditor del riesgo es:
|
||
|
|
Alta
|
Media
|
Baja
|
La evaluación del Auditor
|
Alta
|
La más baja
|
Más baja
|
Media
|
del riesgo inherente
|
Media
|
Más baja
|
Media
|
Más alta
|
|
Baja
|
Media
|
Más alta
|
La más alta
|
Las áreas
sombreadas en esta tabla se refieren al riesgo de detección.
Hay una relación inversa entre el riesgo de
detección y el nivel combinado de los riesgos inherente y de control. Por
ejemplo, cuando los riesgos inherente y de control son altos, los niveles
aceptables del riesgo de detección necesitan ser bajos para reducir el riesgo
de auditoría a un nivel aceptablemente bajo. Por otra parte, cuando los riesgos
inherente y de control son bajos, un auditor puede aceptar un riesgo de
detección más alto y aún así reducir el riesgo de auditoría a un nivel
aceptablemente bajo.
No hay comentarios:
Publicar un comentario