Nia 315.Ultimaa
NORMA INTERNACIONAL DE AUDITORIA 315 IDENTIFICACIÓN Y ANÁLISIS DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOC
Views 143 Downloads 5 File size 148KB
Recommend stories
- Author / Uploaded
- maricelyi
Citation preview
NORMA INTERNACIONAL DE AUDITORIA 315 IDENTIFICACIÓN Y ANÁLISIS DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO
1. INTRODUCCIÓN. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de identificar y valorar los riesgos de incorrección material en los estados financieros, mediante el conocimiento de la entidad y de su entorno, incluido el control interno de la entidad. 2. OBJETIVO. El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material. 3. DEFINICIONES a) Afirmaciones: Manifestaciones de la dirección, explícitas o no, incluidas en los estados financieros y tenidas en cuenta por el auditor al considerar los distintos tipos de incorrecciones que pueden existir. b)
Riesgo
de
negocio:
Riesgo
derivado
de
condiciones,
hechos,
circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias o derivado del establecimiento de objetivos y estrategias inadecuados. c) Control interno: El proceso diseñado, implementado y mantenido por los responsables del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. El término controles se
refiere a cualquier aspecto relativo a uno o más componentes del control interno. d) Procedimientos de valoración del riesgo: Procedimientos de auditoría aplicados para obtener conocimiento sobre la entidad y su entorno, incluido su control interno, con el objetivo de identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones concretas contenidas en éstos. e) Riesgo significativo: Riesgo identificado y valorado de incorrección material que, a juicio del auditor, requiere una consideración especial en la auditoría. REQUERIMIENTOS Procedimientos de valoración del riesgo y actividades relacionadas: El auditor aplicará procedimientos de valoración del riesgo con el fin de disponer de una base para identificar y valorar los riesgos de incorrección material en los estados financieros y en las afirmaciones. No obstante, los procedimientos de valoración del riesgo por sí solos no proporcionan evidencia de auditoría suficiente y adecuada en la que basar la opinión de auditoría. Los procedimientos de valoración del riesgo incluirán los siguientes: a) Indagaciones ante la dirección y ante otras personas de la entidad que, a juicio del auditor, puedan disponer de información que pueda facilitar la identificación de los riesgos de incorrección material, debida a fraude o error. b) Procedimientos analíticos. c) Observación e inspección. El auditor considerará si la información obtenida durante el proceso de aceptación y continuidad del cliente realizado por el auditor es relevante para identificar riesgos de incorrección material. Si el socio del encargo ha realizado otros encargos para la entidad, considerará si la información obtenida es relevante para identificar riesgos de incorrección material.
Cuando el auditor tenga la intención de utilizar información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores, determinará si se han producido cambios desde la anterior auditoría que puedan afectar a su relevancia para la auditoría actual. El socio del encargo y otros miembros clave del equipo discutirán la probabilidad de que en los estados financieros de la entidad existan incorrecciones materiales, y la aplicación del marco de información financiera aplicable a los hechos y circunstancias de la entidad. El socio del encargo determinará las cuestiones que deben ser comunicadas a los miembros del equipo que no participaron en la discusión. El conocimiento requerido de la entidad y su entorno, incluido su control interno La entidad y su entorno El auditor obtendrá conocimiento de lo siguiente: a) Factores relevantes sectoriales y normativos, así como otros factores externos, incluido el marco de información financiera aplicable. b) La naturaleza de la entidad, en particular: (i) sus operaciones; (ii) sus estructuras de gobierno y propiedad; (iii) los tipos de inversiones que la entidad realiza o tiene previsto realizar, incluidas las inversiones en entidades con cometido especial; y (iv) el modo en que la entidad se estructura y la forma en que se financia para permitir al auditor comprender los tipos de transacciones, saldos contables e información a revelar que se espera encontrar en los estados financieros. c) La selección y aplicación de políticas contables por la entidad, incluidos los motivos de cambios en ellas. El auditor evaluará si las políticas contables de la entidad son adecuadas a sus actividades y congruentes con el marco de información financiera aplicable, así como con las políticas contables utilizadas en el sector correspondiente. d) Los objetivos y las estrategias de la entidad, así como los riesgos de negocio relacionados, que puedan dar lugar a incorrecciones materiales. e) La medición y revisión de la evolución financiera de la entidad.
El control interno de la entidad El auditor obtendrá conocimiento del control interno relevante para la auditoría. Si bien es probable que la mayoría de los controles relevantes para la auditoría estén relacionados con la información financiera, no todos los controles relativos a la información financiera son relevantes para la auditoría. El hecho de que un control, considerado individualmente o en combinación con otros, sea o no relevante para la auditoría es una cuestión de juicio profesional del auditor. Naturaleza y extensión del conocimiento de los controles relevantes Al obtener conocimiento de los controles relevantes para la auditoría, el auditor evaluará el diseño de dichos controles y determinará si se han implementado, mediante la aplicación de procedimientos adicionales a la indagación realizada entre el personal de la entidad. Componentes del control interno Entorno de control 14. El auditor obtendrá conocimiento del entorno de control. Como parte de este conocimiento, el auditor evaluará si: (a) la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha establecido y mantenido una cultura de honestidad y de comportamiento ético; y si (b) los puntos fuertes de los elementos del entorno de control proporcionan colectivamente una base adecuada para los demás componentes del control interno y si estos otros componentes no están menoscabados como consecuencia de deficiencias en el entorno de control. (Ref: Apartados A69A78) El proceso de valoración del riesgo por la entidad 15. El auditor obtendrá conocimiento de si la entidad tiene un proceso para: (a) la identificación de los riesgos de negocio relevantes para los objetivos de la información financiera; (b) la estimación de la significatividad de los riesgos;
(c) la valoración de su probabilidad de ocurrencia; y (d) la toma de decisiones con respecto a las actuaciones para responder a dichos riesgos. (Ref: Apartado A79) 5 16. Si la entidad ha establecido dicho proceso (denominado en lo sucesivo “proceso de valoración del riesgo por la entidad”), el auditor obtendrá conocimiento de tal proceso y de sus resultados. Cuando el auditor identifique riesgos de incorrección material no identificados por la dirección, evaluará si existía un riesgo subyacente de tal naturaleza que, a juicio del auditor, debería haber sido identificado por el proceso de valoración del riesgo por la entidad. Si existe dicho riesgo, el auditor obtendrá conocimiento del motivo por el que el citado proceso no lo identificó, y evaluará si dicho proceso es adecuado en esas circunstancias o determinará si existe una deficiencia significativa en el control interno en relación con el proceso de valoración del riesgo por la entidad. 17. Si la entidad no ha establecido dicho proceso, o cuenta con uno ad hoc, el auditor discutirá con la dirección si han sido identificados riesgos de negocio relevantes para los objetivos de la información financiera y el modo en que se les ha dado respuesta. El auditor evaluará si es adecuada, en función de las circunstancias, la ausencia de un proceso de valoración del riesgo documentado o determinará si constituye una deficiencia significativa en el control interno. (Ref: Apartado A80) El sistema de información, incluidos los procesos de negocio relacionados, relevante para la información financiera, y la comunicación. 18. El auditor obtendrá conocimiento del sistema de información, incluidos los procesos de negocio relacionados, relevante para la información financiera, incluidas las siguientes áreas: (a) los tipos de transacciones en las operaciones de la entidad que son significativos para los estados financieros; (b) los procedimientos, relativos tanto a las tecnologías de la información (TI) como a los sistemas manuales, mediante los que dichas transacciones se
inician, se registran, se procesan, se corrigen en caso necesario, se trasladan al libro mayor y se incluyen en los estados financieros; (c) los registros contables relacionados, la información que sirve de soporte y las cuentas específicas de los estados financieros que son utilizados para iniciar, registrar y procesar transacciones e informar sobre ellas; esto incluye la corrección de información incorrecta y el modo en que la información se traslada al libro mayor; los registros pueden ser tanto manuales como electrónicos; (d) el modo en que el sistema de información captura los hechos y condiciones, distintos de las transacciones, significativos para los estados financieros; (e) el proceso de información financiera utilizado para la preparación de los estados financieros de la entidad, incluidas las estimaciones contables y la información a revelar significativas; y (f) los controles sobre los asientos en el libro diario, incluidos aquellos asientos que no son estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o inusuales. (Ref: Apartados A81-A85) 19. El auditor obtendrá conocimiento del modo en que la entidad comunica las funciones y responsabilidades relativas a la información financiera y las cuestiones significativas relacionadas con dicha información financiera, incluidas: (Ref: Apartados A86-A87) (a) comunicaciones entre la dirección y los responsables del gobierno de la entidad; y 6 (b) comunicaciones externas, tales como las realizadas con las autoridades reguladoras. Actividades de control relevantes para la auditoría 20. El auditor obtendrá conocimiento de las actividades de control relevantes para la auditoría, que serán aquellas que, a su juicio, es necesario conocer para valorar los riesgos de incorrección material en las afirmaciones y para diseñar los procedimientos de auditoría posteriores que respondan a los riesgos valorados. Una auditoría no requiere el conocimiento de todas las
actividades de control relacionadas con cada tipo significativo de transacción, de saldo contable y de información a revelar en los estados financieros o con cada afirmación correspondiente a ellos. (Ref: Apartados A88-A94) 21. Para llegar a conocer las actividades de control de la entidad, el auditor obtendrá conocimiento del modo en que la entidad ha respondido a los riesgos derivados de las TI. (Ref: Apartados A95-A97) Seguimiento de los controles 22. El auditor obtendrá conocimiento de las principales actividades que la entidad lleva a cabo para realizar un seguimiento del control interno relativo a la información financiera, incluidas las actividades de control interno relevantes para la auditoría, y del modo en que la entidad inicia medidas correctoras de las deficiencias en sus controles. (Ref: Apartados A98-A100) 23. Si la entidad cuenta con una función de auditoría interna1, el auditor, con el fin de determinar si la función de auditoría interna puede ser relevante para la auditoría, obtendrá conocimiento de lo siguiente: (a) la naturaleza de las responsabilidades de la función de auditoría interna y el modo en que se integra en la estructura organizativa de la entidad; y (b) las actividades que han sido o que serán realizadas por la función de auditoría interna. (Ref: Apartados A101-A103) 24. El auditor obtendrá conocimiento de las fuentes de información utilizadas en las actividades de seguimiento realizadas por la entidad y la base de la dirección para considerar que dicha información es suficientemente fiable para dicha finalidad. (Ref: Apartado A104) Identificación y valoración de los riesgos de incorrección material 25. El auditor identificará y valorará los riesgos de incorrección material en: (a) los estados financieros; y (Ref: Apartados A105-A108) (b) las afirmaciones sobre tipos de transacciones, saldos contables e información a revelar (Ref: Apartados A109-A113) que le proporcionen una base para el diseño y la realización de los procedimientos de auditoría posteriores.
26. Con esta finalidad, el auditor: (a) identificará los riesgos a través del proceso de conocimiento de la entidad y de su entorno, incluidos los controles relevantes relacionados con los riesgos, y mediante la consideración de los tipos de transacciones, saldos contables e información a revelar en los estados financieros; (Ref: Apartados A114-A115) 1 El término “función de auditoría interna” se define en la NIA 610, “Utilización del trabajo de los auditores internos”, apartado 7(a) como: “Actividad de evaluación establecida o prestada a la entidad como un servicio. Sus funciones incluyen, entre otras, el examen, la evaluación y el seguimiento de la adecuación y eficacia del control interno.” 7 (b) valorará los riesgos identificados y evaluará si se relacionan de modo generalizado con los estados financieros en su conjunto y si pueden afectar a muchas afirmaciones; (c) relacionará los riesgos identificados con posibles incorrecciones en las afirmaciones, teniendo en cuenta los controles relevantes que el auditor tiene intención de probar; y (Ref: Apartados A116-A118) (d) considerará la probabilidad de que existan incorrecciones, incluida la posibilidad de múltiples incorrecciones, y si la incorrección potencial podría, por su magnitud, constituir una incorrección material. Riesgos que requieren una consideración especial de auditoría 27. Como parte de la valoración del riesgo descrita en el apartado 25, el auditor determinará si alguno de los riesgos identificados es, a su juicio, un riesgo significativo. En el ejercicio de dicho juicio, el auditor excluirá los efectos de los controles identificados relacionados con el riesgo. 28. Para juzgar los riesgos que son significativos, el auditor considerará, al menos, lo siguiente: (a) si se trata de un riesgo de fraude; (b) si el riesgo está relacionado con significativos y recientes acontecimientos económicos, contables o de otra naturaleza y, en consecuencia, requiere una atención especial;
(c) la complejidad de las transacciones; (d) si el riesgo afecta a transacciones significativas con partes vinculadas; (e) el grado de subjetividad de la medición de la información financiera relacionada con el riesgo, en especial aquellas mediciones que conllevan un elevado grado de incertidumbre; y (f) si el riesgo afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad, o que, por otras razones, parecen inusuales. (Ref: Apartados A119-A123) 29. Si el auditor ha determinado que existe un riesgo significativo, obtendrá conocimiento de los controles de la entidad, incluidas las actividades de control, correspondientes a dicho riesgo. (Ref: Apartados A124-A126) Riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada 30. Con respecto a ciertos riesgos, el auditor puede juzgar que no es posible o factible obtener evidencia de auditoría suficiente y adecuada aplicando únicamente
procedimientos
sustantivos.
Dichos
riesgos
pueden
estar
relacionados con el registro inexacto o incompleto de tipos de transacciones o saldos contables rutinarios y significativos, cuyas características permiten a menudo un procesamiento muy automatizado con escasa o ninguna intervención manual. En tales casos, los controles de la entidad sobre dichos riesgos son relevantes para la auditoría y el auditor obtendrá conocimiento de ellos. (Ref: Apartados A127-A129) Revisión de la valoración del riesgo 31. La valoración de los riesgos de incorrección material en las afirmaciones puede variar en el transcurso de la auditoría, a medida que se obtiene evidencia de auditoría adicional. Cuando el auditor haya obtenido evidencia de auditoría de la aplicación de procedimientos de auditoría posteriores, o bien cuando haya obtenido nueva información, y en uno y otro caso sean incongruentes con la evidencia de auditoría sobre la que el auditor basó inicialmente la valoración, 8
el auditor revisará la valoración y modificará, en consecuencia, los procedimientos de auditoría posteriores que hubiera planificado. (Ref: Apartado A130) Documentación 32. El auditor incluirá en la documentación de auditoría2: (a) los resultados de la discusión entre el equipo del encargo, cuando lo requiera el apartado 10, así como las decisiones significativas que se tomaron; (b) los elementos clave del conocimiento obtenido en relación con cada uno de los aspectos de la entidad y de su entorno, detallados en el apartado 11, así como de cada uno de los componentes del control interno enumerados en los apartados 14-24; las fuentes de información de las que proviene dicho conocimiento; y los procedimientos de valoración del riesgo aplicados; (c) los riesgos de incorrección material en los estados financieros y en las afirmaciones, identificados y valorados de conformidad con lo requerido en el apartado 25; y. (d) los riesgos identificados, así como los controles relacionados con ellos, respecto de los que el auditor ha obtenido conocimiento como resultado de los requerimientos de los apartados 27- 30. (Ref: Apartados A131-A134)
Las Normas de auditoría que tratan acerca del tema de riesgos, les recuerdan constantemente a los auditores de estados financieros la necesidad de aplicar su juicio profesional al evaluar los riesgos y la estructura de control interno como principio básico para decidir qué procedimientos de auditoría aplicar, así como la oportunidad y alcance de los mismos.
Una de las inquietudes del auditor externo durante el proceso de una auditoría de estados financieros es identificar los riesgos de error importante o significativo, que pudieran existir en los estados financieros sujetos a examen, originados por una acción fraudulenta o debido a error. El entorno en que operan las empresas y los procesos con los que lo hacen, presentan riesgos que pueden causar distorsiones (errores) en los estados financieros sujetos a auditoría, por lo que el auditor externo tiene la tarea de, al menos, realizar las siguientes actividades:
Identificar riesgos.
Evaluar su susceptibilidad a distorsiones (errores) en la información financiera, incluyendo errores o fraudes.
Evaluar las medidas (controles) que la empresa ha puesto a funcionar para minimizar los riesgos.
Diseñar procedimientos de auditoría que pongan a prueba esas medidas, para aprovecharlas y que los demás procedimientos a aplicar, con posterioridad, se realicen a la luz de combinaciones de riesgos bajos, en los que se apoye la confianza profesional.
Riesgo de Error Importante en los Estados Financieros (REIEF) Las normas de ejecución del trabajo que rigen la actuación del auditor externo requieren, en resumen, que una auditoría de estados financieros deba ser objeto de una cuidadosa planeación, ejecución y supervisión, por parte del auditor durante todo el proceso de una auditoría y que ésta, sea realizada con base en una evaluación del REIEF, considerando la estructura de control interno establecido para minimizarlos, asimismo, que se obtenga el suficiente nivel de evidencia apropiada, mediante pruebas de cumplimiento con controles y mediante pruebas sustantivas, tanto analíticas como de verificación. Consideraciones sobre fraude que deben hacerse en una auditoría de estados financieros, define el concepto de “fraude” y de “error” de la siguiente manera: Fraude. Distorsiones provocadas en el registro de las operaciones y en la información financiera o actos intencionales para sustraer activos (robo), u ocultar obligaciones que tienen o pueden tener un impacto significativo en los estados financieros sujetos a examen.
Error. Un error no intencional en los estados financieros incluyendo la omisión de un importe o revelación. Por convencionalismos internacionales que han estado vigentes durante muchos años, y para cumplir con las afirmaciones que los auditores hacen en la redacción de su opinión, el riesgo de incumplimiento con las normas de información financiera o cualquier otro marco contable de referencia, se conoce como riesgo de error importante en los estados financieros. Las Normas de auditoría describen las tres bases en las que descansa la opinión del auditor, las cuales están compuestas por procedimientos de auditoría que:
Aporten la comprensión sobre la entidad y su entorno (incluyendo su estructura de control interno), para evaluar el riesgo de error importante a nivel de estados financieros y para diseñar la naturaleza, oportunidad y alcance de los procedimientos de auditoría a aplicar.
Reten el funcionamiento efectivo de los controles diseñados para la prevención o la detección de errores importantes a nivel de las aseveraciones relevantes de los estados financieros, mediante la aplicación de procedimientos subsecuentes denominados pruebas de control.
Detecten errores importantes, a nivel de aseveraciones relevantes de los estados financieros, mediante la aplicación de otros procedimientos subsecuentes denominados pruebas sustantivas, las cuales incluyen pruebas de verificación de transacciones, saldos y revelaciones, así como analíticas.
Para lograr la identificación de riesgos o minimizar el riesgo de no detectarlos, el auditor aplica procedimientos o mecanismos de diversa índole. Un medio para lograr este proceso es el que el auditor obtenga un adecuado y completo conocimiento y comprensión de la entidad cuyos estados financieros son sujetos a examen, del entorno en que opera y de su estructura de control interno, que le permitan obtener las bases para el diseño e implementación de las respuestas (procedimientos de auditoría) para enfrentar los riesgos identificados y evaluados.
De acuerdo con la Norma Internacional de Auditoría, 315, Identificación y evaluación de riesgo de error importante a través del conocimiento y la comprensión de la entidad y de su entorno, norma que entró en vigor en 2010, ésta tiene como objetivo que el auditor entienda a la entidad, a su entorno y a su estructura de control interno con objeto de evaluar el REIEF sujetos a auditoría, debido a fraude o a error y diseñar e implementar los procedimientos de auditoría adecuados, buscando también que el auditor logre:
Entender el entorno de control en el que opera o se desenvuelve una entidad.
Evaluar el REIEF tomado en conjunto.
Identificar las aseveraciones de los estados financieros propensos a errores.
Entender cualquier control implementado por la administración de una entidad y poner a prueba la operación efectiva de los controles en los que se sustentan las aseveraciones de los estados financieros.
Identificar y evaluar el riesgo de error importante relacionado con cada una de las aseveraciones de los estados financieros.
Lo anterior con el propósito de limitar el nivel de riesgo de que el auditor exprese una opinión errónea por no haber detectado errores importantes en los estados financieros y de desarrollar un enfoque de auditoría apropiado y eficiente que contemple una adecuada combinación de procedimientos de control y sustantivos. A mayor riesgo, más procedimientos sustantivos; a menor riesgo, más procedimientos de control. Esta norma tiene una estrecha relación con otras de auditoría, en especial, con las referentes a Consideraciones sobre fraude que deben hacerse en una auditoría de estados financieros, Evidencia de auditoría, La respuesta del auditor a los riesgos determinados e Importancia relativa en la planeación de la auditoría. Requisitos de la norma. De acuerdo con dicha norma, el auditor externo debe observar (cumplir) los requisitos establecidos en ella, los cuales, brevemente, se comentan a continuación: Proceso de evaluación de riesgos
La norma requiere que el auditor externo aplique procedimientos de auditoría diseñados para identificar y evaluar la existencia de errores importantes o significativos a nivel de estados financieros y a nivel de las aseveraciones presentadas en dichos estados, haciendo la aclaración de que el hecho de que el auditor externo haya cumplido con este proceso no representa que haya obtenido suficiente y apropiada evidencia de auditoría para sustentar su opinión profesional. Al respecto, debe tenerse en cuenta que los procedimientos diseñados para efectos de la evaluación de riesgos, pueden o deben considerar, entre otras, las siguientes acciones o procedimientos: Desde el proceso de evaluación del prospecto de un cliente o de continuar con uno existente, el auditor externo debe estar alerta para “pescar” (detectar) situaciones o hechos que pudieran ser indicativos de la existencia del REIEF, mediante:
Cuestionamientos a la administración y a cierto personal seleccionado de la entidad, para obtener información que ayude al auditor o para identificar riesgos de error importante debido a fraude o a error.
Aplicación de procedimientos de revisión analítica general y de observación e inspección.
Cuando el auditor externo ha realizado trabajos o tenido experiencias anteriores, respecto a un prospecto de cliente, con uno de primera vez o con uno recurrente, debe evaluar lo apropiado de considerar los resultados obtenidos de esas experiencias previas, con objeto de contar con elementos que le apoyen en su proceso de detección y evaluación del REIEF. Una actividad dentro del proceso de una auditoría que puede dar resultados satisfactorios en el proceso de determinación y evaluación de riesgos es el que los ejecutivos clave de una auditoría (socio a cargo, gerente y supervisor, en ciertos casos el ejecutivo revisor independiente o el socio concurrente) celebren reuniones de trabajo, cuyo objetivo primordial sea discutir sobre la susceptibilidad de los estados financieros a incluir errores importantes. El entendimiento de la entidad, de su entorno y estructura de control interno la entidad y su entorno.
Esta actividad se considera prioritaria, pues sirve de insumo para el resto del proceso del trabajo y pide al auditor que logre un adecuado entendimiento de, entre otros, los siguientes asuntos:
Los factores importantes de la industria en que opera la entidad, de los organismos reguladores a que está sujeta y de otros factores externos, incluyendo el marco de las NIIF aplicable, que le afectan.
La naturaleza de la entidad que incluye: sus operaciones, su esquema accionario y estructuras de gobierno corporativo, los tipos de inversiones que está realizando y que tiene previsto hacer, la estructura de la entidad y cómo está financiada.
Las políticas contables seleccionadas y aplicadas. El auditor evaluará si las políticas contables observadas son adecuadas para el tipo de negocio al que se aplican y si son consistentes con el marco conceptual de las NIIF aplicable y con las políticas contables relevantes utilizadas en la industria a la que pertenece la entidad.
Los objetivos y estrategias de la entidad y los riesgos de negocio relacionados que pueden resultar en riesgo de error importante. La evaluación (medición y revisión) del desempeño financiero de la entidad.
Todo lo anterior permitirá al auditor entender los tipos de transacciones, las cuentas de balance y las revelaciones que espera que contengan los estados financieros sujetos a examen. Estructura de control interno entendimiento. El auditor entenderá los aspectos de la estructura de control interno en vigor en la entidad que sean relevantes para la auditoría. Al respecto, debe considerar que aunque la mayoría de los controles son relevantes para una auditoría, es probable que estén relacionados con la información financiera, no todos los controles que se relacionan con dicha información son relevantes para una auditoría. Considerar si un control, de manera individual o en combinación con otros es relevante para la auditoría, es una cuestión de juicio profesional del auditor. Naturaleza y alcance del entendimiento de los controles relevantes.
Cuando el auditor ha comprendido y entendido los controles que son relevantes para una auditoría, éste evaluará el diseño de esos controles y determinará y probará si han sido puestos en funcionamiento, para lo cual aplicará los procedimientos de auditoría que considere adecuados en las circunstancias que deben complementarse con preguntas hechas al personal de la entidad. Componentes del control interno. El auditor debe obtener un adecuado entendimiento de la estructura de control interno y de sus componentes, implantado en una entidad, como sigue: Entorno de control. Se logrará una comprensión adecuada del ambiente de control en que opera la entidad, para lo cual evaluará si la administración, bajo la vigilancia de los encargados del gobierno corporativo, ha creado, mantenido y fomentado una cultura de honestidad y comportamiento ético; y si las fortalezas de los elementos del entorno de control, de manera conjunta, proporcionan un sustento adecuado para los otros componentes del control interno, y si éstos resultan afectados negativamente, debido a las debilidades en los elementos del entorno de control. Proceso de evaluación de riesgos. Se investigará y entenderá si la entidad tiene establecido un proceso para: identificar los riesgos de negocio que son relevantes para el logro de los objetivos de la información financiera; estimar la importancia de los riesgos; evaluar la probabilidad de su ocurrencia, y decidir sobre las acciones a seguir para hacer frente a esos riesgos. Cuando una entidad ha establecido un proceso de evaluación de riesgos, el auditor obtendrá una comprensión de dicho proceso, así como de los resultados logrados. Si no tiene establecido un proceso de evaluación de riesgos o si no cuenta con un proceso adecuado, el auditor discutirá con la administración de la entidad si los riesgos de negocio, que son relevantes para los propósitos de su información financiera, han sido identificados y cómo fueron tratados. El auditor evaluará si la ausencia de un proceso de evaluación de riesgos documentado es el apropiado en las circunstancias o representa una debilidad importante en la estructura de control interno de la entidad.
Sistemas de información, incluidos los relacionados con los procesos de negocio, relevantes para la información financiera, y de comunicación. Se obtendrá un entendimiento del sistema de información, incluyendo los sistemas relacionados con los procesos de negocio, que son relevantes para la información financiera: los diferentes tipos o clases de transacciones generadas por las operaciones de la entidad que son significativas para la información financiera; los procedimientos, tanto los relacionados con la TI como con los sistemas manuales, mediante los cuales las transacciones son iniciadas, registradas, procesadas, corregidas, de ser necesario, transferidas al libro mayor y reportadas en los estados financieros; los registros contables relacionados, la información de soporte y las cuentas específicas que son utilizadas para iniciar, registrar, procesar y reportar las transacciones, incluyendo la corrección de información incorrecta y cómo es transferida la información al libro mayor. Los registros pueden ser manuales y/o electrónicos; el sistema de información captura los eventos y las situaciones que son diferentes a las transacciones normales o recurrentes y que son significativos para la información financiera; el proceso de esta última utilizado para preparar estados financieros, incluyendo las estimaciones contables y las revelaciones, y los controles establecidos sobre las pólizas de diario, incluyendo las pólizas no estándar, utilizadas para registrar transacciones no recurrentes, inusuales o ajustes. Además, se obtendrá una comprensión de cómo se comunican, dentro de la entidad, las responsabilidades en el proceso de preparación de la información financiera y de cuestiones significativas relacionadas con la información financiera. Actividades de control relevantes para la auditoría. Se obtendrá una comprensión de las actividades de control que son relevantes para la auditoría, considerando aquéllas que el auditor juzga necesario entender, con el fin de evaluar los riesgos de error importante a nivel de aseveraciones de los estados financieros, y diseñar los procedimientos de auditoría que respondan a los riesgos evaluados. Una auditoría no requiere de un entendimiento de todas las actividades de control relacionadas con cada tipo de transacciones, cuentas de balance y revelaciones importantes en los estados financieros o para cada aseveración relevante para ellos. Como parte del entendimiento de las actividades de control de la entidad, el auditor
comprenderá cómo la entidad ha respondido a los riesgos provenientes de la TI. Vigilancia de controles. Se obtendrá un entendimiento de las principales actividades que la entidad tiene implementadas para efectos de vigilar la operación efectiva del control interno relativo a la preparación de la información financiera, incluyendo aquéllas relativas a las actividades de control relevantes para la auditoría, y la forma en que la entidad establece y pone en marcha medidas correctivas para su control. El auditor conocerá las fuentes de información utilizadas en las actividades de vigilancia, así como las bases sobre las que la administración considera que dicha información es confiable para sus propósitos. Identificación y evaluación del REIEF La norma requiere que el auditor identifique y evalúe los riesgos de error importante a nivel de los estados financieros y de las aseveraciones incluidas en éstos para las clases de transacciones, las cuentas de balance y las revelaciones que le proporcionen una base para el diseño y la aplicación de procedimientos de auditoría, posteriores. Para estos propósitos, el auditor deberá: Identificar, durante el proceso de entendimiento de la entidad y de su entorno, los riesgos, incluyendo los controles relevantes relacionados con los riesgos, teniendo en cuenta las clases de transacciones, las cuentas de balance y las revelaciones de los estados financieros. Evaluar los riesgos
identificados y evaluar si éstos están relacionados, de manera
dominante
con
los
estados
financieros
en
su
conjunto
y
si,
potencialmente, afectan a muchas aseveraciones. Relacionar el riesgo identificado con aquello que puede estar mal a nivel de aseveración y con los controles relevantes que el auditor tiene intención de probar. Considerar la probabilidad de error, incluyendo la posibilidad de múltiples errores, y si el error potencial es de tal magnitud podría dar lugar a errores importantes. Riesgos que requieren especial consideración de auditoría Como parte de la evaluación de riesgo, el auditor determinará cuáles de los riesgos identificados son, a su juicio, riesgos significativos. Para estos propósitos, se pide que no considere los efectos de los controles identificados,
si los hay, relacionados con el riesgo calificado como significativo. Algunas consideraciones para establecer si un riesgo es significativo:
Establecer si el riesgo: a)
Es un riesgo debido a fraude.
b) Está relacionado con eventos significativos recientes, ya sean de tipo económico, contable o de otro tipo de acontecimientos que requieren una atención especial. c)
Implica
transacciones
importantes
con
partes
(personas)
relacionadas. d)
Involucra transacciones Significativas que están fuera del curso
normal de los negocios de la entidad, o que de otra manera parecen ser inusuales.
La complejidad de las transacciones que realiza la entidad.
El grado de subjetividad en la medición de la información financiera relacionada con el riesgo, en especial, aquellas mediciones que implican un amplio rango de incertidumbre de medición.
Cuando el auditor ha determinado la existencia de un riesgo importante, obtendrá una comprensión de los controles establecidos por la entidad, incluyendo las actividades de control que sean relevantes, para tratar este riesgo. Riesgos para los que los procedimientos sustantivos, por sí solos, no proporcionan suficiente ni apropiada evidencia de auditoría. En relación con algunos riesgos, el auditor puede juzgar que no es posible o práctico obtener evidencia apropiada y suficiente, mediante la aplicación de procedimientos sustantivos. Estos riesgos pueden estar relacionados con equivocaciones o con la falta de integridad en el proceso o rutina del registro contable de transacciones significativas o de saldos contables importantes, cuyas características, a menudo, permiten sólo procesos automatizados con poca o ninguna intervención manual. En estos casos, los controles de la entidad para enfrentar los riesgos son relevantes para la auditoría y el auditor deberá obtener una comprensión de ellos.
Revisión de la evaluación del riesgo. La evaluación que hace el auditor del riesgo de error material a nivel de aseveración, puede cambiar durante el transcurso de la auditoría conforme obtiene evidencia adicional, u obtiene nueva información y ésta es inconsistente con la evidencia sobre la que basó su evaluación. En esas situaciones, éste debe revisar la evaluación y modificar los procedimientos de auditoría. Debilidad importante en el control interno. Si como resultado del trabajo de auditoría realizado se ha identificado alguna debilidad
importante
(funcionamiento)
del
en
el
diseño,
implementación
control
interno,
el
auditor
la
o
mantenimiento
comunicará
a
la
administración de la entidad y a los integrantes del gobierno corporativo. Documentación. El resultado de la aplicación de la norma se documentará conforme a los requerimientos de la norma de auditoría correspondiente, Evidencia de auditoría. Conclusión. Para el Contador Público independiente, los conceptos de riesgo, evaluación, control, fraude, error, error importante, juicio profesional, entre otros, son conceptos con los cuales debe convivir siempre que realiza una auditoría de estados financieros, conforme a las Normas de Auditoría Generalmente Aceptadas (NAGA) en cualquier parte del mundo.