nia 300 planificación
TRANSCRIPT
NIA 300 Planificación de una auditoría de estados financieros
CONTENIDO Párrafos
TEXTO COMPLETO
Introducción 1-5
Actividades de planificación 6-7
La estrategia global de auditoría 8-12
El plan de auditoría 13-15
Cambios a las decisiones de planificación durante la auditoría 16-17
Dirección, supervisión y revisión 18-21
Documentación 22-26
Comunicaciones con las personas a cargo de la administración y el manejo 27
Consideraciones adicionales en los compromisos de auditoría iniciales 28-29
Fecha de vigencia 30
Punto de vista del sector público 1-3
Apéndice – ejemplos de asuntos que puede considerar el auditor al establecer la estrategia de auditoría integral
Apen
Alcance del compromiso de auditoría
Objetivos de emisión de informes, oportunidad de la auditoría y comunicaciones requeridas
Dirección de la auditoría
Introducción
1. El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar lineamientos sobre las consideraciones y actividades aplicables a la planificación de una auditoría de estados financieros. Esta NIA tiene como marco de referencia el contexto de las auditorías recurrentes. Además, en los párrafos 28 y 29 se incluyen los asuntos que el auditor debe considerar en compromisos de auditoría iniciales.
2. El auditor deberá planificar el trabajo de auditoría de modo que la auditoría sea desempeñada en una manera efectiva.
3. Planificar una auditoría significa desarrollar una estrategia general para el compromiso y desarrollar un plan de auditoría, para disminuir el riesgo de auditoría a un nivel aceptablemente bajo. En la planificación participan el socio del compromiso y otros miembros claves del equipo del compromiso, de los cuales se obtienen los beneficios de su experiencia y conocimientos para lograr efectividad y eficacia en el proceso de planificación.
4. La planificación adecuada del trabajo de auditoría ayuda a asegurar que se presta atención adecuada a áreas importantes de la auditoría, que los problemas potenciales son identificados y resueltos en forma expedita y que el compromiso de auditoría se organiza y se maneja adecuadamente para que sea realizado de manera eficiente y eficaz. La planificación adecuada también ayuda a asignar adecuadamente el trabajo a los miembros del equipo de auditoría, facilita la dirección y supervisión de los miembros del equipo de auditoría, así como también la revisión de su trabajo, e igualmente ayuda, cuando sea aplicable, en la coordinación del trabajo hecho por otros auditores y expertos. La naturaleza y alcance de las actividades de planificación variará de cuerdo con el tamaño y complejidad de la entidad, la experiencia previa del auditor con la entidad, y los cambios en las circunstancias que ocurren durante el compromiso de auditoría.
5. La planificación no es una fase separada de una auditoría, sino más bien un proceso continuo e iterativo que frecuentemente comienza poco tiempo después de (o en conjunto con) la finalización de la auditoría anterior, y continúa hasta que se finaliza el compromiso de auditoría presente. Sin embargo, al momento de planificar una auditoría, el auditor considera el momento en que se realizarán ciertas actividades de planificación y procedimientos de auditoría que es necesario realizar antes de aplicar procedimientos de auditoría adicionales. Por ejemplo, el auditor planifica la discusión entre los miembros del equipo del compromiso1 . Los procedimientos analíticos que serán aplicados como procedimientos de evaluación de riesgos, la obtención de un entendimiento general de la estructura legal y regulativa aplicable a la entidad y la manera en que la entidad cumple con esa estructura, la determinación de la importancia relativa, la participación de los expertos y la aplicación de otros procedimientos de evaluación de riesgos antes de identificar y evaluar los riesgos de error significativo y de aplicar procedimientos de auditoría adicionales en el nivel de aserciones para las clases de transacciones, saldos de cuenta y divulgaciones que responden a estos riesgos.
Actividades preliminares del compromiso
6. El auditor debe realizar las siguientes actividades al inicio del compromiso de auditoría presente:
Aplicar procedimientos en relación con la continuidad de la relación del cliente y el compromiso de auditoría específico (véase la NIA 220, “Control de calidad del trabajo de auditoría”2 para conocer los lineamientos adicionales).
Evaluar el cumplimiento con los requerimientos éticos, incluyendo la independencia (véase la NIA 220 para conocer los lineamientos adicionales).
Entender las condiciones del compromiso (véase la NIA 210, “Condiciones de los compromisos de auditoría” para conocer los lineamientos adicionales).
La consideración del auditor de la continuidad del cliente y de los requerimientos éticos, incluyendo la independencia, ocurre mediante el desempeño del compromiso de auditoría mientras ocurren las condiciones y los cambios en las circunstancias. Sin embargo, los procedimientos iniciales del auditor sobre la continuidad del cliente y la evaluación de los requerimientos éticos (incluyendo la independencia) se aplican antes de realizar otras actividades significativas para el compromiso de auditoría presente. Para los compromisos de auditoría continuos, tales procedimientos iniciales con frecuencia ocurren poco tiempo después de (o en relación con) la finalización de la auditoría anterior.
7. El propósito de realizar estas actividades preliminares es ayudar a garantizar que el auditor ha considerado los hechos o circunstancias que pueden afectar de manera adversa la capacidad del auditor para planificar y realizar el compromiso de auditoría para disminuir el riesgo de auditoría a un nivel aceptablemente bajo. El realizar estas actividades preliminares ayuda a garantizar que el auditor planifica un compromiso de auditoría para el cual:
El auditor mantiene la independencia necesaria y la capacidad para realizar el compromiso.
No hay problemas con la integridad de la gerencia que puedan afectar la disposición del auditor de continuar el compromiso.
No hay ningún malentendido con el cliente en cuanto a las condiciones del compromiso.
Actividades de planificación
La estrategia global de auditoría
8. El auditor debe desarrollar la estrategia global de auditoría para el compromiso.
9. La estrategia global de auditoría establece el alcance, oportunidad y dirección de la auditoría, y guía el desarrollo del plan de auditoría más detallado. El establecimiento de la estrategia de auditoría implica:
a. La determinación de las características del compromiso que definen su alcance, tal como la estructura de información financiera usada, requerimientos de emisión de informes específicos de la industria y las ubicaciones de los componentes de la entidad;
b. La afirmación de los objetivos de emisión de informes del compromiso para planificar la oportunidad de la auditoría y la naturaleza de las comunicaciones requeridas, tal como las fechas límites para la emisión de informes interinos y finales, y fechas claves para las comunicaciones esperadas con la gerencia y las personas a cargo de la administración; y
c. La consideración de factores importantes que determinarán el enfoque de los esfuerzos del equipo del compromiso, tal como la determinación de niveles adecuados de importancia relativa, la identificación preliminar de áreas en las que pueden haber mayores riesgos de error significativo, la identificación preliminar de componentes y saldos de cuenta significativos, la evaluación del hecho de que el auditor pueda hacer la
planificación o no para obtener evidencia en relación con la efectividad de control interno, y la identificación de desarrollos recientes y significativos específicos de la entidad, la industria, la información financiera u otros desarrollos relevantes.
Para desarrollar la estrategia de auditoría, el auditor también debe considerar los resultados de las actividades preliminares del compromiso (véase los párrafos 6 y 7) y, cuando sea aplicable, la experiencia obtenida por otras auditorías realizadas en la entidad. El apéndice de esta NIA indica ejemplos de los asuntos que el auditor puede considerar al establecer la estrategia global de auditoría para un compromiso.
10. El proceso de desarrollo de la estrategia de auditoría ayuda al auditor a asegurar la naturaleza, oportunidad y alcance de los recursos necesarios para realizar el compromiso. La estrategia de auditoría establece claramente, como respuesta a los asuntos identificados en el párrafo 9, y dependiendo de la realización de los procedimientos de evaluación de riesgo del auditor:
a. Los recursos que serán empleados para las áreas específicas de auditoría, tal como el uso de miembros del equipo de auditoría con la experiencia adecuada para las áreas de alto riesgo o la participación de expertos en asuntos complejos;
b. El monto de recursos a distribuir a las áreas específicas de auditoría, tal como el número de miembros del equipo asignados para observar el conteo del inventario en los lugares significativos, el alcance de revisión del trabajo de otros auditores en el caso de las auditorias de grupo, o el presupuesto de auditoría en horas que se asignará a las áreas de alto riesgo;
c. Cuándo se emplean estos recursos (en una etapa de auditoría interina o en fechas claves de corte); y
d. De qué manera se manejan, se dirigen y se supervisan tales recursos, tal como cuándo se espera que se realicen las reuniones de introducción y conclusión, cómo se espera que se realicen las revisiones por parte del socio y del gerente del compromiso (por ejemplo, en el sitio y fuera del sitio), y si debe completar revisiones de control de calidad del compromiso.
11. Después de haber establecido la estrategia de auditoría, el auditor está en capacidad de iniciar el desarrollo de un plan de auditoría más detallado para abordar los diversos asuntos identificados en la estrategia de auditoría, tomando en cuenta la necesidad de lograr los objetivos de auditoría mediante el uso eficiente de los recursos del auditor. Aunque generalmente el auditor establece la estrategia de auditoría antes de desarrollar el plan de auditoría detallado, las dos actividades de planificación no necesariamente son procesos separados o continuos, mas bien ambos están muy interrelacionados, ya que los cambios en una pueden originar cambios consecuentes en la otra. Los párrafos 14 y 15 brindan lineamientos adicionales sobre el desarrollo del plan de auditoría.
12. En las auditorías de las entidades pequeñas, puede emplearse un equipo de auditoría muy pequeño para conducir la auditoría completa. En muchas auditorías de
entidades pequeñas participa el socio del compromiso de auditoría (que puede ser un solo profesional) que trabaja con un miembro del equipo del compromiso (o sin ningún miembro del equipo del compromiso). Con un equipo pequeño, la coordinación y comunicación entre los miembros del equipo son más fáciles. No es necesario que el establecimiento de la estrategia global de auditoría para la auditoría de una entidad pequeña sea un ejercicio complejo y no debe tomar mucho tiempo desarrollarla; esto varía de acuerdo con el tamaño de la entidad y la complejidad de la auditoría. Por ejemplo, un memorando breve preparado al finalizar la auditoría anterior, con base en una revisión de los papeles de trabajo y resaltando los asuntos identificados en la auditoría que se acaba de realizar, actualizado y modificado en el período corriente con base en las discusiones con el propietario-gerente, puede servir como base para planificar el compromiso de la auditoría presente.
El plan de auditoría
13. El auditor debe desarrollar un plan de auditoría para el compromiso para así reducir el riesgo de auditoría a un nivel aceptablemente bajo.
14. El plan de auditoría es más detallado que la estrategia de auditoría e incluye la naturaleza, oportunidad y alcance de los procedimientos de auditoría que seguirán los miembros del equipo del compromiso, para obtener evidencia de auditoría suficiente y adecuada para reducir el riesgo de la auditoría a un nivel aceptablemente bajo. La documentación del plan de auditoría también sirve como un registro de la planificación y desempeño adecuados de los procedimientos de auditoría que pueden revisarse y aprobarse antes de aplicar procedimientos de auditoría adicionales.
15. El plan de auditoría incluye:
· Una descripción de la naturaleza, oportunidad y alcance de los procedimientos planificados de evaluación de riesgos, que sean suficientes como para evaluar los riesgos de error significativo, según se determina en la NIA 315, “Entendimiento de la entidad y su ambiente y evaluación de los riesgos de error significativo”;
Una descripción de la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales que se planifican en el nivel de aserciones para cada clase significativa de transacciones, saldo de cuenta y divulgación, según se determina según la NIA 330. “Procedimientos del auditor como respuesta a los riesgos evaluados”. El plan para los procedimientos de auditoría adicionales refleja la decisión del auditor sobre si debe evaluar la efectividad operativa de los controles, y la naturaleza, oportunidad y alcance de los procedimientos sustantivos planificados; y
Los procedimientos de auditoría adicionales que se requiere llevar a cabo para el compromiso para cumplir con las NIA (por ejemplo, buscando una comunicación directa con los abogados de la entidad).
La planificación de estos procedimientos de auditoría se da durante el curso de la auditoría a medida que se desarrolla el plan de auditoría para el compromiso. Por ejemplo, la planificación de los procedimientos de evaluación de riesgos del auditor generalmente ocurre en las primeras etapas del proceso de auditoría. Sin embargo, la
planificación de la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales específicos depende del resultado de esos procedimientos de evaluación de riesgos. Además, el auditor puede comenzar a ejecutar los procedimientos de auditoría adicionales para algunas clases de transacciones, saldos de cuenta y divulgaciones antes de finalizar el plan de auditoría más detallado de todos los procedimientos de auditoría adicionales restantes.
Cambios a las decisiones de planificación durante la auditoría
16. La estrategia global de auditoría y el plan de auditoría deberían actualizarse y modificarse según sea necesario durante el curso de la auditoría.
17. La planificación de una auditoría es un proceso continuo e iterativo a lo largo del trabajo. Como resultado de sucesos inesperados, cambios en las condiciones o la evidencia de auditoría obtenida de los resultados de los procedimientos de auditoría, puede ser necesario que el auditor modifique la estrategia global de auditoría y el plan de auditoría y, por consiguiente, la naturaleza, oportunidad y alcance planificado de los procedimientos de auditoría adicionales.
Dirección, supervisión y revisión
18. El auditor debe planificar la naturaleza, oportunidad y alcance de la dirección y supervisión de los miembros del equipo del compromiso y revisión de su trabajo.
19. La naturaleza, oportunidad y alcance de la dirección y supervisión de los miembros del equipo del compromiso, así como de la revisión de su trabajo, varía dependiendo de muchos factores, incluyendo el tamaño y complejidad de la entidad, el área de auditoría, los riesgos de error significativo y las habilidades y competencia del personal que realiza el trabajo de auditoría. La NIA 220 contiene lineamientos detallados sobre la dirección, supervisión y revisión del trabajo de auditoría.
20. El auditor planifica la naturaleza, oportunidad y alcance de la dirección y supervisión de los miembros del equipo de auditoría con base en el riesgo evaluado de error significativo. A medida que aumenta el riesgo evaluado de error significativo, para el área de riesgo de auditoría, el auditor generalmente aumenta el alcance y la puntualidad de la dirección y supervisión de los miembros del equipo del compromiso, y realiza una revisión más detallada de su trabajo. De manera similar, el auditor planifica la naturaleza, oportunidad y alcance de la revisión del trabajo del equipo del compromiso con base en las habilidades y competencia de los miembros individuales del equipo que realizan el trabajo de auditoría.
21. En las auditorías de entidades pequeñas, el socio del compromiso puede llevar a cabo una auditoría completamente (que pueden ser un solo profesional). En tales situaciones, no surgen preguntas acerca de la dirección y supervisión de los miembros del equipo del compromiso ni de la revisión de su trabajo, ya que socio del compromiso de auditoría, habiendo conducido personalmente todos los aspectos del trabajo, está al tanto de todos los asuntos significativos. A pesar de esto, el socio del compromiso de auditoría (o único profesional) necesita obtener satisfacción de que la auditoría se condujo de conformidad con las NIA. La formación de una
opinión objetiva sobre el hecho de que los juicios hechos durante la auditoría sean adecuados o no, puede presentar problemas prácticos cuando el mismo individuo también realizó auditoría completa. Cuando se presentan asuntos particularmente complejos o inusuales, y la auditoría la realiza un solo profesional, puede ser preferible planificar una consulta con otros auditores, u organismo profesional de auditores, que tengan la debida experiencia.
Documentación
22. El auditor debe documentar la estrategia global de auditoría y el plan de auditoría, incluyendo cualquier cambio significativo hecho durante el compromiso de auditoría.
23. La documentación del auditor de la estrategia global de auditoría registra las decisiones claves que se consideran necesarias para planificar adecuadamente la auditoría y para comunicar los asuntos significativos al equipo del compromiso. Por ejemplo, el auditor puede resumir la estrategia global de auditoría en la forma de un memorando que contiene las decisiones claves en relación con el alcance general, oportunidad y conducción de la auditoría.
24. La documentación del plan de auditoría por parte del auditor es suficiente para demostrar la naturaleza, oportunidad y alcance planificados de los procedimientos de evaluación de riesgos, y los procedimientos de auditoría adicionales en el nivel de aserciones para cada clase significativa de transacción, saldo de cuenta y divulgación como respuesta a los riesgos evaluados. El auditor puede usar programas de auditoría estándares o listas de verificación de finalización de la auditoría. Sin embargo, cuando se usan tales programas estándares o listas de verificación, el auditor los adapta adecuadamente dependiendo de las circunstancias particulares del compromiso.
25. La documentación del auditor sobre cualquier cambio significativo de la estrategia global de auditoría planificada originalmente, así como del plan detallado de auditoría, incluye las razones que fundamentan los cambios significativos y la respuesta del auditor ante los sucesos, condiciones o resultados de los procedimientos de auditoría que originaron tales cambios. Por ejemplo, el auditor puede modificar significativamente la estrategia global de auditoría planificada y el plan de auditoría como resultado de una combinación de negocios significativa, o la identificación de un error significativo de los estados financieros. Un registro de los cambios significativos hechos a la estrategia global de auditoría y al plan de auditoría, así como de los cambios resultantes a la naturaleza, oportunidad y alcance planificados de los procedimientos de auditoría, explica la estrategia global y el plan de auditoría que se adoptaron finalmente para la auditoría y demuestra la respuesta adecuada a los cambios significativos que ocurren durante la auditoría.
26. La forma y alcance de la documentación dependen de asuntos tales como el tamaño y la complejidad de la entidad, la importancia relativa, el alcance de otra documentación y las circunstancias del compromiso de auditoría específico.
Comunicaciones con las personas a cargo de la administración y el manejo
27. El auditor puede discutir los elementos de la planificación con las personas encargadas de la administración y del manejo de la entidad. Estas discusiones pueden formar parte de las comunicaciones globales que se requiere mantener con las personas encargadas de la administración de la entidad, o pueden hacerse para mejorar la efectividad y la eficacia de la auditoría. Las discusiones con las personas a cargo de la administración generalmente incluyen la estrategia global de la auditoría y el momento de la auditoría, incluyendo cualquier limitación de las mismas, así como cualquier requerimiento adicional. Las discusiones con la gerencia ocurren frecuentemente para facilitar la conducción y manejo del compromiso de auditoría (por ejemplo, para coordinar algunos de los procedimientos de auditoría planificados con el trabajo del personal de la entidad). Aunque generalmente se dan estas discusiones, la estrategia global de la auditoría y el plan de auditoría siguen siendo responsabilidad del auditor. Cuando ocurren las discusiones de los asuntos incluidos en la estrategia global de la auditoría o en el plan de auditoría, se requiere tener cuidado para no comprometer la efectividad de la auditoría. Por ejemplo, el auditor considera si el discutir la naturaleza y oportunidad de los procedimientos de auditoría detallados con la gerencia compromete la efectividad de la auditoría haciendo que los procedimientos de auditoría sean demasiado predecibles.
Consideraciones adicionales en los compromisos de auditoría iniciales
28. El auditor debe realizar las siguientes actividades antes de comenzar una auditoría inicial:
a. Realizar procedimientos en relación con la aceptación de la relación del cliente y el compromiso específico de la auditoría (véase la NIA 220 para conocer los lineamientos adicionales).
b. Comunicarse con el auditor anterior, cuando haya habido un cambio de auditores, en cumplimiento con los requerimientos éticos pertinentes.
29. El propósito y objetivo de planificar la auditoría son los mismos si la auditoría es un compromiso inicial o un compromiso recurrente. Sin embargo, para una auditoría inicial, puede ser necesario que el auditor amplíe las actividades de planificación porque el auditor generalmente no tiene la experiencia previa con la entidad que se considera cuando se planifican compromisos recurrentes. Para las auditorías iniciales, el auditor puede considerar asuntos adicionales al desarrollar la estrategia global de auditoría y el plan de auditoría, entre los que se incluyen:
A menos que las leyes o reglamentos lo prohíban, debe considerar los acuerdos que se harán con el auditor anterior; por ejemplo, para revisar los papeles de trabajo de este.
Cualquier asunto importante (incluyendo la aplicación de principios contables o de auditoría y las normas de emisión de informes) discutido con la gerencia en relación con la selección inicial como auditores, la comunicación de estos asuntos a las personas encargadas de la administración de la entidad y de qué manera estos asuntos afectan la estrategia global de auditoría y el plan de auditoría.
Los procedimientos de auditoría planificados para obtener evidencia de auditoría suficiente y adecuada en relación con los saldos de apertura (véase el párrafo 2 de la NIA 510, “Compromisos iniciales - saldos de apertura”).
La designación de personal de la firma con los niveles adecuados de habilidades y competencia para responder a los riesgos significativos esperados.
Otros procedimientos requeridos por el sistema de control de calidad de la firma para compromisos de auditoría iniciales (por ejemplo, el sistema de control de calidad de la firma puede requerir la participación de otro socio o individuo de la alta gerencia para revisar la estrategia global de auditoría antes de comenzar a aplicar los procedimientos de auditoría significativos o para revisar los informes antes de su emisión).
Fecha de vigencia
30. Esta NIA entra en vigencia para las auditorías de estados financieros de los períodos que comienzan el 15 de diciembre de 2004 o en una fecha posterior.
Punto de vista del sector público
1. Esta NIA es aplicable en todos los aspectos de importancia relativa a las auditorías de entidades pertenecientes al sector público.
2. Algunos de los términos usados en esta NIA tales como “socio del compromiso” y “firma” deben entenderse como términos que hacen referencia a sus equivalentes en el sector público.
3. El párrafo 6 de esta NIA hace referencia a la NIA 210, “Condiciones de los compromisos de auditoría” y a la NIA 220, “Control de calidad del trabajo de auditoría”3 . El punto de vista del sector público ante esas NIA contiene una discusión de su aplicabilidad a las auditorías de las entidades del sector público, y, por lo tanto, es relevante para la aplicación de esta NIA al sector público.
Apéndice – ejemplos de asuntos que puede considerar el auditor al establecer la estrategia global de auditoría
Este apéndice brinda ejemplos de asuntos que puede considerar el auditor al establecer la estrategia global de auditoría. Muchos de estos asuntos también ejercerán una influencia sobre el plan de auditoría detallado del auditor. Los ejemplos citados cubren una amplia variedad de asuntos que pueden aplicarse a muchos compromisos. Aunque otras NIA pueden requerir la aplicación de algunos de los asuntos mencionados a continuación, no todos los asuntos son relevantes para todos los compromisos de auditoría y la lista no es necesariamente completa. Además, el auditor puede considerar estos asuntos en un orden diferente del que se muestra a continuación.
Alcance del compromiso de auditoría
El auditor puede considerar los siguientes elementos al establecer el alcance del compromiso de auditoría:
La estructura de información financiera con base en la cual se preparó la información financiera que será auditada, incluyendo cualquier conciliación con otra estructura de información financiera que sea necesaria.
Los requerimientos de emisión de informes específicos de la industria, tales como los informes exigidos por entes reguladores de la industria.
La cobertura de auditoría esperada, incluyendo el número y ubicación de los componentes que serán incluidos.
La naturaleza de las relaciones de control entre una entidad matriz y sus componentes las cuales determinan de qué manera será consolidado el grupo.
El alcance al cual los componentes son auditados por otros auditores.
La naturaleza de los segmentos de negocio que serán auditados, incluyendo la necesidad de conocimiento especializado.
La moneda de la emisión de informes que será usada, incluyendo cualquier traducción de moneda que sea necesaria para la información financiera auditada.
La necesidad de una auditoría estatutaria de estados financieros independientes además de una auditoría para fines de consolidación.
La disponibilidad del trabajo de los auditores internos y el alcance de la confianza que puede tener el auditor en tal trabajo.
El uso de la entidad de las organizaciones de servicios y de qué manera el auditor puede obtener evidencia en relación con el diseño u operación de los controles aplicados por estas organizaciones.
El uso esperado de la evidencia de auditoría obtenida en auditorías anteriores; por ejemplo, la evidencia de auditoría relacionada con los procedimientos de evaluación de riesgos y las pruebas de controles.
El efecto de la tecnología de información sobre los procedimientos de auditoría, incluyendo la disponibilidad de la información y el uso esperado de las técnicas de auditoría asistidas por computadora.
La coordinación de la cobertura esperada y de la oportunidad del trabajo de auditoría con cualquier revisión de la información financiera interina y el efecto de la información obtenida durante tales revisiones sobre la auditoría.
La discusión de los asuntos que pueden afectar a la auditoría con el personal de la firma responsable por prestar otros servicios a la entidad.
La disponibilidad de personal e información del cliente
Objetivos de la emisión de informes, momento de la auditoría y comunicaciones requeridas
El auditor puede considerar los siguientes asuntos cuando cerciore los objetivos de la emisión de informes del compromiso, el momento de la auditoría y la naturaleza de las comunicaciones requeridas:
El cronograma de la entidad para la emisión de informes, tal como en etapas interinas y finales.
La organización de reuniones con la gerencia y con las personas a cargo de la administración de la entidad para discutir la naturaleza, alcance y momento del trabajo de auditoría.
La discusión con la gerencia y con las personas a cargo de la administración en relación con el tipo esperado y momento de los informes que serán emitidos y otras comunicaciones, tanto escritas como orales, incluyendo el informe del auditor, cartas de la gerencia y comunicaciones con las personas a cargo de la administración de la entidad.
La discusión con la gerencia en relación con las comunicaciones esperadas sobre el estatus del trabajo de auditoría durante el compromiso y la entrega de información esperada resultante de los procedimientos de auditoría.
La comunicación con los auditores de los componentes en relación con los tipos esperados y el momento de los informes que serán emitidos, así como otras comunicaciones relacionadas con la auditoría de los componentes.
La naturaleza esperada y el momento de las comunicaciones entre los miembros del equipo del compromiso, incluyendo la naturaleza y el momento de las reuniones del equipo y de la revisión del trabajo realizado.
Si existen otras comunicaciones esperadas con terceras partes, incluyendo cualquier responsabilidad estatutaria o contractual de emisión de informes que surge de la auditoría.
Dirección de la auditoría
El auditor puede considerar los siguientes asuntos al determinar la dirección de la auditoría:
Con respecto a la importancia relativa:
o Fijar la importancia relativa para fines de planificación
o Fijar y comunicar la importancia relativa de los auditores de los componentes.
o Reconsiderar la importancia relativa a medida que se realizan los procedimientos de auditoría durante el curso de la auditoría.
o Identificar los componentes significativos y saldos de cuenta.
o Determinar las áreas de auditoría en las que hay un riesgo mayor de error significativo.
o El impacto del riesgo evaluado de error significativo en el nivel global de estados financieros sobre la dirección, supervisión y revisión.
o La selección del equipo del compromiso (incluyendo, cuando sea necesario, el revisor del control de calidad del compromiso) y la asignación del trabajo de auditoría a los miembros del equipo, incluyendo la asignación de miembros del equipo adecuadamente experimentados a las áreas en las cuales pueden haber mayores riesgos de error significativo.
o Presupuesto del compromiso, incluyendo la consideración de la cantidad adecuada de tiempo que se reservará a las áreas en las cuales pueden haber mayores riesgos de error significativo.
o La manera en la cual el auditor enfatiza a los miembros del equipo del compromiso la necesidad de mantener una mente cuestionadora y de ejercer el escepticismo profesional al recolectar y evaluar la evidencia de auditoría.
o Los resultados de las auditorías anteriores que requirieron la evaluación de la efectividad operativa del control interno, incluyendo la naturaleza de las debilidades identificadas y las medidas tomadas para abordarlas.
o La evidencia del compromiso de la gerencia para el diseño y operación de un control interno sólido, incluyendo la evidencia de documentación adecuada de tal control interno.
o El volumen de las transacciones, que puede determinar si es más eficiente que el auditor confíe en el control interno.
o La importancia del control interno en toda la entidad para que el negocio opere exitosamente.
o Los desarrollos significativos del negocio que afectan a la entidad, incluyendo los cambios en la tecnología de la información y los procesos del negocio, cambios en la gerencia clave, y adquisiciones, fusiones y desinversiones
o Los desarrollos significativos de la industria, tales como cambios en los reglamentos de la industria y nuevos requerimientos de emisión de informes.
o Cambios significativos en la estructura de la emisión financiera, tales como cambios en las normas contables.
o Otros desarrollos significativos relevantes, tales como cambios en el ambiente legal que afectan a la entidad.
NIA - 310 Conocimiento del negocio
CONTENIDO Párrafos
Introducción 1-3
Obtención del conocimiento 4-8
Uso del conocimiento 9-12
Apéndice - Conocimiento del negocio - Asuntos a considerar Apen
Introducción
1. El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar lineamientos sobre lo que significa un conocimiento del negocio, por qué es importante para el auditor y los miembros del personal de una auditoría que desempeñan un compromiso, por qué es relevante para todas las fases de una auditoría, y cómo el auditor obtiene y usa dicho conocimiento.
2. Al desempeñar una auditoría de estados financieros, el auditor debería tener u obtener un conocimiento del negocio suficiente para que pueda identificar y comprender los eventos, transacciones y prácticas que, a su juicio, puedan tener un efecto importante sobre los estados financieros o en el examen o en el informe de auditoría. Por ejemplo, dicho conocimiento es usado por el auditor al evaluar los riesgos inherentes y de control y al determinar la naturaleza, tiempo y alcance de los procedimientos de auditoría.
3. El nivel de conocimiento del auditor para un compromiso incluiría un conocimiento general de la economía y la industria dentro de la que la entidad opera, y un conocimiento más particular de cómo opera la entidad. Sin embargo el nivel de conocimiento requerido por el auditor normalmente sería, , menor que el posee la gerencia. En el Apéndice se expone una lista de asuntos a considerar en un compromiso específico.
Obtención del conocimiento
4. Antes de aceptar el compromiso, el auditor debería obtener un conocimiento preliminar de la industria y de los dueños, la gerencia y operaciones de la entidad que va a ser auditada, y consideraría si puede obtenerse un nivel de conocimiento del negocio adecuado para desempeñar la auditoría.
5. Después de la aceptación del compromiso, se obtendría información adicional y más detallada. Al grado que sea factible, el auditor obtendría el conocimiento requerido al principio del trabajo. Al avanzar la auditoría, esa información sería evaluada y actualizada y se obtendría más información.
6. Obtener el conocimiento requerido del negocio es un proceso continuo y acumulativo de recopilación y evaluación de la información y de relacionar el conocimiento resultante con la evidencia de auditoría e información en todas las etapas de la auditoría. Por ejemplo, aunque la información se reúne en la etapa de planificación, normalmente se perfecciona y se aumenta en etapas posteriores de la auditoría a medida que los auditores y auxiliares tienen más conocimiento sobre el negocio.
7. En el caso de compromisos continuos, el auditor actualizaría y revaluaría la información reunida previamente, incluyendo información de los papeles de trabajo del año anterior. El auditor también desempeñaría procedimientos diseñados para identificar cambios importantes que hayan tenido lugar desde la última auditoría.
8. El auditor puede obtener un conocimiento de la industria y de la entidad de varias fuentes. Por ejemplo:
Experiencia previa con la entidad y su industria. Discusión con personas de la entidad (por ejemplo, directores, y personal
operativo senior).
Discusión con personal de auditoría interna y revisión de informes de auditoría interna.
Discusión con otros auditores y con asesores legales o de otro tipo que hayan proporcionado servicios a la entidad o dentro de la industria.
Discusión con personas conocedoras fuera de la entidad (por ejemplo, economistas de la industria, reguladores de la industria, clientes, proveedores, competidores).
Publicaciones relacionadas con la industria (por ejemplo, estadísticas de gobierno, encuestas, textos, revistas de comercio, informes preparados por bancos y corredores de valores, periódicos financieros).
Legislación y reglamentos que afecten de manera significativa a la entidad.
Visitas a los locales de la entidad y a instalaciones de sus plantas.
Documentos producidos por la entidad (por ejemplo, minutas de reuniones, material enviado a accionistas, o presentado a autoridades reguladoras, literatura promocional, informes anuales y financieros de años anteriores, presupuestos, informes internos de la gerencia, informes financieros provisionales, manual de políticas de la gerencia, manuales de sistemas de contabilidad y control interno, catálogo de cuentas, descripciones de puestos, planes de mercadotecnia y de ventas).
Uso del conocimiento
9. Un conocimiento del negocio es un marco de referencia dentro del cual el auditor ejerce su juicio profesional. Comprender el negocio y usar esta información apropiadamente ayuda al auditor para:
Evaluar riesgos e identificar problemas. Planificar y desempeñar la auditoría en forma efectiva y eficiente.
Evaluar evidencia de auditoría.
Proporcionar mejor servicio al cliente.
10. El auditor hace juicios sobre muchos asuntos a lo largo del curso de la auditoría en los que el conocimiento del negocio es importante. Por ejemplo:
Evaluar el riesgo inherente y el riesgo de control. Considerar los riesgos del negocio y la respuesta de la gerencia al respecto.
Desarrollar el plan global de auditoría y el programa de auditoría.
Determinar un nivel de importancia relativa y evaluar si éste que se escogió sigue siendo apropiado.
Evaluar la evidencia de auditoría para establecer si es apropiada y la validez de la aserciones relacionadas de los estados financieros.
Evaluar las estimaciones contables y las representaciones de la gerencia.
Identificar áreas donde pueden ser necesarias una consideración y habilidades de auditoría especiales.
Identificar partes relacionadas y transacciones de partes relacionadas.
Reconocer información contradictoria (por ejemplo, representaciones contradictorias).
Reconocer circunstancias inusuales (por ejemplo, fraude e incumplimiento con leyes y reglamentos, relaciones inesperadas de datos estadísticos de operación con los resultados financieros reportados).
Hacer investigaciones informadas y evaluar la razonabilidad de las respuestas
Considerar la adecuación de las políticas contables y de las divulgaciones de los estados financieros.
11. El auditor debería asegurarse que los auxiliares asignados a un trabajo de auditoría obtengan suficiente conocimiento del negocio para poder desarrollar el trabajo de auditoría delegado a ellos. El auditor se aseguraría también que comprenden la necesidad de estar alertas a la información adicional y la necesidad de compartir esa información con el auditor y los otros auxiliares.
12. Para hacer un uso efectivo del conocimiento del negocio, el auditor debería considerar cómo afecta a los estados financieros tomados como un todo y si las aserciones de los estados financieros son acordes con el conocimiento que el auditor tiene del negocio.
APÉNDICE: Conocimiento del negocio - Asuntos a considerar
Esta lista abarca un amplio rango de asuntos aplicables a muchos compromisos; sin embargo, no todos los asuntos serán relevantes para cada compromiso y el listado no es necesariamente completo.
A. Factores económicos generales
Nivel general de actividad económica (por ejemplo, recesión, crecimiento). Tasas de interés y disponibilidad de financiamiento.
Inflación, revaluación de la moneda.
Políticas gubernamentales
o monetaria
o fiscal
o impuestos - corporativo y otros
o incentivos financieros (por ejemplo, programas de ayuda del gobierno)
o tarifas, restricciones de comercio
Tasas y controles de moneda extranjera
B. La industria- condiciones importantes que afectan al negocio del cliente
El mercado y la competencia. Actividad cíclica o por temporada.
Cambios en la tecnología del producto.
Riesgo del negocio (por ejemplo, alta tecnología, alta moda, facilidad de entrada para la competencia).
Operaciones en reducción o en expansión.
Condiciones adversas (por ejemplo, demanda a la baja, capacidad en exceso, seria competencia de precios).
Índices clave y estadísticas de operación.
Prácticas y problemas de contabilidad específicos.
Requisitos y problemas ambientales.
Estructura reguladora.
Suministro y costo de energía.
Prácticas específicas o únicas (por ejemplo, relativas a contratos de trabajo, métodos financieros, métodos de contabilidad).
C. La entidad
1. Gerencia y propiedad-características importantes
Estructura corporativa-privada, pública, gobierno (incluyendo cualesquier cambios recientes o planeados).
Dueños beneficiarios y partes relacionadas (local, extranjero, reputación y experiencia del negocio).
Estructura del capital (incluyendo cualesquier cambios recientes o planeados).
Estructura organizacional.
Objetivos, filosofía, planes estratégicos de la gerencia.
Adquisiciones, fusiones o disposiciones de actividades del negocio (planificadas o recientemente ejecutadas).
Fuentes y métodos de financiamiento (actual, histórica).
Junta directiva
o composición
o reputación y experiencia individuales en negocios
o independencia de y control sobre la gerencia de operaciones
o frecuencia de reuniones
o existencia de un comité de auditoría y alcance de sus actividades
o cambios en asesores profesionales (por ejemplo, abogados)
Gerencia operativa
o experiencia y reputación
o rotación
o personal financiero clave y su estatus en la organización.
o personal del departamento de contabilidad
o incentivo o plan de bonos como parte de la remuneración (por ejemplo, con base en utilidades)
o uso de pronósticos y presupuestos
o presiones sobre la gerencia (por ejemplo, dominio sobreextendido de un individuo, soporte del precio de acciones, plazos límite irrazonables para anunciar resultados)
o sistemas de información de la gerencia
Función de auditoría interna (existencia, calidad).
Actitud hacia el entorno de control interno.
2. El negocio de la entidad-productos, mercados, proveedores, gastos, operaciones
Naturaleza del (los) negocio(s) (por ejemplo, manufacturero, mayorista, servicios financieros, importación/exportación).
Ubicación de instalaciones de producción. almacenes, oficinas.
Empleados (por ejemplo, por localidad, suministro, niveles salariales, contratos de sindicato, compromisos de pensión, reglamentación gubernamental).
Productos o servicios y mercados (por ejemplo, clientes importantes y contratos, términos de pago, márgenes de utilidad, participación del mercado, competidores, exportaciones, políticas de precios, reputación de productos, garantía, libreta de pedidos, tendencias, estrategia y objetivos de mercadotecnia, procesos de manufactura.
Proveedores importantes de bienes y servicios (por ejemplo, contratos a largo plazo, estabilidad del suministro, términos de pago, importaciones, métodos de entrega como "justo a tiempo").
Inventarios (por ejemplo, locaciones, cantidades).
Franquicias, licencias, patentes.
Categorías importantes de gastos.
Investigación y desarrollo
Activos, pasivos y transacciones en moneda extranjera-coberturas.
Legislación y reglamentos que afectan en forma importante a la entidad
Sistemas de información-actual, planes de cambio.
Estructura de deuda, incluyendo convenios y restricciones.
3. Desempeño financiero- factores concernientes a la condición financiera de la entidad y su capacidad de ganancias.
Índices clave y estadísticas de operación.
Tendencias.
4. Entorno para informes-influencias externas que afectan a la gerencia en la preparación de los estados financieros.
5. Legislación
Entorno y requerimientos reglamentarios.
Impuestos.
Temas de cuantificación y divulgación peculiares del negocio.
Requerimientos para informes de auditoría.
Usuarios de los estados financieros.
NIA 315 – Entendimiento de la entidad y su ambiente y evaluación de los riesgos de error significativo
Índice Párrafo
TEXTO COMPLETO
Introducción 1-5
Procedimientos de evaluación de riesgos y fuentes de información sobre la entidad y su entorno, incluyendo su control interno
6
Procedimientos de evaluación de riesgos 7-13
Discusión entre el equipo del compromiso 14-19
Entendimiento de la entidad y su entorno, incluyendo su control interno 20-2
Factores regulativos y de la industria y otros factores externos, incluyendo la estructura de información financiera aplicable.
22-24
Naturaleza de la entidad 25-29
Objetivos y estrategias y riesgos del negocio relacionados 30-34
Medición y revisión del desempeño financiero de la entidad 35-40
Control interno 41-99
Evaluación de los riesgos de error significativo 100-107
Riesgos significativos que requieren de una consideración de auditoría especial 108-114
Riesgos para los cuales la sola aplicación de los procedimientos sustantivos no brinda evidencia de auditoría suficiente y apropiada
115-118
Revisión de la evaluación de riesgos 119
Comunicación con las personas a cargo de la administración y con la gerencia 120-121
Documentación 122-123
Fecha de vigencia 124
Perspectiva del sector público 1-3
Apéndice 1: Entendimiento de la entidad y su entorno Apen1
Apéndice 2: Componentes del control interno Apen2
Apéndice 3: Condiciones y sucesos que pueden indicar riesgos de error significativo Apen3
Introducción
Las Normas Internacionales de Auditoría (NIA) deben aplicarse, según sea apropiado, a la auditoría o revisión de la información financiera histórica.
Las NIA contienen los principios básicos y procedimientos esenciales (identificados en negritas de color negro) junto con los lineamientos
relacionados en la forma de material explicativo y de otro tipo, incluyendo los apéndices. Los principios básicos y los procedimientos esenciales deberán interpretarse y aplicarse en el contexto del material explicativo y de otro tipo que proporciona lineamientos para su aplicación. Por esta razón, es necesario considerar el texto completo de cada NIA para entender y aplicar los principios básicos y los procedimientos esenciales.
La naturaleza de las NIA requiere que los auditores ejerzan su juicio profesional al aplicarlas. En circunstancias excepcionales, un auditor puede juzgar necesario apartarse de un principio básico o procedimiento esencial de una NIA para lograr en forma más efectiva el objetivo de la auditoría. Cuando surge una situación así, el auditor debe estar preparado para justificar la desviación.
En la NIA se aclara cualquier limitación de la aplicabilidad de una NIA específica.
En los casos en que los principios básicos específicos, los procedimientos esenciales o los lineamientos de una NIA no sean aplicables en un entorno del sector público, o cuando sea apropiado aplicar lineamientos adicionales en tal entorno, el Comité del Sector Público de la Federación Internacional de Contadores lo indica en la Perspectiva del sector público (PSP) al final de cada NIA. Cuando no se incluye la sección de PSP, la NIA debe aplicarse a los compromisos en el sector público según los lineamientos que se indican en la norma.
1. El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y brindar lineamientos sobre la obtención de un entendimiento de la entidad y su entorno, incluyendo su control interno, y sobre la evaluación de los riesgos de error significativo en una auditoría de estados financieros. La importancia de la evaluación de riesgos por parte del auditor como base para los procedimientos de auditoría adicionales se discute en la explicación del riesgo de auditoría de la NIA 200, “Objetivo y principios generales que rigen una auditoría de estados financieros”.
2. El auditor debe obtener un entendimiento de la entidad y su entorno, incluyendo su control interno, suficiente como para identificar y evaluar los riesgos de error significativo de los estados financieros, bien sea debido a fraude o a error, y suficiente como para diseñar y realizar procedimientos de auditoría adicionales. La NIA 500, “Evidencia de auditoría”, requiere que el auditor use aserciones suficientemente detalladas para formar una base para evaluar los riesgos de error significativo y el diseño y desempeño de procedimientos de auditoría adicionales. Esta NIA requiere que el auditor haga evaluaciones de riesgos en el nivel del estado financiero y de aserciones con base en un entendimiento apropiado de la entidad y su entorno, incluyendo su control interno. La NIA 330, “Procedimientos del auditor como respuesta a los riesgos evaluados” discute la responsabilidad del auditor de determinar las respuestas globales y de diseñar y realizar procedimientos de auditoría adicionales cuya naturaleza, oportunidad y alcance responda a las evaluaciones de riesgos. Los requerimientos y lineamientos de esta NIA deben aplicarse en conjunto con los requerimientos y lineamientos provistos en otras NIA. En particular, los lineamientos adicionales en
relación con la responsabilidad del auditor para evaluar los riesgos de error significativo debido a fraude se discute en la NIA 240, “Responsabilidad del auditor de considerar fraude y error en una auditoría de estados financieros”.
3. A continuación se presenta una visión general de los requerimientos de esta norma:
Procedimientos de evaluación de riesgos y fuentes de información sobre la entidad y su entorno, incluyendo su control interno. Esta sección explica los procedimientos de auditoría que se requiere que el auditor realice para obtener el entendimiento de la entidad y su entorno, incluyendo su control interno (procedimientos de evaluación de riesgos). Igualmente, se requiere la discusión entre el equipo de compromiso acerca de la susceptibilidad de los estados financieros de la entidad al error significativo.
Entendimiento de la entidad y su entorno, incluyendo su control interno. Esta sección requiere que el auditor entienda los aspectos especificados de la entidad y su entorno, y los componentes de su control interno, para identificar y evaluar los riesgos de error significativo.
Evaluación de los riesgos de error significativo. Esta sección requiere que el auditor identifique y evalúe los riesgos de error significativo en los niveles de estado financiero y de aserciones. En este sentido, el auditor debe:
o Identificar los riesgos tomando en cuenta la entidad y su entorno, incluyendo los controles relevantes, y considerando las clases de transacciones, saldos de cuenta y divulgaciones en los estados financieros.
o Relacionar los riesgos identificados con lo que puede salir mal en el nivel de aserciones.
o Considerar la importancia y probabilidad de los riesgos.
Esta sección también requiere que el auditor determine si cualquiera de los riesgos evaluados son riesgos significativos que requieran de una consideración especial de la auditoría o si son riesgos para los cuales la sola aplicación de procedimientos sustantivos no brinda evidencia de auditoría suficiente y apropiada. Se requiere que el auditor evalúe el diseño de los controles de la entidad, incluyendo las actividades de control relevantes, sobre dichos riesgos y determine si estos han sido ejecutados.
Comunicación con las personas a cargo de la administración y con la gerencia. Esta sección trata sobre los asuntos relacionados con el control interno que comunica el auditor a las personas a cargo de la administración y a la gerencia.
Documentación. Esta sección establece los requerimientos de documentación relacionados.
4. La obtención de un entendimiento de la entidad y su entorno es un aspecto esencial al realizar una auditoría de conformidad con las NIA. En particular,
ese entendimiento establece un marco de referencia dentro del cual el auditor planifica la auditoría y ejerce su juicio profesional sobre la evaluación de los riesgos de error significativo de los estados financieros y responde a esos riesgos durante la auditoría, por ejemplo cuando:
Establece la importancia relativa y evalúa si el juicio acerca de la importancia relativa sigue siendo apropiado a medida que avanza la auditoría.
Considera si la selección y aplicación de las políticas contables es apropiada, y si las divulgaciones de los estados financieros son adecuadas.
Identifica áreas en las que puede ser necesario dar una consideración de auditoría especial; por ejemplo, transacciones entre partes relacionadas, si el uso que da la gerencia al supuesto de empresa en marcha es apropiado o considerar el propósito de negocio de las transacciones.
Desarrolla expectativas en cuanto al uso cuando aplica procedimientos analíticos.
Diseña y realiza procedimientos de auditoría adicionales para reducir el riesgo de auditoría a un nivel aceptablemente bajo.
Evalúa si la evidencia de auditoría obtenida es suficiente y adecuada, tal como si los supuestos y las representaciones orales y escritas de la gerencia son apropiados.
5. El auditor usa su juicio profesional para determinar el alcance del entendimiento requerido de la entidad y su entorno, incluyendo su control interno. La consideración principal del auditor es si el entendimiento que se ha obtenido es suficiente para evaluar los riesgos de error significativo de los estados financieros, y para diseñar y realizar procedimientos de auditoría adicionales. La profundidad del entendimiento global que requiere el auditor al realizar la auditoría es menor que el que posee la gerencia al dirigir la entidad.
Procedimientos de evaluación de riesgos y fuentes de información acerca de la entidad y su entorno, incluyendo su control interno
6. La obtención de un entendimiento de la entidad y su entorno, incluyendo su control interno, es un proceso continuo y dinámico de recolección, actualización y análisis de información durante la auditoría. Como se describe en la NIA 500, los procedimientos de auditoría para obtener un entendimiento se denominan “procedimientos de evaluación de riesgos”, porque el auditor puede usar alguna información obtenida al realizar tales procedimientos como evidencia de auditoría para respaldar las evaluaciones de los riesgos de error significativo. Además, al realizar los procedimientos de evaluación de riesgos, el auditor puede obtener evidencia de auditoría acerca de las clases de transacciones, saldos de cuenta o divulgaciones y aserciones relacionadas y sobre la efectividad operativa de los controles, aunque tales procedimientos de auditoría no se
hayan planificado específicamente como procedimientos sustantivos o como pruebas de controles. El auditor también puede decidir realizar procedimientos sustantivos o pruebas de controles conjuntamente con procedimientos de evaluación de riesgos, porque es eficaz hacer esto.
Procedimientos de evaluación de riesgos
7. El auditor debe realizar los siguientes procedimientos de evaluación de riesgos para obtener un entendimiento de la entidad y su entorno, incluyendo su control interno:
a. entrevistas con la gerencia y con otras personas dentro de la entidad;
b. procedimientos analíticos; y
c. observación e inspección.
No se requiere que el auditor realice todos los procedimientos de evaluación de riesgos descritos anteriormente para cada aspecto del entendimiento descrito en el párrafo 20. Sin embargo, el auditor aplica todos los procedimientos de evaluación de riesgos mientras obtiene el entendimiento requerido.
8. Además, el auditor realiza otros procedimientos de auditoría en los que la información obtenida puede ser útil para identificar los riesgos de error significativo. Por ejemplo, el auditor puede considerar entrevistarse con el asesor legal externo de la entidad o de los expertos de valuación que ha usado la entidad. Para obtener información sobre la entidad también puede ser útil revisar información obtenida de fuentes externas como informes de analistas, bancos, o agencias de tasación; diarios de comercio y economía; o publicaciones regulativas o financieras.
9. Aunque gran parte de la información que obtiene el auditor mediante entrevistas puede obtenerse de la gerencia y de las personas responsables de la información financiera, el entrevistar a otras personas dentro de la entidad, como al personal de producción y al personal de auditoría interna, y otros empleados con diferentes niveles de autoridad, puede ser útil para brindar al auditor un punto de vista diferente para identificar los riesgos de error significativo. Al determinar las otras personas dentro de la entidad a quienes puede dirigirse las entrevistas, y el alcance de esas entrevistas, el auditor considera cuál información puede obtenerse para ayudar al auditor a identificar los riesgos de error significativo. Por ejemplo:
Las entrevistas dirigidas a las personas a cargo de la administración pueden ayudar al auditor a entender el entorno en el cual se preparan los estados financieros.
Las entrevistas dirigidas al personal de auditoría interna pueden relacionarse con sus actividades en relación con el diseño y efectividad del control interno de la entidad y si la gerencia ha respondido satisfactoriamente a cualquier hallazgo proveniente de estas actividades.
Las entrevistas a los empleados implicados en la iniciación, procesamiento o registro de transacciones complejas o inusuales pueden ayudar al auditor a evaluar si la selección y aplicación de ciertas políticas contables son apropiadas.
Las entrevistas dirigidas al asesor legal interno pueden relacionarse con asuntos tales como litigios, cumplimiento con las leyes y reglamentos, conocimiento de fraude o sospecha de fraude que afecta a la entidad, garantías, obligaciones posventa, acuerdos (como negocios conjuntos) con socios del negocio y el significado de las condiciones del contrato.
Las entrevistas dirigidas al personal de mercadeo o de ventas pueden relacionarse con los cambios de la entidad en las estrategias de mercadeo, tendencias de venta o acuerdos contractuales con sus clientes.
10. Los procedimientos analíticos pueden ser útiles para identificar la existencia de transacciones o sucesos inusuales, y montos, relaciones y tendencias que podrían indicar asuntos que tienen implicaciones de los estados financieros y de la auditoría. Al realizar los procedimientos analíticos como procedimientos de evaluación de riesgos, el auditor debe desarrollar expectativas sobre relaciones plausibles que se espera razonablemente que existan. Cuando la comparación de esas expectativas con los montos o relaciones registrados desarrollada de los montos registrados origina relaciones inusuales o inesperadas, el auditor debe considerar esos resultados al identificar los riesgos de error significativo. Sin embargo, cuando estos procedimientos analíticos usan información incluida a un nivel alto (que generalmente es la situación que se presenta), los resultados de estos procedimientos analíticos sólo brindan una amplia indicación inicial sobre si puede existir un error significativo. De acuerdo con esto, el auditor debe considerar los resultados de dichos procedimientos analíticos junto con otra información recolectada para identificar los riesgos de error significativo. Véase la NIA 520, “Procedimientos analíticos”, para obtener lineamientos adicionales sobre el uso de los procedimientos analíticos
11. La observación e inspección pueden respaldar las entrevistas a la gerencia y a otras personas, así como también brindan información sobre la entidad y su entorno. Tales procedimientos de auditoría generalmente incluyen los siguientes elementos:
Observación de las actividades y operaciones de la entidad. Inspección de los documentos (tales como planes y estrategias del
negocio), registros y manuales de control interno.
Lectura de los informes preparados por la gerencia (tales como informes trimestrales de la gerencia y estados financieros interinos) y por las personas a cargo de la administración (tales como minutas de las reuniones del consejo de administración).
Visitas a las premisas de la entidad e instalaciones de la planta.
Rastreo de las transacciones a través del sistema de información relevante para la información financiera (apreciaciones preliminares).
12. Cuando el auditor tiene la intención de usar información acerca de la entidad y su entorno obtenido en períodos anteriores, el auditor debe determinar si los cambios han ocurrido que pueden afectar la importancia de tal información en la auditoría corriente. Para los compromisos continuos, la experiencia previa del auditor con la entidad contribuye con el entendimiento de la entidad. Por ejemplo, los procedimientos de auditoría realizados en auditorías previas generalmente brindan evidencia de auditoría acerca de la estructura organizacional, negocio y controles de la entidad, así como información sobre errores pasados y si estos fueron corregidos de manera oportuna, lo cual ayuda al auditor a evaluar los riesgos de error significativo en la auditoría corriente. Sin embargo, dicha información puede haberse hecho irrelevante por los cambios en la entidad o en su entorno. El auditor hace indagaciones y aplica otros procedimientos de auditoría apropiados, como apreciaciones preliminares de los sistemas, para determinar si han ocurrido cambios que puedan afectar la importancia de esta información.
13. Cuando sea relevante para la auditoría, el auditor también debe considerar otra información como la obtenida de la aceptación del cliente por parte del auditor o del proceso de continuidad o, cuando sea factible, la experiencia obtenida de otros compromisos realizados para la entidad, por ejemplo, los compromisos para revisar la información financiera interina.
Discusión entre el equipo de compromiso
14. Los miembros del equipo de compromiso deben discutir la susceptibilidad de los estados financieros de la entidad a los errores significativos.
15. El objetivo de esta discusión es que los miembros del equipo de compromiso obtengan un mejor entendimiento del potencial de errores significativos de los estados financieros resultantes de fraude o error en las áreas específicas asignadas a ellos, y entender de qué manera los resultados de los procedimientos de auditoría que realizan pueden afectar otros aspectos de la auditoría, incluyendo las decisiones sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales.
16. La discusión brinda una oportunidad para que los miembros del equipo de compromiso más experimentados, incluyendo el socio de compromiso, compartan sus conocimientos basándose en su conocimiento de la entidad, y para que los miembros del equipo intercambien información sobre los riesgos del negocio1 a los que la entidad está sujeto y sobre cómo y dónde los estados financieros pueden estar susceptibles a errores significativos. Como se requiere en la NIA 240, debe darse un énfasis particular a la susceptibilidad que tienen los estados financieros de la entidad a la ocurrencia de errores significativos debido a fraude. La discusión también aborda la aplicación de la estructura de información financiera aplicable a los hechos y circunstancias de la entidad.
17. Se usa el juicio profesional para determinar cuáles miembros del equipo del compromiso se incluyen en la discusión, cómo y cuándo ocurre, y el alcance de la discusión. Los miembros claves del equipo del compromiso generalmente participan en la discusión; sin embargo, no es necesario que todos los miembros del equipo
tengan un conocimiento integral de todos los aspectos de la auditoría. El alcance de la discusión se ve influenciado por los roles, experiencia y necesidades de información de los miembros del equipo de compromiso. En una auditoría de múltiples ubicaciones, por ejemplo, puede haber varias discusiones en las que participan los miembros claves del equipo del compromiso en cada ubicación significativa. Otro factor que se debe considerar al planificar las discusiones es si se deben incluir los expertos asignados al equipo del compromiso. Por ejemplo, el auditor puede determinar que es necesario incluir en el equipo del compromiso a un profesional que posea tecnología de la información especialista (IT)2 u otras destrezas y, por tanto, incluye a ese individuo en la discusión.
18. Como se requiere en la NIA 200, el auditor planifica y realiza la auditoría con una actitud de escepticismo profesional. La discusión entre los miembros del equipo del compromiso hace énfasis en la necesidad de mantener el escepticismo profesional durante el compromiso, para estar alerta de la información u otras condiciones que indiquen que puede haber ocurrido un error significativo debido a fraude o error, y para ser riguroso al hacer seguimiento de estas indicaciones
19. Dependiendo de las circunstancias de la auditoría, pueden haber discusiones adicionales que faciliten el intercambio continuo de información entre los miembros del equipo del compromiso en relación con la susceptibilidad de los estados financieros de la entidad a errores significativos. El propósito es que los miembros del equipo del compromiso comuniquen y compartan la información obtenida durante la auditoría que pueda afectar la evaluación de los riesgos de error significativo debido a fraude o error o los procedimientos de auditoría realizados para abordar los riesgos.
Entendimiento de la entidad y su entorno, incluyendo su control interno
20. El entendimiento que tiene el auditor de la entidad y su entorno consiste de un entendimiento de los siguientes aspectos:
a. Los factores regulativos, de la industria y otros factores externos, incluyendo la estructura de información financiera aplicable.
b. La naturaleza de la entidad, incluyendo la selección y aplicación de las políticas contables por parte de la entidad.
c. Los objetivos y estrategias y los riesgos del negocio relacionados que pueden originar un error significativo de los estados financieros.
d. Medición y revisión del desempeño financiero de la entidad.
e. Control interno.
El Apéndice 1 contiene ejemplos de asuntos que puede considerar el auditor para obtener un entendimiento de la entidad y su entorno en relación con las categorías (a) a (d) anteriores. El Apéndice 2 contiene una explicación detallada de los componentes de control interno.
21. La naturaleza, oportunidad y alcance de los procedimientos de evaluación de riesgos realizados dependen de las circunstancias del compromiso como el tamaño y complejidad de la entidad y la experiencia del auditor con estos. Además, la identificación de los cambios significativos en cualquiera de los aspectos anteriores de la entidad con respecto a períodos anteriores tiene una importancia particular para obtener un entendimiento suficiente de la entidad para así identificar y evaluar los riesgos de error significativo.
Factores regulativos, de la industria y otros factores externos, incluyendo la estructura de información financiera aplicable
22. El auditor debe obtener un entendimiento de los factores relevantes en el ámbito regulativo, de la industria y otros factores externos, incluyendo la estructura de información financiera aplicable. Estos factores incluyen condiciones de la industria tales como el ambiente competitivo, relaciones con el proveedor y el cliente y desarrollos tecnológicos; el ambiente regulativo integra, entre otras cosas, la estructura de la información financiera aplicable, el ambiente legal y político, y los requerimientos ambientales que afectan a la industria y a la entidad; y otros factores externos tales como condiciones económicas generales. Véase la NIA 250, “Consideración de leyes y reglamentos en una auditoría de estados financieros”, para conocer los requerimientos adicionales relacionados con la estructura legal y regulativa aplicable a la entidad y la industria.
23. La industria en la cual opera la entidad puede originar riesgos específicos de error significativo que surgen de la naturaleza del negocio o del grado de regulación. Por ejemplo, los contratos a largo plazo pueden implicar estimaciones significativas de ingresos y costos que originan riesgos de error significativo. En tales casos, el auditor debe considerar si el equipo de compromiso incluye miembros con suficiente conocimiento y experiencia relevantes.
24. Frecuentemente, los requerimientos legislativos y reglamentarios determinan la estructura de información financiera aplicable que será usada por la gerencia al preparar los estados financieros de la entidad. En la mayoría de los casos, la estructura de información financiera aplicable será la de la jurisdicción en la cual la entidad está registrada o funciona y en la que se basa el auditor, y el auditor y la entidad tendrán un entendimiento común de esa estructura. En algunos casos, es posible que no haya estructura local de información financiera, en cuyo caso la entidad tomará su decisión basándose en la práctica local, la práctica de la industria, las necesidades del usuario u otros factores. Por ejemplo, los competidores de la entidad pueden aplicar las Normas Internacionales de Información Financiera (NIIF) y la entidad puede determinar que las NIIF también son apropiadas para sus requerimientos de información financiera. El auditor debe considerar si los reglamentos locales especifican ciertos requerimientos de información financiera para la industria en la cual funciona la entidad, ya que los estados financieros pueden tener errores significativos en el contexto de la estructura de información financiera aplicable si la gerencia no logra preparar los estados financieros de acuerdo con tales reglamentos.
Naturaleza de la entidad
25. El auditor debe obtener un entendimiento de la naturaleza de la entidad. La naturaleza de una entidad hace referencia a las operaciones de la entidad, su posesión y administración, los tipos de inversiones que hace y planifica hacer, la manera en que la entidad está estructurada y cómo está financiada. Un entendimiento de la naturaleza de una entidad permite que el auditor entienda las clases de transacciones, saldos de cuenta y divulgaciones que se esperarán en los estados financieros.
26. La entidad puede tener una estructura compleja con filiales u otros componentes en varios lugares. Además de las dificultades de consolidación en tales casos, otros asuntos con estructuras complejas que pueden originar riesgos de error significativo incluyen: la distribución de la plusvalía entre los segmentos de negocio y su deterioro del valor; si las inversiones son negocios conjuntos, filiales o inversiones contabilizadas usando el método de participación, y si las entidades con cometido especial son contabilizadas de manera apropiada.
27. También es importante entender la posesión y las relaciones entre los propietarios y otras personas o entidades para determinar si se han identificado las transacciones entre las partes relacionadas y si se han contabilizado apropiadamente. La NIA 550, “Partes relacionadas”, brinda lineamientos adicionales sobre las consideraciones del auditor que son relevantes para las partes relacionadas.
28. El auditor debe obtener un entendimiento de la selección y aplicación de las políticas contables por parte de la entidad, y considerar si son apropiadas para su negocio y uniformes con la estructura de información financiera aplicable y las políticas contables usadas en la industria relevante. El entendimiento integra los métodos que usa la entidad para contabilizar las transacciones significativas e inusuales; el efecto de las políticas contables significativas en áreas controversiales o emergentes para las cuales hay una falta de lineamientos autorizados o consenso; y los cambios en las políticas contables de la entidad. El auditor también identifica las normas de información financiera y los reglamentos que son nuevos para la entidad y considera cuándo y cómo la entidad adoptará estos requerimientos. Cuando la entidad ha modificado su selección o método para aplicar una política contable significativa, el auditor debe considerar las razones del cambio y si es apropiado y uniforme con los requerimientos de la estructura de información financiera aplicable.
29. La presentación de los estados financieros de conformidad con la estructura de información financiera aplicable incluye una divulgación adecuada de los asuntos significativos. Estos asuntos se relacionan con la forma, acuerdo y contenido de los estados financieros y sus notas anexas, incluyendo, por ejemplo, la terminología usada, la cantidad de detalle suministrada, la clasificación de las partidas en los estados y la base de los montos establecidos. El auditor debe considerar si la entidad ha divulgado un asunto en particular de manera apropiada en vista de las circunstancias y hechos que conoce el auditor en el momento.
Objetivos y estrategias y riesgos del negocio relacionados
30. El auditor debe entender los objetivos y estrategias de la entidad, así como los riesgos del negocio relacionados que pueden originar errores significativos de los estados financieros. La entidad conduce su negocio en el contexto de la industria, factores regulativos y otros factores internos y externos. Para responder a estos factores, la gerencia de la entidad o las personas a cargo de la administración definen los objetivos, que son los planes globales para la entidad. Las estrategias son los enfoques operativos según los cuales la gerencia pretende lograr sus objetivos. Los riesgos del negocio se originan de condiciones significativas, sucesos, circunstancias, medidas o falta de medidas que podrían afectar de manera adversa la capacidad de la entidad de lograr sus objetivos y ejecutar sus estrategias, o mediante la determinación de objetivos y estrategias inapropiados. En el momento en que cambia el ambiente externo, la conducción del negocio de la entidad también se hace dinámica y las estrategias y objetivos de la entidad cambian en el tiempo.
31. El riesgo del negocio es mayor que el riesgo de error significativo de los estados financieros, aunque incluye este último. El riesgo del negocio puede surgir particularmente del cambio o complejidad, aunque una falla al reconocer la necesidad de cambio también puede originar un riesgo. El cambio puede surgir, por ejemplo, del desarrollo de nuevos productos que puede fallar; de un mercado inadecuado, incluso si está desarrollado exitosamente; o de las fallas que podrían originar pasivos y riesgo de reputación. Un entendimiento de los riesgos del negocio aumenta la probabilidad de identificar riesgos de error significativo. Sin embargo, el auditor no tiene la responsabilidad de identificar o evaluar todos los riesgos del negocio.
32. La mayoría de los riesgos del negocio eventualmente tendrán consecuencias financieras y, por tanto, un efecto sobre los estados financieros. Sin embargo, no todos los riesgos del negocio originan riesgos de error significativo. Un riesgo del negocio puede tener una consecuencia inmediata para el riesgo de error para las clases de transacciones, saldos de cuenta y divulgaciones en el nivel de aserción o los estados financieros en conjunto. Por ejemplo, el riesgo del negocio que surge de una base de cliente contraído debido a la consolidación de la industria, puede aumentar el riesgo de error asociado con la valuación de las cuentas por cobrar. Sin embargo, el mismo riesgo, particularmente en combinación con una economía contraída, también puede tener una consecuencia más a largo plazo, que el auditor considera cuando evalúa si la el supuesto de empresa en marcha es adecuada. La consideración del auditor sobre si un riesgo de negocio puede originar un error significativo, por lo tanto, se hace en vista de las circunstancias de la entidad. En el Apéndice 3 se presentan algunos ejemplos de condiciones y sucesos que pueden indicar riesgos de error significativo.
33. Usualmente la gerencia identifica los riesgos del negocio y desarrolla enfoques para abordarlos. Este proceso de evaluación de riesgos es parte del control interno y se discute en los párrafos 76 a 79.
34. Las entidades más pequeñas con frecuencia no establecen sus objetivos y estrategias, ni manejan los riesgos relacionados del negocio, mediante planes o procesos formales. En muchos casos es posible que no haya una documentación de tales asuntos. En estas entidades, el entendimiento del auditor generalmente se obtiene mediante entrevistas a la gerencia y observación de la manera en que la entidad responde a tales asuntos.
Medición y revisión del desempeño financiero de la entidad
35. El auditor debe entender la medición y revisión del desempeño financiero de la entidad. Las mediciones del desempeño y su revisión indican al auditor aspectos del desempeño de la entidad que la gerencia y otras personas consideran que son importantes. Las mediciones del desempeño, externas o internas, crean presiones sobre la entidad que, en cambio, pueden motivar a la gerencia a tomar medidas para mejorar el desempeño del negocio o para cometer errores en los estados financieros. El entendimiento de las medidas de desempeño de la entidad ayuda al auditor a considerar si estas presiones originan medidas de la gerencia que pueden haber aumentado los riesgos de error significativo.
36. La medición y revisión del desempeño financiero que hace la entidad debe distinguirse del monitoreo de los controles (que se discute como componente del control interno en los párrafos 96-99), aunque pueden tener propósitos comunes. Sin embargo, el monitoreo de los controles trata específicamente con la operación efectiva del control interno mediante la consideración de la información acerca del control. La medición y revisión del desempeño están dirigidas al hecho de que el desempeño del negocio cumpla o no con los objetivos establecidos por la gerencia (o terceras partes), pero en algunos casos los indicadores del desempeño también brindan información que permite que la gerencia identifique las deficiencias en el control interno.
37. La información generada internamente que usa la gerencia para este propósito puede incluir indicadores claves del desempeño (financieros y no financieros), presupuestos, análisis de varianza, información por segmento de negocio e informes del desempeño de divisiones, departamentos o de otros niveles, y comparaciones del desempeño de una entidad con el de sus competidores. Las partes externas también pueden medir y revisar el desempeño financiero de la entidad. Por ejemplo, la información externa tal como informes de analistas y de agencias de calificación del riesgo crediticio pueden brindar información útil para el entendimiento del auditor de la entidad y su ambiente. Estos informes con frecuencia se obtienen de la entidad que se está auditando.
38. Las mediciones internas pueden resaltar los resultados o tendencias inesperadas que requieran que la gerencia entreviste a otras personas para determinar su causa y tomar medidas correctivas (incluyendo, en algunos casos, la detección y corrección de los errores de manera oportuna). Las mediciones del desempeño también pueden indicar al auditor un riesgo de error en la información relacionada de los estados financieros. Por ejemplo, las mediciones del desempeño pueden indicar que la entidad tiene un crecimiento o rentabilidad inusualmente rápido cuando se comparan con el
de otras entidades de la misma industria. Dicha información, particularmente si está combinada con otros factores como los bonos que se basan en el desempeño o las remuneraciones por incentivos, pueden indicar el riesgo potencial de sesgo por parte de la gerencia cuando prepara los estados financieros.
39. Gran parte de la información usada para medir el desempeño puede producirse mediante el sistema de información de la entidad. Si la gerencia supone que la información usada para revisar el desempeño de la entidad es precisa, sin tener una base para hacer ese supuesto, pueden existir errores en la información, los cuales posiblemente harán que la gerencia haga conclusiones incorrectas sobre el desempeño. Cuando el auditor tiene la intención de usar las medidas del desempeño para fines de la auditoría (por ejemplo, para los procedimientos analíticos), el auditor debe considerar si la información relacionada con la revisión que hace la gerencia del desempeño de la entidad brinda una base confiable y es suficientemente precisa para ese fin. Si el auditor hace uso de las medidas del desempeño, debe considerar si son lo suficientemente precisas como para detectar errores significativos.
40. Las entidades más pequeñas generalmente no tienen procesos formales para medir y revisar el desempeño financiero de la entidad. Sin embargo, la gerencia con frecuencia confía en ciertos indicadores claves los cuales, según sugiere el conocimiento y la experiencia del negocio, son bases confiables para evaluar el desempeño financiero y la determinación de las medidas apropiadas.
Control interno
41. El auditor debe entender el control interno relevante para la auditoría. El auditor usa el entendimiento del control interno para identificar los tipos de error significativo, considerar los factores que afectan los riesgos de error significativo y diseñar la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales. El control interno relevante para la auditoría se discute en los párrafos 47-53 más adelante. Además, la profundidad del entendimiento se discute en los párrafos 54-56 más adelante.
42. El control interno es el proceso diseñado y efectuado por las personas a cargo de la administración, la gerencia y otro personal para brindar un aseguramiento razonable acerca del logro de los objetivos de la entidad con relación a la confiabilidad de la información financiera, la efectividad y la eficiencia de las operaciones y el cumplimiento con las leyes y reglamentos aplicables. Como consecuencia, el control interno es diseñado y ejecutado para abordar los riesgos del negocio identificados que amenazan el logro de cualquiera de estos objetivos.
43. El control interno, como se discute en esta NIA, consiste de los siguientes componentes:
a. El ambiente de controlb. El proceso de evaluación de riesgos de la entidad
c. El sistema de información, incluyendo los procesos relacionados del negocio, relevante para la información financiera, y la comunicación
d. Actividades de control
e. Monitoreo de los controles
El Apéndice 2 contiene una discusión detallada de los componentes del control interno.
44. La división del control interno en los cinco componentes brinda una estructura útil para que los auditores consideren de qué manera los diferentes aspectos del control interno de una entidad pueden afectar la auditoría. La división no necesariamente refleja de qué manera una entidad considera y ejecuta el control interno. Igualmente, la principal consideración del auditor es si, y cómo, un control específico previene, o detecta y corrige, los errores significativos en las clases de transacciones, saldos de cuenta o divulgaciones y sus aserciones relacionadas, en lugar de su clasificación en cualquier componente particular. De acuerdo con esto, los auditores pueden usar terminología o estructuras para describir los diversos aspectos del control interno, y su efecto sobre la auditoría que sean diferentes a las usadas en esta NIA, siempre que se aborden todos los componentes descritos en esta NIA
45. La manera en que el control interno está diseñado y ejecutado varía dependiendo del tamaño y complejidad de la entidad. Específicamente, las entidades más pequeñas pueden usar medios menos formales y procesos y procedimientos más simples para lograr sus objetivos. Por ejemplo, las entidades más pequeñas en las que la gerencia tiene una participación activa en el proceso de información financiera posiblemente no tendrán descripciones extensas de los procedimientos contables o de las políticas detalladas por escrito. En algunas entidades, en particular en las entidades muy pequeñas, el propietario-gerente3 puede realizar funciones que en una entidad más grande se consideraría que pertenecen a varios de los componentes del control interno. Por tanto, los componentes del control interno no pueden distinguirse claramente dentro de las entidades más pequeñas, pero sus propósitos subyacentes son igualmente válidos.
46. Para fines de esta NIA, el término “control interno” integra los cinco componentes del control interno que se indican arriba. Además, el término “controles” se refiere a uno o más de los componentes, o a cualquier aspecto de estos.
Controles relevantes para la auditoría
47. Existe una relación directa entre los objetivos de una entidad y los controles que esta ejecuta para brindar un aseguramiento razonable de su logro. Los objetivos de la entidad y, por lo tanto, de sus controles, se relacionan con la información financiera, las operaciones y el cumplimiento; sin embargo, no todos estos objetivos y controles son relevantes para la evaluación de riesgos por parte del auditor.
48. Generalmente, los controles que son relevantes para una auditoría pertenecen al objetivo de la entidad de preparar los estados financieros para fines externos que proporcionen una visión veraz y justa (o se presenten razonablemente, respecto de todo lo de una importancia relativa) de acuerdo con la estructura de información financiera aplicable y el manejo del riesgo que puede originar un error significativo en esos estados financieros. El hecho de que un control, individualmente o en combinación con otros, sea relevante para las consideraciones del auditor para evaluar los riesgos de error significativo y diseñar y realizar procedimientos adicionales como respuesta a los riesgos evaluados, es un asunto de juicio profesional del auditor, sujeto a los requerimientos de esta NIA. Al ejercer ese juicio, el auditor considera las circunstancias, el componente aplicable y factores tales como los siguientes:
El juicio del auditor sobre la importancia relativa. El tamaño de la entidad.
La naturaleza del negocio de la entidad, incluyendo sus características de organización y posesión.
La diversidad y complejidad de las operaciones de la entidad.
Los requerimientos legales y regulativos aplicables.
La naturaleza y complejidad de los sistemas que forman parte del control interno de la entidad, incluyendo el uso de las organizaciones de servicio.
49. Los controles sobre la integridad y precisión de la información producida por la entidad también pueden ser relevantes para la auditoría si el auditor tiene la intención de usar la información para diseñar y realizar procedimientos adicionales. La experiencia previa del auditor con la entidad, así como la información obtenida para entender a la entidad y su entorno durante la auditoría, ayuda al auditor a identificar los controles relevantes para la auditoría. Además, aunque el control interno se aplica a la entidad completa o a cualquiera de sus unidades operativas o procesos del negocio, es posible que no sea relevante para la auditoría un entendimiento del control interno en relación con cada una de las unidades operativas y procesos de negocio de la entidad.
50. Sin embargo, los controles relacionados con las operaciones y los objetivos del cumplimiento pueden ser relevantes para una auditoría si pertenecen a la información que evalúa o usa el auditor para aplicar los procedimientos de auditoría. Por ejemplo, los controles que pertenecen a la información no financiera que usa el auditor en los procedimientos analíticos, como estadísticas de producción, o controles que pertenecen a la detección del incumplimiento con las leyes y reglamentos que pueden tener un efecto directo y significativo sobre los estados financieros, tales como los controles sobre el cumplimiento con las leyes y reglamentos del impuesto sobre la renta usados para determinar la provisión para impuesto sobre la renta, pueden ser relevantes para una auditoría.
51. Generalmente, una entidad tiene controles relacionados con los objetivos que no son relevantes para una auditoría y, por lo tanto, no es necesario considerarlos. Por ejemplo, una entidad puede confiar en un sistema sofisticado de controles automatizados que brinde operaciones eficaces y efectivas (tal como un sistema de controles automatizados para aerolíneas comerciales que sirve para mantener los horarios de los vuelos), pero estos controles generalmente no serían relevantes para la auditoría.
52. El control interno sobre la salvaguarda de los activos contra una adquisición, uso o disposición inadecuados puede incluir controles relacionados con la información financiera y objetivos de las operaciones. Al obtener un entendimiento de cada uno de los componentes del control interno, la consideración del auditor de los controles de salvaguarda generalmente está limitada a los controles que sean relevantes para la confiabilidad de la información financiera. Por ejemplo, el uso de los controles de acceso, como contraseñas, que limitan el acceso a la información y a los programas que procesan las salidas de efectivo puede ser relevante para una auditoría de los estados financieros. Por el contrario, los controles que previenen el uso excesivo de los materiales en producción generalmente no son relevantes para una auditoría de los estados financieros.
53. Pueden existir controles que sean relevantes para la auditoría en cualquiera de los componentes del control interno y se incluye una discusión adicional de los controles relevantes para la auditoría bajo el título de cada uno de los componentes del control interno que se indican más adelante. Además, en los párrafos 113 y 115 se discute algunos riesgos para los cuales se requiere que el auditor evalúe el diseño de los controles de la entidad sobre tales riesgos y determine si han sido implementados.
Profundidad del entendimiento del control interno
54. La obtención de un entendimiento del control interno implica evaluar el diseño de un control y determinar si este ha sido ejecutado. La evaluación del diseño de un control implica considerar si el control, individualmente o en combinación con otros controles, tiene la capacidad de prevenir efectivamente, o detectar y corregir, los errores significativos. En la discusión de cada componente del control interno se incluye una explicación adicional. La ejecución de un control significa que el control existe y que la entidad lo está usando. El auditor debe considerar el diseño de un control cuando determina si considerará su ejecución. Un control diseñado de manera indebida puede representar una debilidad de importancia relativa4 en el control interno de la entidad y el auditor considera si debe comunicar esto a las personas a cargo de la administración y a la gerencia como se requiere en el párrafo 120.
55. Los procedimientos de evaluación de riesgos necesarios para obtener evidencia de auditoría sobre el diseño y ejecución de los controles relevantes pueden incluir entrevistar al personal de la entidad, observar la aplicación de los controles específicos, inspeccionar los documentos e informes, y rastrear las transacciones en el sistema de información
relevante para la información financiera. La sola entrevista no es suficiente para evaluar el diseño de un control relevante para una auditoría y para determinar si este ha sido ejecutado.
56. La obtención de un entendimiento de los controles de una entidad no es suficiente para servir como prueba de la efectividad operativa de los controles, a menos que haya alguna automatización que se encargue de la aplicación uniforme de la operación del control (los elementos manuales y automatizados de control interno relevantes para la auditoría se describen detalladamente más adelante). Por ejemplo, la obtención de evidencia de auditoría sobre la ejecución de un control aplicado manualmente en un momento no brinda evidencia de auditoría sobre la efectividad operativa del control en otras oportunidades durante el período que se está auditando. Sin embargo, tecnología de la información permite que una entidad procese grandes volúmenes de información de manera uniforme y mejora la capacidad de la entidad para monitorear el desempeño de las actividades de control y para lograr una división efectiva de las tareas ejecutando controles de seguridad en aplicaciones, bases de datos y sistemas operativos. Por lo tanto, debido a la uniformidad inherente del procesamiento de tecnología de la información, la realización de los procedimientos de auditoría para determinar si se ha ejecutado un control automatizado puede servir como una prueba de la efectividad operativa de ese control, dependiendo de la evaluación y las pruebas de controles, como las pruebas sobre los cambios en el programa, aplicadas por el auditor. Las pruebas de la efectividad operativa de los controles se describen más detalladamente en la NIA 330.
Características de los elementos manuales y automatizados del control interno relevantes para la evaluación de riesgos del auditor
57. La mayoría de las entidades usan los sistemas de tecnología de la información para fines operativos y de la información financiera. Sin embargo, incluso cuando se use tecnología de la información ampliamente, habrá elementos manuales en los sistemas. En este sentido, el equilibrio entre elementos manuales y automatizados varía. En algunos casos, particularmente en entidades más pequeñas y menos complejas, los sistemas pueden ser principalmente manuales. En otros casos, el alcance de la automatización puede variar ampliamente entre algunos sistemas sustancialmente automatizados con pocos elementos manuales relacionados y otros, incluso dentro de la misma entidad, predominantemente manuales. Como resultado, el sistema de control interno de una entidad probablemente contendrá elementos manuales y automatizados, cuyas características son relevantes para la evaluación del riesgo del auditor y para los procedimientos de auditoría adicionales que se basan en este.
58. El uso de elementos manuales o automatizados en el control interno también afecta la manera en la cual las transacciones son iniciadas, registradas, procesadas e informadas.5 Los controles de un sistema manual pueden incluir procedimientos tales como aprobaciones y revisiones de actividades, y conciliaciones y seguimiento
de las partidas que se concilian. Alternativamente, una entidad puede usar procedimientos automatizados para iniciar, registrar y procesar transacciones, así como informar sobre estas, en cuyo caso los registros en formato electrónico reemplazan los documentos en papel como órdenes de compra, facturas, documentos de envío y registros contables relacionados. Los controles en los sistemas de tecnología de la información consisten de una combinación de controles automatizados (por ejemplo, controles incorporados en programas de computación) y controles manuales. Además, los controles manuales pueden ser independientes de tecnología de la información, pueden usar la información producida por tecnología de la información, o pueden limitarse al monitoreo del funcionamiento efectivo de tecnología de la información y de los controles automatizados y al manejo de las excepciones. Cuando se usa tecnología de la información para iniciar, registrar o procesar transacciones u otra información financiera, o para informar sobre estas, para incluirlas en los estados financieros, los sistemas y programas pueden incluir controles relacionados con las aserciones correspondientes de las cuentas de importancia relativa o puede ser de gran importancia para el funcionamiento efectivo de los controles manuales que dependen de tecnología de la información. Una mezcla de controles manuales y automatizados dentro de una entidad varía dependiendo de la naturaleza y complejidad del uso que la entidad da a tecnología de la información.
59. Generalmente, tecnología de la información brinda beneficios potenciales de eficacia y efectividad para el control interno de una entidad, porque permite que una entidad:
Aplique de manera uniforme las reglas del negocio predefinidas y realice cálculos complejos en el procesamiento de grandes volúmenes de transacciones o información.
Mejore la puntualidad, disponibilidad y precisión de la información.
Facilite el análisis adicional de la información.
Mejore su capacidad de monitorear el desempeño de las actividades de la entidad y sus políticas y procedimientos.
Reduzca el riesgo de que los controles sean omitidos.
Mejore la capacidad de lograr una división efectiva de las tareas ejecutando controles de seguridad a las aplicaciones, bases de datos y sistemas operativos.
60. Tecnología de la información también presenta riesgos específicos para el control interno de una entidad, incluyendo los siguientes:
Confianza en los sistemas o programas que están procesando información de una forma que no es precisa, que están procesando información que no es precisa, o ambos.
Acceso no autorizado a la información, lo cual puede provocar que se destruya la información o que se hagan cambios inapropiados a la información, incluyendo el registro de transacciones no autorizadas o inexistentes o el registro de transacciones de una manera que no es
precisa. Los riesgos particulares pueden surgir cuando varios usuarios acceden a una base de datos común.
La posibilidad de que el personal de tecnología de la información obtenga acceso a privilegios que exceden los necesarios para que realice sus tareas asignadas, incumpliendo así con la separación de las tareas.
Cambios no autorizados a la información contenida en los archivos maestros.
Cambios no autorizados a los sistemas o programas.
Faltas al hacer los cambios necesarios a los sistemas o programas.
Intervención manual inapropiada.
Pérdida potencial de información o incapacidad para acceder a la información como se requiere.
61. Los aspectos manuales de los sistemas pueden ser más adecuados cuando se requiere aplicar el juicio y la discreción, como sucede en las siguientes circunstancias:
Transacciones grandes, inusuales o no recurrentes. Circunstancias en las que es difícil definir, prevenir o predecir los
errores.
En circunstancias cambiantes que requieren de una respuesta de control fuera del alcance de un control automatizado existente.
Cuando se monitorea la efectividad de los controles automatizados.
62. Los controles manuales son realizados por personas y, por lo tanto, presentan riesgos específicos para el control interno de la entidad. Los controles manuales pueden ser menos confiables que los controles automatizados porque puede ser más fácil pasarlos por alto, ignorarlos u omitirlos, y también son más propensos a errores simples. Por lo tanto, no puede suponerse la uniformidad en la aplicación de un elemento de control manual. Los sistemas manuales pueden ser menos adecuados para los siguientes elementos:
Alto volumen de transacciones o transacciones recurrentes, o en situaciones en las que los errores que pueden esperarse o predecirse pueden predecirse o detectarse mediante parámetros de control que son automatizados.
Las actividades de control en las que las maneras específicas para aplicar el control pueden diseñarse y automatizarse de manera adecuada.
63. El alcance y naturaleza de los riesgos de control interno varían dependiendo de la naturaleza y las características del sistema de
información de la entidad. Por lo tanto, para entender el control interno, el auditor considera si la entidad ha respondido adecuadamente a los riesgos que surgen del uso de la tecnología de la información o de los sistemas manuales estableciendo controles efectivos.
Limitaciones del control interno
64. El control interno, sin importar que tan bien esté diseñado y manejado, puede brindar a una entidad un aseguramiento razonable sobre el logro de sus objetivos de información financiera. La probabilidad de que la entidad logre sus objetivos se ve afectada por las limitaciones inherentes al control interno. Estas limitaciones incluyen la realidad de que el juicio humano para tomar decisiones puede tener fallas y, por esto, pueden ocurrir fallas en el control interno debido a fallas humanas, como errores simples. Por ejemplo, si el personal de sistemas de información de una entidad no entiende completamente cómo un sistema de registro de órdenes procesa las transacciones de ventas, puede diseñar erróneamente los cambios al sistema para procesar las ventas para una nueva línea de productos. Por otra parte, puede suceder que los cambios sean diseñados correctamente, pero que las personas que traducen el diseño a los códigos del programa entiendan mal este diseño. Igualmente, pueden ocurrir errores en el uso de la información producida por tecnología de la información. Por ejemplo, los controles automatizados pueden estar diseñados para informar acerca de las transacciones que excedan un monto especificado para que las revise la gerencia, pero posiblemente los individuos responsables de realizar la revisión no entiendan el propósito de estos informes y, de acuerdo con esto, tal vez no las revisen o no investiguen las partidas inusuales.
65. Además, los controles pueden pasarse por alto mediante la confabulación de dos o más personas o la omisión inapropiada del control interno por parte de la gerencia. Por ejemplo, la gerencia puede realizar acuerdos colaterales con clientes que alteran las condiciones de los contratos de venta estándares de la entidad, lo cual puede originar un reconocimiento indebido de los ingresos. Igualmente, los chequeos de edición en un programa de computación que está diseñado para identificar e informar transacciones que exceden los límites de crédito especificados puede pasarse por alto o deshabilitarse.
66. Las entidades más pequeñas frecuentemente tienen menos empleados, lo cual puede limitar el alcance al cual es factible hacer la división de tareas. Sin embargo, para las áreas claves, incluso en una entidad muy pequeña, es factible implantar cierto grado de división de tareas u otra forma de controles no sofisticados pero efectivos. El potencial de que el propietario-gerente omita los controles depende de un alto alcance del ambiente de control y, en particular, de las actitudes del propietario-gerente acerca de la importancia del control interno.
Ambiente de control
67. El auditor debe entender el ambiente de control. El ambiente de control incluye las funciones de dirección y administración, y las actitudes, conocimientos y acciones de las personas a cargo de la administración y de la gerencia respecto del control interno de la entidad y su importancia para la entidad. El ambiente de control determina el tono de una organización, lo cual influye en la conciencia de control de sus empleados; se trata de la base para un control interno efectivo, ya que brinda disciplina y estructura.
68. La responsabilidad principal para la prevención y detección del fraude y error es tanto de las personas a cargo de la administración y de la gerencia de una entidad. Al evaluar el diseño del ambiente de control y determinar si este ha sido ejecutado, el auditor entiende de qué manera la gerencia, supervisada por las personas a cargo de la administración, ha creado y mantenido una cultura de honestidad y conducta ética, y ha establecido los controles apropiados para prevenir y detectar el fraude y el error dentro de la entidad.
69. Al evaluar el diseño del ambiente de control de la entidad, el auditor considera los siguientes elementos y cómo han sido incluidos en los procesos de la entidad:
a. Comunicación y ejecución de los valores éticos y de integridad: los elementos esenciales que ejercen influencia sobre la efectividad del diseño, administración y monitoreo de los controles.
b. Compromiso con la competencia: consideración por parte de la gerencia de los niveles de competencia para los cargos particulares y cómo esos niveles se traducen en requerimientos de destrezas y conocimientos.
c. Participación de las personas a cargo de la administración: independencia de la gerencia, su experiencia e importancia, el alcance de su participación y análisis de las actividades, la información que reciben, el grado al cual se presentan cuestionamientos difíciles y se siguen con la gerencia, y su interacción con los auditores internos y externos.
d. Filosofía de la gerencia y estilo operativo: enfoque de la gerencia al asumir y manejar los riesgos del negocio, y actitudes y acciones de la gerencia hacia la información financiera, procesamiento de la información y funciones y personal de contabilidad.
e. Estructura organizacional: la estructura dentro de la cual se planifican, ejecutan, controlan y revisan las actividades de la entidad para lograr sus objetivos.
f. Asignación de autoridad y responsabilidad: de qué manera se asigna la autoridad y responsabilidad para las actividades operativas y cómo se establecen las relaciones de emisión de informes y las jerarquías de autorización.
g. Políticas y prácticas de recursos humanos: reclutamiento, orientación, adiestramiento, evaluación, asesoría, promoción, compensación y medidas de saneamiento.
70. Para entender los elementos del ambiente de control, el auditor también considera si estos han sido ejecutados. Generalmente, el auditor obtiene evidencia de auditoría
relevante mediante una combinación de entrevistas y otros procedimientos de evaluación de riesgos, por ejemplo, corroborando la información obtenida en las entrevistas mediante la observación o inspección de documentos. Por ejemplo, mediante las entrevistas a la gerencia y a los empleados, el auditor puede entender cómo la gerencia comunica sus opiniones a los empleados sobre las prácticas del negocio y la conducta ética. El auditor debe determinar si los controles han sido ejecutados considerando, por ejemplo, si la gerencia ha establecido un código de conducta formal y si actúa de una manera que respalde al código, tolere las violaciones al código o autorice las excepciones al código.
71. La evidencia de auditoría de los elementos del ambiente de control posiblemente no estará disponible en forma de documentos, especialmente en el caso de las entidades más pequeñas en las que la comunicación entre la gerencia y otro personal puede ser informal, pero efectiva. Por ejemplo, el compromiso de la gerencia con los valores éticos y la competencia frecuentemente se ejecuta mediante la conducta y actitud que demuestra al manejar el negocio de la entidad, y no mediante un código de conducta por escrito. Como consecuencia, las actitudes, conocimientos y acciones de la gerencia son de una importancia particular en el diseño de un ambiente de control de una entidad más pequeña. Además, el rol de las personas a cargo de la administración frecuentemente es realizado por el propietario-gerente cuando no hay otros propietarios.
72. Las responsabilidades globales de las personas a cargo de la administración son reconocidas en los códigos de práctica y otros reglamentos o lineamientos producidos a favor de las personas a cargo de la administración. El equilibrar las presiones sobre la gerencia en relación con la información financiera es uno, pero no el único, de los roles de las personas a cargo de la administración. Por ejemplo, la base para la remuneración de la gerencia puede representar un factor de estrés sobre la gerencia que surge de las demandas que entran en conflicto entre la emisión justa de informes y los beneficios percibidos de los resultados mejorados. Para entender el diseño del ambiente de control, el auditor debe considerar asuntos tales como la independencia de los directores y su capacidad de evaluar las acciones de la gerencia. De la misma manera, el auditor debe considerar si hay un comité de auditoría que entienda las transacciones de negocio de la entidad y evalúe si los estados financieros dan una visión veraz y justa (o se presentan razonablemente, respecto de todo lo de una importancia relativa) de acuerdo con la estructura de información financiera aplicable.
73. La naturaleza del ambiente de control de una entidad es tal que tiene un efecto dominante sobre la evaluación de los riesgos de error significativo. Por ejemplo, los controles del propietario-gerente pueden mitigar una falta de división de las tareas en un negocio pequeño, o un consejo de administración activo e independiente puede influir en la filosofía y estilo operativo de la alta gerencia en las entidades más grandes. La evaluación que hace el auditor del diseño del ambiente de control de la entidad incluye considerar si las fortalezas de los elementos del ambiente de control de la entidad brindan en conjunto una base apropiada para los demás componentes del control interno, y si no son afectadas por las debilidades del ambiente de control. Por ejemplo, las políticas y prácticas de recursos humanos dirigidas a contratar personal de finanzas, contabilidad y tecnología de la información posiblemente no mitigarán un fuerte sesgo de la alta gerencia de
sobreestimar las ganancias. Los cambios en el ambiente de control pueden afectar la importancia de la información obtenida en auditorías previas. Por ejemplo, la decisión de la gerencia de comprometer recursos adicionales para el adiestramiento y conocimiento de las actividades de información financiera puede disminuir el riesgo de errores en el procesamiento de la información financiera. De manera alternativa, la falta de la gerencia para comprometer suficientes recursos para abordar los riesgos de seguridad presentados por tecnología de la información puede afectar de manera adversa el control interno permitiendo que se hagan cambios indebidos a los programas de computación o a la información, o permitiendo el procesamiento de transacciones no autorizadas.
74. La existencia de un ambiente de control satisfactorio puede ser un factor positivo cuando el auditor evalúa los riesgos de error significativo y, como se explica en el párrafo 5 de la NIA 330, influye en la naturaleza, oportunidad y alcance de los procedimientos adicionales del auditor. En particular, puede ayudar a disminuir el riesgo de fraude, aunque un ambiente de control satisfactorio no es un factor disuasivo absoluto para el fraude. Por el contrario, las debilidades del ambiente de control pueden afectar la efectividad de los controles y, por consiguiente, ser factores negativos en la evaluación que hace el auditor de los riesgos de error significativo, particularmente en relación con el fraude.
75. El ambiente de control en sí mismo no evita, ni detecta y corrige, un error significativo en las clases de transacciones, saldos de cuenta, y divulgaciones y aserciones relacionadas. Por lo tanto, el auditor generalmente debe considerar el efecto de otros componentes junto con el ambiente de control cuando evalúa los riesgos de error significativo; por ejemplo, el monitoreo de los controles y la operación de las actividades de control específicas.
El proceso de evaluación de riesgos de la entidad
76. El auditor debe entender el proceso de la entidad para identificar los riesgos del negocio que sean relevantes para los objetivos de la información financiera y para decidir las medidas que se deben tomar para abordar esos riesgos, y los resultados de estas medidas. El proceso se describe como “el proceso de evaluación de riesgos de la entidad” y forma la base sobre la manera en que la gerencia determina los riesgos que serán manejados.
77. Al evaluar el diseño y ejecución del proceso de evaluación de riesgos de la entidad, el auditor determina la manera en que la gerencia identifica los riesgos del negocio relevantes para la información financiera, estima la importancia de los riesgos, evalúa la probabilidad de su ocurrencia y decide las medidas que usará para manejarlos. Si el proceso de evaluación de riesgos de la entidad es apropiado para las circunstancias, ayuda al auditor a identificar los riesgos de error significativo.
78. El auditor investiga acerca de los riesgos del negocio que la gerencia ha identificado y considera si pueden originar errores significativos. Durante la auditoría, el auditor puede identificar los riesgos de error significativo que la gerencia no logró identificar. En tales casos, el auditor debe considerar si hubo algún tipo de riesgo subyacente que debería haberse identificado siguiendo el proceso de evaluación de riesgos de la entidad y, de ser así, por qué ese proceso no logró hacerlo y si el
proceso es adecuado para las circunstancias. Si, como resultado, el auditor considera que hay una debilidad de importancia relativa en el proceso de evaluación de riesgos de la entidad, debe comunicarse con las personas a cargo de la administración, como se requiere en el párrafo 120.
79. En una entidad más pequeña, puede suceder que la gerencia no tenga un proceso de evaluación de riesgos formal, como se describe en el párrafo 76. Para estas entidades, el auditor debe discutir con la gerencia cómo esta identifica los riesgos del negocio y cómo los aborda.
Sistema de información, incluyendo los procesos del negocio relacionados, relevante para la información financiera, y comunicación.
80. El sistema de información relevante para los objetivos de información financiera, que incluye el sistema contable, consiste de procedimientos y registros establecidos para iniciar, registrar, procesar e informar las transacciones de la entidad (así como los sucesos y condiciones) y para mantener la responsabilidad por los activos, pasivos y patrimonio relacionados.
81. El auditor debe entender el sistema de información, incluyendo los procesos de negocio relacionados, relevante para la información financiera, incluyendo las siguientes áreas:
Las clases de transacciones en las operaciones de la entidad que son significativas para los estados financieros.
Los procedimientos, dentro de los sistemas de tecnología de la información y los manuales, mediante los cuales esas transacciones son iniciadas, registradas, procesadas y reportadas en los estados financieros.
Los registros contables relacionados, bien sea electrónicos o manuales, información de respaldo y cuentas específicas en los estados financieros, respecto de las estructuras de iniciación, registro, procesamiento y emisión de informes.
La manera en que el sistema de información recoge los sucesos y condiciones, que no sean las clases de transacciones, que son significativos para los estados financieros.
El proceso de información financiera usado para preparar los estados financieros de la entidad, incluyendo las estimaciones contables y divulgaciones significativas.
82. Para obtener este entendimiento, el auditor debe considerar los procedimientos usados para traspasar información de los sistemas de procesamiento de transacciones al mayor general o a los sistemas de información financiera. El auditor también debe entender los procedimientos de la entidad para recolectar información relevante para la información financiera en cuanto a los sucesos o transacciones diferentes de las transacciones, como la depreciación y amortización de activos y los cambios en la recuperación de las cuentas por cobrar.
83. El sistema de información de una entidad por lo general incluye el uso de asientos estándares del libro diario que se requieren de manera recurrente para registrar transacciones tales como ventas, compras y salidas de efectivo en el mayor general, o para registrar estimaciones contables que hace la gerencia periódicamente, tal como cambios en la estimación de cuentas incobrables.
84. El proceso de información financiera de una entidad también incluye el uso de asientos no estándares del libro diario para registrar transacciones o ajustes no recurrentes e inusuales. Algunos ejemplos de estos asientos incluyen los ajustes y asientos de consolidación para una combinación de negocios o desincorporación o estimaciones no recurrentes tales como el deterioro del valor de un activo. En los sistemas generales manuales sobre papel, los asientos no estándares del libro diario pueden identificarse mediante la inspección de libros mayores, libros diarios y documentación de respaldo. Sin embargo, cuando se usan los procedimientos automatizados para mantener el mayor general y para preparar los estados financieros, estos asientos pueden existir sólo en forma electrónica y pueden identificarse más fácilmente mediante el uso de técnicas de auditoría asistidas por computadora.
85. La preparación de los estados financieros de la entidad incluye los procedimientos que están diseñados para asegurar que la información que se requiere divulgar mediante la estructura de información financiera aplicable sea acumulada, registrada, procesada, resumida e informada apropiadamente en los estados financieros.
86. Para obtener un entendimiento, el auditor considera los riesgos de error significativo asociados con la omisión inapropiada de los controles sobre los asientos del libro diario y los controles que rodean los asientos no estándares del libro diario. Por ejemplo, los procesos y controles automatizados pueden reducir el riesgo de error inadvertido, pero no pueden omitir el riesgo de que los individuos puedan omitir estos procesos automatizados inadecuadamente, por ejemplo, cambiando las cantidades que se pasan automáticamente al mayor general o al sistema de información financiera. Además, el auditor considera que cuando se usa tecnología de la información para traspasar información automáticamente, puede haber poca evidencia o puede no haber evidencia visible de tal intervención en los sistemas de información.
87. El auditor también entiende cómo se resuelve el procesamiento incorrecto de las transacciones, por ejemplo, si hay un archivo transitorio automatizado y cómo lo usa la entidad para asegurar que las partidas transitorias son eliminadas de manera oportuna, y cómo se procesan y contabilizan las omisiones del sistema de los controles.
88. El auditor obtiene un entendimiento del sistema de información de la entidad relevante para la información financiera de una manera que es apropiada para las circunstancias de la entidad. Esto incluye entender cómo se originan las transacciones dentro de los procesos del negocio de la entidad. Los procesos del negocio de una entidad son las actividades diseñadas para desarrollar, adquirir, producir, vender y distribuir los
productos y servicios de una entidad; así como para garantizar el cumplimiento con las leyes y reglamentos y para registrar información, incluyendo la información contable y de información financiera.
89. El auditor debe entender cómo la entidad comunica los roles y responsabilidades de la información financiera y los asuntos significativos relacionados con la información financiera. La comunicación implica suministrar un entendimiento de los roles y responsabilidades individuales que pertenecen al control interno sobre la información financiera y puede tomar formas tales como manuales de políticas y manuales de información financiera. Esto incluye el alcance al cual el personal entiende cómo se relacionan sus actividades en el sistema de información financiera con el trabajo de otros, así como las excepciones de los medios de emisión de informes a un nivel adecuadamente mayor dentro de la entidad. Los canales de comunicación abiertos ayudan a garantizar que las excepciones sean informadas y que se tomen medidas al respecto. El entendimiento del auditor de la comunicación relativa a los asuntos de información financiera también incluye las comunicaciones entre la gerencia y las personas a cargo de la administración, especialmente el comité de auditoría, así como las comunicaciones externas tales como las que se mantienen con las autoridades regulativas.
Actividades de control
90. El auditor debe entender suficientemente las actividades de control necesarias para evaluar los riesgos de error significativo en el nivel de aserciones y diseñar procedimientos de auditoría adicionales que responden a los riesgos evaluados. Las actividades de control son las políticas y procedimientos que ayudan a garantizar que las órdenes de la gerencia son llevadas a cabo; por ejemplo, que se toman las medidas necesarias para abordar los riesgos que amenazan el logro de los objetivos de la entidad. Las actividades de control, dentro de los sistemas manuales o de tecnología de la información, tienen varios objetivos y se aplican en varios niveles organizacionales y funcionales. Entre los ejemplos de las actividades de control específicas se incluyen las relacionadas con:
Autorización. Revisiones del desempeño.
Procesamiento de información.
Controles físicos.
División de tareas.
91. Para entender las actividades de control, el auditor considera principalmente si, y cómo, una actividad de control específica, individualmente o en conjunto con otras, previene o detecta y corrige, errores significativos en las clases de transacciones, saldos de cuenta o divulgaciones. Las actividades de control relevantes para la auditoría son aquellas para las cuales el auditor considera que es necesario obtener un entendimiento para evaluar los riesgos de error significativo en el nivel de aserciones y para diseñar y realizar procedimientos de auditoría adicionales que respondan a los riesgos evaluados. En una auditoría no se requiere que se entiendan todas las actividades de control relacionadas con cada clase de transacciones
significativa, saldo de cuenta y divulgación en los estados financieros o con cada aserción relevante para estos estados. El auditor debe hacer énfasis en identificar y obtener un entendimiento de las actividades de control que abordan las áreas en las que el auditor considera que es más probable que ocurran errores significativos. Cuando las actividades de control múltiple logran el mismo objetivo, no es necesario entender cada una de las actividades de control relacionadas con este objetivo.
92. El auditor considera el conocimiento sobre la presencia o ausencia de las actividades de control, que se obtiene del entendimiento de los demás componentes del control interno, al determinar si es necesario dedicar una atención adicional a la obtención de un entendimiento de las actividades de control. Al considerar si las actividades de control son relevantes para la auditoría, el auditor debe considerar los riesgos que ha identificado el auditor y que pueden originar un error significativo. Igualmente, las actividades de control son relevantes para la auditoría si se requiere que el auditor las evalúe como se discute en los párrafos 113 y 115.
93. El auditor debe entender cómo ha respondido la entidad a los riesgos que surgen de tecnología de la información. El uso de tecnología de la información afecta la manera en que se ejecutan las actividades de control. El auditor debe considerar si la entidad ha respondido adecuadamente a los riesgos que surgen de tecnología de la información estableciendo controles generales efectivos de tecnología de la información y controles de aplicación. Desde el punto de vista del auditor, los controles sobre los sistemas de tecnología de la información son efectivos cuando mantienen la integridad de la información y la seguridad de la información que este sistema procesa.
94. Los controles generales de tecnología de la información son políticas y procedimientos que se relacionan con muchas aplicaciones y respaldan el funcionamiento efectivo de los controles de aplicación ayudando a garantizar el funcionamiento adecuado y continuo de los sistemas de información. Los controles generales de tecnología de la información que mantienen la integridad de la información y la seguridad de la información comúnmente incluyen controles sobre los siguientes elementos:
Operaciones de centros de información y redes. Adquisición, cambio y mantenimiento de programas de computación.
Seguridad de acceso.
Adquisición, desarrollo y mantenimiento de sistemas de aplicación
Estos generalmente son ejecutados para tratar con los riesgos a los que se hace referencia en el párrafo 60 anterior.
95. Los controles de aplicación son procedimientos manuales o automatizados que generalmente funcionan en un nivel de procesos del negocio. Los controles de aplicación pueden ser de naturaleza preventiva o de detección y están diseñados para garantizar la integridad de los registros contables. De acuerdo con esto, los controles de aplicación se relacionan con los procedimientos usados para iniciar, registrar, procesar e informar transacciones u otra información financiera. Estos controles
ayudan a garantizar que las transacciones ocurrieron, son autorizadas, y son registradas y procesadas de manera completa y precisa. Entre los ejemplos se incluye chequeos de edición de información entrante, y los chequeos en secuencia numérica con un seguimiento manual de los informes de excepción o corrección en el momento de introducción de la información.
Monitoreo de los controles
96. El auditor debe entender los tipos principales de actividades que usa la entidad para monitorear el control interno sobre la información financiera, incluyendo los relacionados con las actividades de control relevantes para la auditoría, y cómo la entidad inicia medidas correctivas para sus controles.
97. El monitoreo de los controles es un proceso que sirve para evaluar la efectividad del desempeño del control interno durante el tiempo. Esto implica evaluar el diseño y la operación de los controles de manera oportuna y tomar las medidas correctivas necesarias que se modifican de acuerdo con los cambios en las condiciones. La gerencia logra el monitoreo de los controles mediante actividades continuas, evaluaciones separadas o una combinación de ambos. Las actividades de monitoreo continuo frecuentemente se incluyen en las actividades recurrentes normales de una entidad e incluyen actividades regulares de dirección y supervisión.
98. En muchas entidades, los auditores internos o el personal que realiza funciones similares contribuyen con el monitoreo de las actividades de una entidad. Véase la NIA 610, “Consideración del trabajo de auditoría interna”, para conocer los lineamientos adicionales. Las actividades de monitoreo de la gerencia también pueden incluir el uso de información proveniente de las comunicaciones de partes externas, tales como quejas de los clientes y comentarios de entes reguladores que pueden indicar problemas o resaltar áreas que necesiten mejoría.
99. Gran parte de la información usada en el monitoreo puede producirse a través del sistema de información de la entidad. Si la gerencia supone que la información usada para el monitoreo es precisa sin tener una base para hacer ese supuesto, pueden existir errores en la información, lo cual potencialmente conducirá a que la gerencia haga conclusiones incorrectas de sus actividades de monitoreo. El auditor entiende las fuentes de la información relacionada con las actividades de monitoreo de la entidad, y la base sobre la cual la gerencia considera que la información es suficientemente confiable para los fines. Cuando el auditor tiene la intención de usar la información de la entidad producida para las actividades de monitoreo, como informes del auditor interno, este considera si la información brinda una base confiable y si es suficientemente detallada para el objetivo del auditor.
Evaluación de los riesgos de error significativo
100. El auditor debe identificar y evaluar los riesgos de error significativo en el nivel de los estados financieros y en el nivel de aserciones para las clases de transacciones, saldos de cuenta y divulgaciones. Para esto, el auditor debe:
Identificar los riesgos durante el proceso de obtención de un entendimiento de la entidad y su ambiente, incluyendo los controles relevantes que se relacionan con los riesgos y considerando las clases de transacciones, saldos de cuenta y divulgaciones en los estados financieros.
Relacionar los riesgos identificados con lo que puede salir mal en el nivel de aserciones.
Considerar si los riesgos son de una magnitud tal que podría originar un error significativo de los estados financieros.
Considerar la probabilidad de que los riesgos puedan originar un error significativo de los estados financieros.
101. El auditor usa la información recolectada al aplicar los procedimientos de evaluación de riesgos, incluyendo la evidencia de auditoría obtenida al evaluar el diseño de los controles y al determinar si estos controles han sido ejecutados, como evidencia de auditoría para respaldar la evaluación de riesgos. El auditor usa la evaluación de riesgos para determinar la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales que serán realizados.
102. El auditor determina si los riesgos identificados de error significativo se relacionan con las clases específicas de transacciones, saldos de cuenta y divulgaciones y aserciones relacionadas o si se relacionan de manera más dominante con los estados financieros en su conjunto y afectan potencialmente muchas aserciones. Los últimos riesgos (riesgos en el nivel de estados financieros) pueden producirse particularmente de un ambiente de control débil.
103. La naturaleza de los riesgos que surgen de un ambiente de control débil es tal que probablemente no se limitarán a riesgos específicos individuales de error significativo en clases de transacciones, saldos de cuenta y divulgaciones particulares. En cambio, las debilidades, tales como falta de competencia por parte de la gerencia, pueden tener un efecto más dominante sobre los estados financieros y pueden requerir una respuesta global por parte del auditor.
104. Al hacer las evaluaciones de riesgos, el auditor puede identificar los controles que probablemente prevendrán, o detectarán y corregirán, los errores significativos en aserciones específicas. Generalmente, el auditor entiende los controles y los relaciona con las aserciones en el contexto de los procesos y sistemas en los cuales existen. Esto resulta útil porque generalmente las actividades de control individuales, en si mismas, no abordan un riesgo. Con frecuencia, sólo las actividades de control múltiple, junto con otros elementos de control interno, serán suficientes para abordar un riesgo.
105. Por el contrario, algunas actividades de control pueden tener un efecto específico sobre una aserción individual representada en una clase particular de transacciones o saldo de cuenta. Por ejemplo, las actividades de control que estableció una entidad para garantizar que su personal contabilice y registre apropiadamente el inventario físico anual se relacionan directamente con la existencia e integridad de las aserciones para el saldo de cuenta del inventario.
106. Los controles pueden estar relacionados directa o indirectamente con una aserción. Mientras más indirecta sea la relación, menos efectivo será ese control para prevenir, o detectar y corregir, errores en esa aserción. Por ejemplo, una revisión por parte del gerente de ventas de un resumen de la actividad de ventas para tiendas específicas por región, generalmente sólo está relacionada indirectamente con la aserción de integridad para los ingresos por venta. De acuerdo con esto, puede ser menos efectivo para disminuir el riesgo de esa aserción que los controles que están relacionados más directamente con esa aserción, tal como comparar los documentos de envío con los documentos de facturación.
107. El entendimiento del auditor del control interno puede crear dudas sobre la capacidad de auditar los estados financieros de una entidad. Las preocupaciones relativas a la integridad de la gerencia de la entidad pueden ser tan serias como para hacer que el auditor concluya que el riesgo de tergiversación por parte de la gerencia en los estados financieros es tal que no puede realizarse una auditoría. Igualmente, las preocupaciones acerca de la condición y confiabilidad de los registros de una entidad pueden provocar que el auditor concluya que es poco probable que se disponga de evidencia de auditoría suficiente y apropiada para respaldar una opinión sin salvedades de los estados financieros. En tales circunstancias, el auditor considera emitir una opinión con salvedades o una abstención de opinión, pero en algunos casos el único recurso del auditor puede ser retirarse del compromiso.
Riesgos significativos que requieren de una consideración especial de auditoría
108. Como parte de la evaluación de riesgos, como se describe en el párrafo 100, el auditor debe determinar cuáles de los riesgos identificados son, a juicio del auditor, los riesgos que requieren una consideración especial de auditoría (tales riesgos se definen como “riesgos significativos”). Además, los párrafos 44 y 51 de la NIA 330 describen las consecuencias que tiene sobre los procedimientos de auditoría el identificar un riesgo como significativo.
109. La determinación de los riesgos significativos, que surgen en la mayoría de las auditorías, es un asunto de juicio profesional del auditor. Al ejercer este juicio, el auditor excluye el efecto de los controles identificados relacionados con el riesgo de determinar si la naturaleza del riesgo, la magnitud probable del error potencial, incluyendo la posibilidad de que el riesgo pueda originar múltiples errores, y la probabilidad de que ocurra el riesgo son tales que requieren de una consideración especial de auditoría. Es menos probable que las transacciones rutinarias y no complejas que son sujeto del procesamiento sistemático originen riesgos significativos, porque tienen riesgos inherentes menores. Por otra parte, frecuentemente los riesgos significativos se originan de los riesgos del negocio que pueden originar un error significativo. Al considerar la naturaleza de los riesgos, el auditor considera varios asuntos, incluyendo los siguientes:
Si el riesgo es un riesgo de fraude.
Si el riesgo está relacionado con desarrollos económicos, contables u otros desarrollos significativos y, por tanto, si requiere de una atención específica.
La complejidad de las transacciones.
Si el riesgo implica transacciones significativas con las partes relacionadas.
El grado de subjetividad en la medición de la información financiera en relación con el riesgo, especialmente la información que implica un amplio rango de incertidumbre en la medición.
Si el riesgo implica transacciones significativas que están fuera del curso normal del negocio para la entidad o que, de otra manera, parecen ser inusuales.
110. Los riesgos significativos con frecuencia se relacionan con transacciones no rutinarias y asuntos de juicio. Las transacciones no rutinarias son transacciones que, debido a su tamaño o a su naturaleza, son inusuales y, por lo tanto, no es frecuente que ocurran. Los asuntos de juicio pueden incluir el desarrollo de estimaciones contables para las cuales existe una incertidumbre significativa en la medición.
111. Los riesgos de error significativo pueden ser mayores para los riesgos relacionados con las transacciones no rutinarias significativas que surgen de asuntos tales como los siguientes:
Mayor intervención de la gerencia para especificar el tratamiento contable.
Mayor intervención manual para la recolección y procesamiento de la información.
Cálculos complejos o principios contables.
La naturaleza de las transacciones no rutinarias, que puede hacer que sea difícil para la entidad ejecutar controles efectivos sobre los riesgos.
112. Los riesgos de error significativo pueden ser mayores para los riesgos relacionados con asuntos de juicio significativos que requieren del desarrollo de estimaciones contables, que surgen de asuntos tales como los siguientes:
Los principios contables para las estimaciones contables o el reconocimiento de ingresos pueden estar sujetos a interpretaciones discrepantes.
El juicio requerido puede ser subjetivo, complejo o puede requerir que se desarrollen supuestos sobre los efectos de los sucesos futuros, por ejemplo, el juicio sobre el valor razonable.
113. Para los riesgos significativos el auditor debe evaluar el diseño de los controles relacionados de la entidad, incluyendo las actividades de control relevantes, y
determinar si estos han sido ejecutados, en la medida en que el auditor ya no haya hecho esto. Se requiere entender los controles de la entidad relacionados con los riesgos significativos para brindarle al auditor información adecuada para desarrollar un enfoque de auditoría efectivo. La gerencia debe conocer los riesgos significativos; sin embargo, con frecuencia es menos probable que los riesgos relacionados con asuntos no rutinarios o de juicio sean sujetos a controles rutinarios. Por lo tanto, el entendimiento del auditor sobre el hecho de que la entidad ha diseñado y ejecutado o no los controles para dichos riesgos significativos incluye si y cómo la gerencia responde a los riesgos y si las actividades de control (tales como una revisión de los supuestos desarrollados por la alta gerencia o por expertos, los procesos formales para hacer las estimaciones o la aprobación por parte de las personas a cargo de la administración) se han ejecutado para abordar los riesgos. Por ejemplo, si hay sucesos únicos, tales como el recibo de una notificación de una demanda significativa, la consideración de la respuesta de la entidad incluirá asuntos tales como si se ha referido a los expertos apropiados (tales como asesores legales internos o externos), si se ha hecho una evaluación del efecto potencial, y cómo se propone divulgar las circunstancias en los estados financieros.
114. Si la gerencia no ha respondido adecuadamente ejecutando controles sobre los riesgos significativos y si, como resultado, el auditor considera que hay una debilidad de importancia relativa en el control interno de la entidad, el auditor debe comunicar este asunto a las personas a cargo de la administración, como se requiere en el párrafo 120. En estas circunstancias, el auditor también considera las implicaciones para la evaluación del riesgo por parte del auditor.
Riesgos para los cuales la sola aplicación de los procedimientos sustantivos no brinda evidencia de auditoría suficiente y apropiada
115. Como parte de la evaluación de riesgos, como se describe en el párrafo 100, el auditor debe evaluar el diseño y determinar la ejecución de los controles de la entidad, incluyendo las actividades de control relevantes, sobre los riesgos para los cuales, a juicio del auditor, no es posible o factible reducir los riesgos de error significativo en el nivel de aserciones a un nivel aceptablemente bajo con evidencia de auditoría obtenida sólo de los procedimientos sustantivos. Las consecuencias para los procedimientos de auditoría adicionales que se presentan al identificar tales riesgos se describen en el párrafo 25 de la NIA 330.
116. El entendimiento del sistema de información de la entidad relevante para la información financiera permite que el auditor identifique los riesgos de error significativo que se relacionan directamente con el registro de las clases de transacciones rutinarias o los saldos de cuenta, y la preparación de estados financieros confiables; estos incluyen riesgos de procesamiento impreciso o incompleto. Generalmente, estos riesgos se relacionan con las clases de transacciones significativas tales como ingresos, compras y entradas o salidas de efectivo de la entidad.
117. Las características de las transacciones rutinarias diarias frecuentemente permiten que se haga un procesamiento altamente automatizado con poca o ninguna intervención manual. En tales circunstancias, puede no ser posible aplicar sólo procedimientos sustantivos en relación con el riesgo. Por ejemplo, en las circunstancias en las que una cantidad significativa de la información de la entidad es iniciada, registrada, procesada o informada electrónicamente, tal como en un sistema integrado, el auditor puede determinar que no es posible diseñar procedimientos sustantivos efectivos que, en si mismos, brindarían evidencia de auditoría suficiente y apropiada de que las clases de transacciones o saldos de cuenta no tienen errores significativos. En tales casos, la evidencia de auditoría puede estar disponible sólo en forma electrónica, y el que sea suficiente y apropiada depende de la efectividad de los controles sobre su precisión e integridad. Además, el potencial de que ocurra una iniciación o alteración indebida de la información y de que estas no sean detectadas puede ser mayor si la información es iniciada, registrada, procesada o informada sólo en forma electrónica y los controles apropiadas no están funcionando efectivamente.
118. Algunos ejemplos de situaciones en las cuales el auditor puede considerar que es imposible diseñar procedimientos sustantivos efectivos que, en si mismos, brindan evidencia de auditoría suficiente y apropiada de que algunas aserciones no tienen errores significativos incluyen los siguientes:
Una entidad que conduce su negocio usando tecnología de la información para iniciar las órdenes para la compra y entrega de bienes con base en reglas predeterminadas de qué se debe ordenar y en qué cantidades, así como también para cancelar las cuentas por pagar relacionadas con base en las decisiones generadas por el sistema iniciadas según el recibo confirmado de bienes y las condiciones de pago. No se produce ni se mantiene ninguna otra documentación de órdenes entregadas o de bienes recibidos que no sea a través del sistema de tecnología de la información.
Una entidad que brinda servicios a los clientes vía medios electrónicos (por ejemplo, un proveedor de servicios de Internet o una compañía de telecomunicaciones) y usa tecnología de la información para crear un registro de los servicios provistos para sus clientes, inicia y procesa sus facturaciones para los servicios y registra automáticamente dichos montos en registros contables electrónicos que forman parte del sistema usado para producir los estados financieros de la entidad.
Revisión de la evaluación de riesgos
119. La evaluación que hace el auditor de los riesgos de error significativo en el nivel de aserciones se basa en la evidencia de auditoría disponible y puede cambiar durante el curso de la auditoría a medida que se obtiene evidencia de auditoría adicional. En particular, la evaluación de riesgos puede basarse en una expectativa de que los controles están funcionando efectivamente para prevenir, o detectar y corregir, un error significativo en el nivel de aserciones. Al realizar las pruebas de controles para obtener
evidencia de auditoría sobre su efectividad operativa, el auditor puede obtener evidencia de auditoría de que los controles no están funcionando efectivamente en momentos relevantes durante la auditoría. De manera similar, al realizar procedimientos sustantivos, el auditor puede detectar errores mayores en cantidades o frecuencia a lo que es uniforme con las evaluaciones de riesgo del auditor. En las circunstancias en que el auditor obtiene evidencia de auditoría de la aplicación de procedimientos de auditoría adicionales que tiende a contradecir la evidencia de auditoría sobre la cual el auditor se basó originalmente para hacer su evaluación, el auditor debe revisar la evaluación y modificar los procedimientos de auditoría adicionales planificados de acuerdo con esto. Véanse los párrafos 66 y 70 de la NIA 330 para conocer los lineamientos adicionales.
Comunicación con las personas a cargo de la administración y con la gerencia
120. El auditor debe informar a las personas a cargo de la administración o a la gerencia, tan pronto como sea posible, y a un nivel apropiado de responsabilidad, las debilidades de importancia relativa que existen en el diseño o ejecución del control interno que conozca el auditor.
121. Si el auditor identifica los riesgos de error significativo que la entidad no haya controlado o para los cuales el control relevante es inadecuado, o si, a juicio del auditor, hay una debilidad de importancia relativa en el proceso de evaluación de riesgos de la entidad, entonces el auditor incluye estas debilidades del control interno en la comunicación de los asuntos de auditoría de interés para la administración. Véase la NIA 260, “Comunicaciones de asuntos de auditoría a las personas a cargo de la administración”.
Documentación
122. El auditor debe documentar:
a. La discusión entre los miembros del equipo de auditoría en cuanto a la susceptibilidad de los estados financieros de la entidad a contener errores significativos debido a error o fraude, y las decisiones significativas alcanzadas.
b. Los elementos claves del entendimiento obtenido en relación con cada uno de los aspectos de la entidad y su ambiente identificados en el párrafo 20, incluyendo cada uno de los componentes del control interno identificados en el párrafo 43, para evaluar los riesgos de error significativo de los estados financieros; las fuentes de información de las cuales se obtuvo el entendimiento; y los procedimientos de evaluación de riesgos.
c. Los riesgos identificados y evaluados de error significativo en el nivel de los estados financieros y en el nivel de aserciones, como se requiere en el párrafo 100.
d. Los riesgos identificados y los controles relacionados evaluados como resultado de los requerimientos en los párrafos 113 y 115.
123. El auditor debe determinar la manera en la cual documentará estos asuntos usando su juicio profesional. En particular, los resultados de la evaluación de riesgos pueden documentarse por separado, o pueden documentarse como parte de la documentación del auditor de los procedimientos adicionales (véase el párrafo 73 de la NIA 330 para conocer los lineamientos adicionales). Algunos ejemplos de técnicas comunes, usadas solas o en combinación, incluyen descripciones, cuestionarios, listas de verificación y flujogramas. Estas técnicas también pueden ser útiles para documentar la evaluación del auditor de los riesgos de error significativo en el nivel de estados financieros generales y de aserciones. La forma y alcance de esta documentación se ve influenciada por la naturaleza, tamaño y complejidad de la entidad y su control interno, disponibilidad de la información proveniente de la entidad y metodología de auditoría específica, así como por la tecnología usada durante la auditoría. Por ejemplo, la documentación del entendimiento de un sistema de información complejo en el cual un gran número de transacciones son iniciadas, registradas, procesadas o informadas electrónicamente, puede incluir flujogramas, cuestionarios o tablas de decisiones. Para un sistema de información que hace un uso limitado de tecnología de la información, o que no la usa en absoluto, o para el cual se procesan pocas transacciones (por ejemplo, deuda a largo plazo), puede ser suficiente hacer la documentación en forma de un memorando. Generalmente, mientras más compleja sea la entidad y más extensos sean los procedimientos de auditoría realizados por el auditor, más extensa será la documentación del auditor. La NIA 230, “Documentación” contiene lineamientos relacionados con la documentación en el contexto de la auditoría de los estados financieros.
Fecha de vigencia
124. Esta NIA es efectiva para las auditorías de estados financieros correspondientes a períodos que comiencen a partir del 15 de diciembre de 2004.
Perspectiva del sector público
1. Cuando un auditor realiza auditorías en entidades del sector público, debe tomar en cuenta la estructura legislativa y cualquier otro reglamento relevante, ordenanzas o directivas ministeriales que afecten el mandato de la auditoría y cualquier otro requerimiento especial de auditoría. Por lo tanto, cuando los auditores entienden la estructura regulativa, como se requiere en el párrafo 22 de esta NIA, considerarán la legislación y la autoridad apropiada que rige el funcionamiento de una entidad. De manera similar, con respecto al párrafo 30 de esta NIA, el auditor debe conocer que los “objetivos de la gerencia” de las entidades del sector público pueden estar influenciados por preocupaciones relativas a la responsabilidad pública, y
pueden incluir objetivos que surgen de legislaciones, reglamentos, ordenanzas gubernamentales y directivas ministeriales.
2. Los párrafos 47-53 de esta NIA explica los controles relevantes para la auditoría. Los auditores del sector público generalmente tienen responsabilidades adicionales respecto de los controles internos, por ejemplo deben informar sobre el cumplimiento con un Código de Práctica establecido. Los auditores del sector público también pueden tener la responsabilidad de informar sobre el cumplimiento con las autoridades legislativas. Su revisión de los controles internos puede ser más amplia y detallada.
3. Los párrafos 120 y 121 de esta NIA tratan sobre la comunicación de las debilidades. Puede haber requerimientos de comunicación o emisión de informes adicionales para los auditores del sector público. Por ejemplo, puede ser posible emitir informes sobre las debilidades del control interno al poder legislativo u otro cuerpo gubernamental.
Apéndice 1: Entendimiento de la entidad y su entorno
Este apéndice contiene lineamientos adicionales sobre asuntos que el auditor puede considerar cuando obtiene un entendimiento de la industria, factores regulativos y otros factores externos que afectan a la entidad, incluyendo la estructura de información financiera aplicable, la naturaleza de la entidad, los objetivos y estrategias y los riesgos del negocio relacionados, así como la medición y revisión del desempeño financiero de la entidad. Los ejemplos incluidos abarcan un amplio rango de asuntos aplicables a muchos compromisos; sin embargo, no todos los asuntos son relevantes para todos los compromisos y la lista de ejemplos no necesariamente está completa. En el apéndice 2 se incluyen lineamientos adicionales sobre el control interno.
Factores industriales, regulativos y otros factores externos, incluyendo la estructura de información financiera aplicable
Entre algunos ejemplos de asuntos que un auditor puede considerar incluyen los siguientes:
Condiciones de la industriao El mercado y su competencia, incluyendo la demanda, capacidad
y precio de la competencia
o Actividad cíclica o por temporada
o Tecnología del producto relacionada con los productos de la entidad
o Suministro y costo de la energía
Ambiente regulativo
o Principios contables y prácticas específicas de la industria
o Estructura regulativa, en el caso de una industria regulada
o Legislación y regulación que afecta de manera significativa las operaciones de la entidad
o Requerimientos regulativos
o Actividades de supervisión directa
o Impuestos (corporativos y de otro tipo)
o Políticas gubernamentales que afectan actualmente la conducción del negocio de la entidad
o Monetarias, incluyendo los controles de cambio de moneda
o Fiscales
o Incentivos financieros (por ejemplo, programas de ayuda gubernamental)
o Aranceles, restricciones comerciales
o Requerimientos ambientales que afectan a la industria y al negocio de la entidad
o Otros factores externos que afectan actualmente al negocio de la entidad
o Nivel general de la actividad económica (por ejemplo, recesión, crecimiento)
o Tasas de interés y disponibilidad de financiamiento
o Inflación, revaluación de la moneda
Naturaleza de la entidad
Algunos ejemplos de los asuntos que puede considerar el auditor incluyen los siguientes:
Operaciones del negocio
Naturaleza de las fuentes de los ingresos (por ejemplo, fabricante, vendedor al mayor, banca, seguros u otros servicios financieros, comercialización de importación/exportación, servicios públicos, transporte y productos y servicios tecnológicos).
Productos o servicios y mercados (por ejemplo, clientes y contratos importantes, condiciones de pago, márgenes de ganancia, participación de mercado, competidores, exportaciones, políticas de fijación de precios, reputación de los productos, garantías, libro de órdenes, tendencias, estrategia y objetivos de mercadeo, procesos de manufactura).
Conducción de las operaciones (por ejemplo, etapas y métodos de producción, segmentos de negocio, entrega de productos y servicios, detalles de las operaciones declinantes o en expansión).
Alianzas, negocios conjuntos y actividades de contratación externa.
Participación en el comercio electrónico, incluyendo ventas por internet y actividades de mercadeo.
Dispersión geográfica y segmentación de la industria.
Ubicación de las instalaciones de producción, almacenes y oficinas.
Clientes claves.
Proveedores importantes de bienes y servicios (por ejemplo, contratos a largo plazo, estabilidad de suministro, condiciones de pago, importaciones, métodos de entrega tales como “justo a tiempo”).
Empleo (por ejemplo, por ubicación, suministro, niveles de salario, contratos con sindicatos, pensión y otros beneficios postempleo, derechos a acciones o acuerdos de incentivos mediante bonos y reglamentos gubernamentales relacionados con asuntos de empleo).
Actividades de investigación y desarrollo y gastos por estas actividades.
Transacciones entre partes relacionadas.
Inversiones
Adquisiciones, fusiones o desincorporación de actividades del negocio (planificadas o ejecutadas recientemente).
Inversiones y desincorporaciones de títulos valores y préstamos.
Actividades de inversión de capital, incluyendo inversiones en planta y equipo y tecnología, y cualquier cambio reciente o planificado.
Inversiones en entidades no consolidadas, incluyendo sociedades, negocios conjuntos y entidades con cometido especial.
Financiamiento
Estructura del grupo – filiales importantes y entidades asociadas, incluyendo estructuras consolidadas y no consolidadas.
Estructura de la deuda, incluyendo convenios, restricciones, garantías y acuerdos de financiamiento fuera del balance general.
Arrendamiento de propiedad, planta y equipo para usar en el negocio.
Dueño eficaz (reputación y experiencia local, extranjera y de negocio).
Partes relacionadas
Usa de instrumentos financieros derivados
Información financiera
Principios contables y prácticas específicas de la industria. Prácticas de reconocimiento de ingresos.
Contabilización de los valores razonables.
Inventarios (por ejemplo, ubicaciones, cantidades).
Activos, pasivos y transacciones en moneda extranjera.
Categorías significativas específicas de la industria (por ejemplo, préstamos e inversiones para bancos, cuentas por cobrar e inventario para fabricantes, investigación y desarrollo para entidades farmacéuticas).
Contabilización de las transacciones inusuales o complejas, incluyendo las de las áreas controversiales o emergentes (por ejemplo, contabilización de la compensación con acciones).
Presentación y divulgación de los estados financieros.
Objetivos y estrategias y riesgos relacionados del negocio
Entre los ejemplos de asuntos que puede considerar el auditor se incluyen:
Existencia de objetivos (es decir, cómo aborda la entidad los factores industriales, regulativos y otros factores externos) en relación con, por ejemplo, los siguientes elementos:
o Desarrollos de la industria (un riesgo potencial relacionado con el negocio puede ser, por ejemplo, que la entidad no tiene el personal ni la experiencia para tratar con los cambios de la industria).
o Nuevos productos y servicios (un riesgo potencial relacionado con el negocio puede ser, por ejemplo, que hay un aumento en el pasivo del producto).
o Expansión del negocio (un riesgo potencial relacionado con el negocio puede ser, por ejemplo, que la demanda no ha sido estimada de manera precisa).
o Nuevos requerimientos contables (un riesgo potencial relacionado con el negocio podría ser, por ejemplo, una ejecución incompleta o indebida, o un aumento de los costos).
o Requerimientos regulativos (un riesgo potencial relacionado con el negocio podría ser, por ejemplo, que hay un aumento de la exposición legal).
o Requerimientos de financiamiento corrientes y a futuro (un riesgo potencial relacionado con el negocio podría ser, por ejemplo, la
pérdida de un financiamiento debido a la incapacidad de la entidad de cumplir con los requerimientos).
o Uso de tecnología de la información (un riesgo potencial relacionado con el negocio podría ser, por ejemplo, que los sistemas y procesos son incompatibles).
Efectos sobre la ejecución de una estrategia, particularmente cualquier efecto que cree nuevos requerimientos contables (un riesgo potencial relacionado con el negocio podría ser, por ejemplo, una ejecución incompleta o indebida).
Medición y revisión del desempeño financiero de la entidad
Entre los ejemplos de asuntos que puede considerar el auditor se incluyen:
Relaciones claves y estadísticas operativas Indicadores claves del desempeño
Medidas del desempeño de los empleados y políticas de compensación por incentivos
Tendencias
Uso de pronósticos, presupuestos y análisis de varianza.
Informes de analistas e informes de calificación crediticia.
Análisis de competidores
Desempeño financiero de período sobre período (crecimiento de los ingresos, rentabilidad, apalancamiento).
Apéndice 2: Componentes del control interno
1. Como se determinó en el párrafo 43 y se describió en los párrafos 67-99, el control interno consiste de los siguientes componentes:
a. El ambiente de controlb. El proceso de evaluación de riesgos de la entidad
c. El sistema de información, incluyendo los procesos de negocio relacionados, relevantes para la información financiera, y la comunicación
d. Las actividades de control
e. El monitoreo de los controles.
Este apéndice explica más detalladamente los componentes anteriormente expuestos en cuanto a su relación con una auditoría de estados financieros.
Ambiente de control
2. El ambiente de control incluye las destrezas, conocimientos y acciones de la gerencia y de las personas a cargo de la administración en cuanto al control interno de la entidad y su importancia en la entidad. El ambiente de control también incluye las funciones de administración y manejo y determina el tono de una organización, lo cual influye en la conciencia de control de sus empleados. Esta es la base para un control interno efectivo, ya que brinda disciplina y estructura.
3. El ambiente de control integra los siguientes elementos:
a. Comunicación y aplicación de los valores éticos y de integridad. La efectividad de los controles no pueden ser mayores que los valores éticos y de integridad de las personas que los crean, los administran y los monitorean. Los valores éticos y de integridad son elementos esenciales del ambiente de control que influyen en la efectividad del diseño, administración y monitoreo de otros componentes del control interno. La conducta ética y la integridad son productos de las normas éticas y de conducta, cómo estas son comunicadas y cómo son reforzadas en la práctica. Estas incluyen las medidas que toma la gerencia para eliminar o disminuir los incentivos y tentaciones que podrían hacer que el personal participe en actos deshonestos, ilegales o no éticos. Igualmente, estas incluyen la comunicación de los valores de la entidad y las normas de conducta al personal mediante las políticas y códigos de conducta y mediante el ejemplo.
b. Compromiso con la competencia. La competencia se refiere al conocimiento y destrezas necesarias para cumplir con las tareas que definen el trabajo de un individuo. El compromiso con la competencia incluye la consideración de la gerencia de los niveles de competencia para los trabajos particulares y cómo estos niveles se traducen en las destrezas y los conocimientos requeridos.
c. Participación por parte de las personas a cargo de la administración. La conciencia de control de una entidad está influenciada significativamente por las personas a cargo de la administración. Los atributos de las personas a cargo de la administración incluyen su independencia de la gerencia, su experiencia e importancia, el alcance de su participación y análisis de las actividades, el hecho de que sus acciones sean las apropiadas, la información que reciben, el grado al cual se presentan preguntas difíciles y están son seguidas por la gerencia, y su interacción con los auditores internos y externos. La importancia de las responsabilidades de las personas a cargo de la administración se reconoce en los códigos de práctica y otros reglamentos o lineamientos producidos para beneficio de las personas a cargo de la administración. Otras responsabilidades de las personas a cargo de la administración incluyen la supervisión del diseño y funcionamiento efectivo de los procedimientos de informantes y el proceso para revisar la efectividad del control interno de la entidad.
d. Filosofía y estilo operativo de la gerencia. La filosofía y estilo operativo de la gerencia integran un amplio rango de
características. Tales características pueden incluir las siguientes: enfoque de la gerencia para tomar y monitorear los riesgos del negocio; actitudes y acciones de la gerencia en cuanto a la información financiera (selección conservadora o agresiva de los principios contables alternativos disponibles y la rectitud y conservatismo con el cual se desarrollan las estimaciones contables); y actitudes de la gerencia en cuanto al procesamiento de la información y las funciones contables y el personal.
e. Estructura organizacional. La estructura organizacional de una entidad brinda la estructura dentro de la cual se planifican, ejecutan, controlan y revisan sus actividades para lograr los objetivos de toda la entidad. El establecimiento de una estructura organizacional relevante incluye considerar las áreas claves de autoridad y responsabilidad y las líneas de emisión de informes apropiadas. Una entidad desarrolla una estructura organizacional adecuada a sus necesidades. El hecho de que la estructura organizacional de una entidad sea apropiada depende, en parte, del tamaño y naturaleza de sus actividades.
f. Asignación de autoridad y responsabilidad. Este factor incluye cómo se asigna la autoridad y responsabilidad de las actividades operativas y cómo se establecen las relaciones de emisión de informes y las jerarquías de autorización. Igualmente, incluye las políticas relacionadas con las prácticas de negocio apropiadas, el conocimiento y la experiencia del personal clave, y los recursos provistos para llevar a cabo las tareas. Además, incluye las políticas y comunicaciones dirigidas a garantizar que todo el personal entienda los objetivos de la entidad, sepa cómo sus acciones individuales se interrelacionan y contribuyen con esos objetivos, y reconozca cómo y por qué serán responsables de esto.
g. Políticas y prácticas de recursos humanos. Las políticas y prácticas de recursos humanos están relacionadas con el reclutamiento, orientación, adiestramiento, evaluación, asesoría, promoción, compensación y medidas de saneamiento. Por ejemplo, las normas para reclutar a la mayoría de los individuos calificados (haciendo énfasis en los antecedentes educativos, experiencia de trabajo, logros y evidencia de integridad y conducta ética) demuestran el compromiso de la entidad para emplear personas competentes y que se sean dignas de confianza. Las políticas de adiestramiento que comunican roles y responsabilidades a futuro e incluyen prácticas tales como escuelas de adiestramiento y seminarios ilustran los niveles esperados de desempeño y conducta. Las promociones otorgadas mediante evaluaciones periódicas del desempeño demuestran el compromiso de la entidad a que su personal avance a niveles más altos de responsabilidad.
Aplicación a entidades pequeñas
4. Las entidades pequeñas pueden ejecutar elementos del ambiente de control de una manera diferente a la manera en que los aplican las entidades más grandes. Por ejemplo, las entidades pequeñas podrían no tener un código de conducta escrito sino, en cambio, podrían desarrollar una cultura que hace énfasis en la importancia de la integridad y la conducta ética mediante la comunicación oral y mediante el ejemplo de la gerencia. De manera similar, las personas a cargo de la administración en las entidades pequeñas pueden no incluir a un miembro independiente o externo.
Proceso de evaluación de riesgos de la entidad
5. El proceso de evaluación de riesgos de una entidad es su proceso para identificar y responder a los riesgos del negocio y los resultados del mismo. Para fines de la información financiera, el proceso de evaluación de riesgos de la entidad incluye la manera en que la gerencia identifica los riesgos relevantes para preparar los estados financieros que dan una visión veraz y justa (o presentan razonablemente, respecto de todo lo de una importancia relativa) de acuerdo con la estructura de información financiera aplicable de la entidad, estima su importancia, evalúa la probabilidad de su ocurrencia y toma las decisiones sobre las medidas para manejarlos. Por ejemplo, el proceso de evaluación de riesgos de la entidad puede abordar de qué manera la entidad considera la posibilidad de tener transacciones no registradas o cómo identifica y analiza las estimaciones significativas registradas en los estados financieros. Los riesgos relevantes para la información financiera confiable también se relacionan con hechos o transacciones específicas.
6. Los riesgos relevantes para la información financiera incluyen los hechos y circunstancias externos e internos que pueden ocurrir y afectar adversamente la capacidad de una entidad para iniciar, registrar, procesar e informar la información financiera de manera uniforme con las aserciones de la gerencia en los estados financieros. Después de que se identifican los riesgos, la gerencia considera su importancia, la probabilidad de su ocurrencia, y cómo deben manejarse. La gerencia puede desarrollar planes, programas o medidas para abordar los riesgos específicos o puede decidir aceptar un riesgo debido a su costo u otras consideraciones. Los riesgos pueden surgir o cambiar debido a diversas circunstancias tales como las siguientes:
Cambios en el ambiente operativo. Los cambios en el ambiente regulativo u operativo pueden originar cambios en las presiones competitivas y riesgos significativamente diferentes.
Personal nuevo. El personal nuevo puede tener un énfasis diferente en el control interno, o un entendimiento diferente sobre este.
Sistemas de información nuevos o renovados. Los cambios significativos y rápidos en los sistemas de información pueden cambiar el riesgo relacionado con el control interno.
Crecimiento rápido. La expansión rápida y significativa de las operaciones puede forzar los controles y aumentar el riesgo de que se presente una falla en estos.
Nueva tecnología. La incorporación de nuevas tecnologías en los procesos de producción o en los sistemas de información puede modificar el riesgo asociado con el control interno.
Nuevos modelos, productos o actividades del negocio. La entrada a áreas del negocio o transacciones con las cuales una entidad tiene poca experiencia puede presentar nuevos riesgos asociados con el control interno.
Reestructuraciones corporativas. Las reestructuraciones pueden estar acompañadas por reducciones del personal y cambios en la supervisión y separación de las tareas que pueden modificar el riesgo asociado con el control interno.
Expansión de las operaciones extranjeras. La expansión o adquisición de las operaciones extranjeras conlleva a riesgos nuevos y con frecuencia únicos que pueden afectar el control interno, por ejemplo, riesgos adicionales o modificados de las transacciones en moneda extranjera.
Nuevos pronunciamientos contables. La adopción de nuevos principios contables o la modificación de los principios contables pueden afectar los riesgos al preparar los estados financieros.
Aplicación a entidades pequeñas
7. Los conceptos básicos del proceso de evaluación de riesgos de la entidad son relevantes para todas las entidades, sin importar su tamaño, pero el proceso de evaluación de riesgos probablemente será menos formal y menos estructurado en las entidades pequeñas que en las más grandes. Todas las entidades deben haber establecido objetivos de información financiera, pero pueden haberse reconocido implícitamente y no explícitamente en las entidades pequeñas. La gerencia puede conocer los riesgos relacionados con estos objetivos sin usar un proceso formal, pero mediante la participación directa y personal con los empleados y socios externos.
Sistema de información, incluyendo los procesos de negocio relacionados, relevante para la información financiera, y la comunicación
8. Un sistema de información consiste de infraestructura (componentes físicos y equipos de computación), programas de computación, personas, procedimientos e información. La infraestructura y los programas de computación estarán ausentes, o tendrán menos importancia, en los sistemas que son exclusivamente o principalmente manuales. Muchos sistemas de información hacen un uso extenso de la tecnología de la información.
9. El sistema de información relevante para los objetivos de información financiera, que incluye el sistema de información financiera, consiste de los procedimientos y registros establecidos para iniciar, registrar, procesar e
informar las transacciones (así como hechos y condiciones) de la entidad y para mantener la responsabilidad por los activos, pasivos y patrimonio relacionados. Las transacciones pueden iniciarse manualmente o automáticamente mediante procedimientos programados. El registro incluye la identificación y registro de información relevante para las transacciones o sucesos. El procesamiento incluye funciones como edición y validación, cálculo, medición, valuación, resumen y conciliación, bien sea realizadas por procedimientos automatizados o manuales. La emisión de informes se relaciona con la preparación de informes financieros, así como otra información, en formato electrónico o impreso, que la entidad usa para medir y revisar el desempeño financiero de la entidad, así como otras funciones. La calidad de la información generada por el sistema afecta la capacidad de la gerencia de tomar decisiones apropiadas al manejar y controlar las actividades de la entidad y de preparar informes financieros confiables.
10. De acuerdo con esto, un sistema de información integra los métodos y registros que:
Identifican y registran todas las transacciones válidas. Describen de manera oportuna las transacciones de manera
suficientemente detallada para permitir una clasificación apropiada de las transacciones para la información financiera.
Miden el valor de las transacciones de una manera tal que permite el registro de su valor monetario en papel en los estados financieros.
Determinan el período de tiempo en el cual ocurren las transacciones para permitir el registro de transacciones en período contable adecuado.
Presentan adecuadamente las transacciones y las divulgaciones relacionadas en los estados financieros.
11. La comunicación implica brindar un entendimiento de los roles y responsabilidades individuales que pertenecen al control interno sobre la información financiera. Esto incluye el alcance al cual el personal entiende cómo las actividades que realizan en el sistema de información financiera se relacionan con el trabajo de otras personas y los medios de las excepciones de la emisión de informes a un nivel adecuadamente alto dentro de la entidad. Los canales abiertos de comunicación ayudan a garantizar que las excepciones son informadas y que se toman las medidas pertinentes al respecto.
12. La comunicación toma formas tales como manuales de políticas, manuales de contabilidad y de información financiera, y memorandos. La comunicación también puede hacerse de manera electrónica, oral, y mediante las acciones de la gerencia.
Aplicación a entidades pequeñas
13. Los sistemas de información y los procesos del negocio relacionados que son relevantes para la información financiera en entidades pequeñas probablemente serán menos formales que en las entidades más grandes, pero su rol es igual de significativo. Las entidades pequeñas con participación activa de la gerencia pueden no necesitar descripciones extensas de los procedimientos contables, registros contables sofisticados ni políticas escritas. La comunicación puede ser menos formal y más fácil de lograr en una entidad pequeña debido a su tamaño, a que esta tiene menos niveles, así como a una mayor visibilidad y disponibilidad.
Actividades de control
14. Las actividades de control son las políticas y procedimientos que ayudan a garantizar las directivas de la gerencia sean aplicadas, por ejemplo, que se tomen las medidas necesarias para abordar los riesgos que amenazan el logro de los objetivos de la entidad. Las actividades de control, en sistemas de tecnología de la información o en sistemas manuales, tienen varios objetivos y son aplicadas en varios niveles organizacionales y funcionales.
15. Por lo general, las actividades de control que pueden ser relevantes para una auditoría pueden clasificarse como políticas y procedimientos que pertenecen a las siguientes áreas:
Revisiones del desempeño. Estas actividades de control incluyen revisiones y análisis del desempeño real versus presupuestos, pronósticos y desempeño del período anterior; relaciones entre diferentes conjuntos de información (operativa o financiera), junto con análisis de las relaciones y las medidas investigativas y correctivas; comparación de la información interna con fuentes externas de información; y revisión del desempeño funcional o de actividades, tal como la revisión que hace el gerente de préstamos bancarios a los clientes de los informes por sucursal, región y tipo de préstamo para las aprobaciones y cobros de los préstamos.
Procesamiento de la información. Se aplica una variedad de controles para verificar la precisión, integridad y autorización de las transacciones. Los dos grupos amplios de las actividades de control de los sistemas de información son los controles de aplicación y los controles generales de tecnología de la información. Los controles de aplicación se ejecutan en el procesamiento de las aplicaciones individuales. Estos controles ayudan a garantizar que las transacciones ocurrieron, son autorizadas y son registradas y procesadas completamente y de manera precisa. Algunos ejemplos de los controles de aplicación incluye la verificación de la precisión aritmética de los registros, el mantenimiento y revisión de las cuentas y balances de comprobación, los controles automatizados tales como verificaciones de edición de la información entrante y los chequeos de secuencia numérica, y seguimiento manual de los informes de excepción. Los controles generales de tecnología de la información son políticas y procedimientos que se relacionan con muchas aplicaciones y respaldan el funcionamiento efectivo de los controles de aplicación, ayudando a garantizar el funcionamiento apropiado y continuo de los
sistemas de información. Los controles generales de tecnología de la información comúnmente incluyen controles sobre las operaciones del centro de información y de la red; adquisición, cambio y mantenimiento; seguridad de acceso; y adquisición, desarrollo y mantenimiento del sistema de aplicación. Estos controles se aplican a los ambientes de mainframe, miniframe y usuario final. Algunos ejemplos de tales controles generales de tecnología de la información son los controles de cambio de programas, los controles que restringen el acceso a los programas o a la información, los controles sobre la ejecución de nuevas versiones de aplicaciones de programas de computación en paquete y los controles sobre los programas de computación del sistema que restringen el acceso al sistema, o monitorean su uso, que podría modificar la información financiera o los registros sin dejar rastro de la auditoría.
Controles físicos. Estas actividades integran la seguridad física de los activos, incluyendo las salvaguardas adecuadas tales como instalaciones aseguradas del acceso a activos y registros; autorización para acceder a programas de computación y archivos de información; y conteo periódico y comparación con los montos mostrados en los registros de control (por ejemplo, comparación de los resultados de efectivo, seguridad y conteos del inventario con los registros contables). El alcance al cual los controles físicos, cuya intención es prevenir el robo de activos, son relevantes para la confiabilidad de la preparación de los estados financieros y, por lo tanto, la auditoría depende de circunstancias tales como el momento en que los activos son muy susceptibles a la malversación. Por ejemplo, estos controles generalmente no serían relevantes cuando se detecte cualquier pérdida del inventario, según una inspección física periódica, y se registren en los estados financieros. Sin embargo, si para fines de la información financiera la gerencia confía únicamente en los registros perpetuos del inventario, los controles físicos de seguridad serían relevantes para la auditoría.
Separación de tareas. Mediante la asignación de personas diferentes a las responsabilidades de autorizar transacciones, registrar transacciones y mantener la custodia de los activos se pretende reducir las oportunidades de permitir que cualquier persona esté en una posición en la que puede perpetrar y ocultar errores o fraude mientras el auditor realiza sus tareas. Algunos ejemplos de separación de tareas incluyen la emisión de informes, la revisión y la aprobación de conciliaciones, y la aprobación y control de documentos.
16. Algunas actividades de control pueden depender de la existencia de políticas apropiadas del nivel más alto establecidas por la gerencia o por las personas a cargo de la administración. Por ejemplo, los controles de autorización pueden delegarse de acuerdo con lineamientos establecidos, tales como criterios de inversión fijados por las personas a cargo de la administración; de manera alternativa, las transacciones no rutinarias tales como adquisiciones importantes o desinversiones pueden requerir de una aprobación específica de alto nivel, incluyendo en algunos casos la de los accionistas.
Aplicación a las entidades pequeñas
17. Los conceptos que subyacen a las actividades de control en las entidades pequeñas probablemente serán similares a los de las entidades más grandes, pero la formalidad con la cual funcionan varía. Además, las entidades pequeñas pueden considerar que algunos tipos de actividades de control no son relevantes, debido a los controles aplicados por la gerencia. Por ejemplo, la retención de autoridad por parte de la gerencia para aprobar las ventas a crédito, las compras significativas y las entregas de fondos prestados sobre líneas de crédito, puede brindar un fuerte control sobre esas actividades, disminuyendo o eliminando la necesidad de actividades de control más detalladas. Frecuentemente, una separación de tareas apropiada parece presentar dificultades en las entidades pequeñas. Sin embargo, incluso las compañías que sólo tienen pocos empleados pueden estar en capacidad de asignar sus responsabilidades para lograr una separación apropiada o, si esto no es posible, usar la supervisión de la gerencia de las actividades incompatibles para lograr los objetivos de control.
Monitoreo de controles
18. Una responsabilidad importante de la gerencia es establecer y mantener un control interno de manera continua. El monitoreo de los controles por parte de la gerencia incluye el considerar si están funcionando como se pretende y que sean modificados según sea adecuado de acuerdo con los cambios que se presenten en las condiciones. El monitoreo de los controles puede incluir actividades tales como revisión de la gerencia del hecho que de que las conciliaciones bancarias se estén preparando de manera oportuna, la evaluación del auditor interno del cumplimiento del personal de ventas con las políticas de la entidad en términos del contrato de ventas, y la supervisión de un departamento legal del cumplimiento con las políticas éticas o de práctica del negocio de la entidad.
19. El monitoreo de los controles es un proceso que sirve para evaluar la calidad del desempeño del control interno en el tiempo. Este implica la evaluación del diseño y operación de los controles de manera oportuna y tomar las medidas correctivas necesarias. El monitoreo se hace para garantizar que los controles siguen funcionando de manera efectiva; por ejemplo, si la oportunidad y precisión de las conciliaciones bancarias no son monitoreadas, el personal probablemente no seguirá preparándolas. El monitoreo de los controles se logra mediante las actividades de monitoreo continuo, las evaluaciones separadas o una combinación de ambos.
20. Las actividades de monitoreo son incorporadas a las actividades normales recurrentes de una entidad e incluyen actividades regulares de dirección y supervisión. Los gerentes de ventas, compras y producción en los niveles divisionales y corporativos están en contacto con las operaciones y pueden cuestionar los informes que difieran significativamente de su conocimiento de las operaciones.
21. En muchas entidades, los auditores internos o el personal que realiza funciones similares contribuyen con el monitoreo de los controles de una entidad mediante evaluaciones separadas. Estos generalmente brindan información sobre el funcionamiento del control interno haciendo énfasis en la evaluación del diseño y operación del control interno e, igualmente, comunican información sobre las fortalezas y debilidades y recomendaciones para mejorar el control interno.
22. Las actividades de monitoreo pueden incluir el uso de información proveniente de las comunicaciones emitidas por partes externas, la cual puede indicar problemas o resaltar áreas que necesitan mejoría. Los clientes corroboran implícitamente la información de facturación pagando sus facturas o reclamando acerca de sus cargos. Además, los entes reguladores pueden comunicarse con la entidad para discutir sobre asuntos que afectan el funcionamiento del control interno, por ejemplo, comunicaciones sobre exámenes hechos por agencias que regulan a instituciones bancarias. Igualmente, la gerencia puede considerar las comunicaciones relacionadas con el control interno provenientes de auditores externos al realizar las actividades de monitoreo.
Aplicación a entidades pequeñas
23. Es más probable que las actividades de monitoreo continuo de las entidades pequeñas sean informales y se realicen generalmente como parte de la dirección general de las operaciones de la entidad. Frecuentemente, la participación cercana de la gerencia en las operaciones identificará variaciones significativas de las expectativas e imprecisiones en la información financiera lo cual conduce al desarrollo de medidas correctivas del control.
Apéndice 3: Condiciones y sucesos que pueden indicar riesgos de error significativo
Los siguientes son ejemplos de condiciones y sucesos que pueden indicar la existencia de riesgos de error significativo. Los ejemplos provistos cubren un amplio rango de condiciones y sucesos; sin embargo, no todas las condiciones y sucesos son relevantes para todos los compromisos de auditoría y la lista de ejemplos no necesariamente está completa.
Operaciones en regiones que son económicamente inestables, por ejemplo, países que tengan una devaluación de la moneda significativa o economías altamente inflacionarias.
Operaciones expuestas a mercado volátiles, por ejemplo, comercialización a futuro.
Alto grado de reglamentos complejos.
Asuntos de empresa en marcha y liquidez, incluyendo una pérdida de clientes significativos.
Coacciones en cuanto a la disponibilidad de capital y créditos.
Cambios en la industria en la cual funciona la entidad.
Cambios en la cadena de suministro.
Desarrollo u oferta de nuevos productos o servicios, o cambio a nuevas líneas del negocio.
Expansión a nuevos lugares.
Cambios en la entidad, tales como adquisiciones grandes o reorganizaciones u otros sucesos inusuales.
Probabilidad de venta de entidades o segmentos del negocio.
Alianzas y negocios conjuntos complejos.
Uso de financiamiento fuera del balance general, entidades con cometido especial y otros acuerdos complejos de financiamiento.
Transacciones significativas con partes relacionadas.
Falta de personal con las destrezas contables y de información financiera apropiadas.
Cambios en el personal clave, incluyendo la salida de ejecutivos claves.
Debilidades en el control interno, especialmente las que no son abordadas por la gerencia.
Faltas de uniformidad entre la estrategia de tecnología de la información de la entidad y sus estrategias de negocio.
Cambios en el ambiente de tecnología de la información.
Instalación de sistemas nuevos y significativos de tecnología de la información relacionados con la información financiera.
Preguntas sobre las operaciones o resultados financieros de la entidad por parte de entes reguladores u otros cuerpos gubernamentales.
Errores pasados, historia de errores o una cantidad significativa de ajustes al final del ejercicio.
Cantidad significativa de transacciones no rutinarias o no sistemáticas, incluyendo transacciones entre compañías y transacciones de ingresos grandes al final del ejercicio.
Transacciones que son registradas sobre la base de la intención de la gerencia, por ejemplo, refinanciamiento de la deuda, activos que serán vendidos y clasificación de títulos valores negociables.
Aplicación de nuevos pronunciamientos contables.
Mediciones contables que implican procesos complejos.
Sucesos o transacciones que implican una medición significativa de la incertidumbre, incluyendo estimaciones contables.
Litigios pendientes y pasivos contingentes, por ejemplo, garantías de ventas, garantías financieras y saneamiento ambiental.
NIA 320 - IMPORTANCIA RELATIVA DE LA AUDITORÍA
(Esta norma está vigente, pero incluye algunas modificaciones que se estarán vigentes en una fecha futura)*
* Las Normas de Riesgo de Auditoría, que incluyen la NIA 315 “Entendimiento de la entidad y su ambiente y evaluación de los riesgos de error significativo”, la NIA 330, “Procedimientos del auditor en respuesta a los riesgo evaluados” y la NIA 500 (revisada) “Evidencia de auditoría”, originan modificaciones para la NIA 320. Estas modificaciones están vigentes para las auditorías de los estados financieros que comiencen a partir del 15 de diciembre 2004.
CONTENIDO Párrafos
Introducción 1-3
Importancia relativa de la auditoría 4-8
La relación entre la importancia relativay el riesgo de auditoría
9-11
Evaluación del efecto de las representaciones erróneas 12-16
Perspectiva del sector público 1
La Norma Internacional de Auditoría (NIA) 320, “Importancia relativa de la Auditoría”, debe entenderse en el contexto del “Prefacio a las Normas Internacionales sobre el control de calidad, auditoría, aseguramiento y servicios relacionados”, que establece la aplicación y autoridad de las NIA.
Introducción
1. El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar lineamientos sobre el concepto de importancia relativa y su relación con el riesgo de auditoría.
2. El auditor deberá considerar la importancia relativa y su relación con el riesgo de auditoría cuando conduzca una auditoría.
3. "Importancia Relativa" es definida en "la Estructura para la Preparación y Presentación de Estados Financieros" del Comité Internacional de Normas de Contabilidad (IASC) en los términos siguientes:
"La información es de importancia relativa si su omisión o representación errónea pudiera influir en las decisiones económicas de los usuarios tomadas con base en los estados financieros. La importancia relativa depende del tamaño de la partida o error juzgado en las circunstancias particulares de su omisión o representación errónea. Así, la importancia relativa ofrece un umbral o punto de corte, más que ser una característica primordial cualitativa que deba tener la información para ser útil".
Importancia relativa
4. El objetivo de una auditoría de estados financieros es hacer posible al auditor expresar una opinión sobre si los estados financieros están preparados, respecto de todo lo importante, de acuerdo con la estructura para informes financieros identificada. La evaluación de qué es importante es un asunto de juicio profesional.
5. Al diseñar el plan de auditoría el auditor establece un nivel aceptable de importancia relativa a modo de detectar en forma cuantitativa las representaciones erróneas de importancia relativa. Sin embargo es necesario considerar tanto el monto (cantidad) y la naturaleza (calidad) de las representaciones. Ejemplos de representaciones erróneas cualitativas serían la descripción inadecuada e impropia de una política de contabilidad cuando es probable que un usuario de los estados financieros fuera guiado equivocadamente por la descripción, y el dejar de divulgar la infracción a requisitos reguladores cuando es probable que la imposición consecuente de restricciones reguladoras hará disminuir en forma importante la capacidad de operación.
6. El auditor necesita considerar la posibilidad de representaciones erróneas de cantidades relativamente pequeñas que, acumulativamente podrían tener un efecto importante en los estados financieros. Por ejemplo, un error en un procedimiento de fin de mes podría ser una indicación de una representación errónea de importancia relativa si ese error se repitiera cada mes.
7. El auditor considera la importancia relativa tanto al nivel global del estado financiero como en relación a saldos de cuentas particulares, tipos de transacciones y divulgaciones. La importancia relativa puede verse influenciada por consideraciones como requerimientos legales y reguladores y consideraciones que se refieren a saldos de una cuenta de los estados financieros y sus relaciones con otras cuentas. Este proceso puede dar como resultado diferentes niveles de importancia relativa dependiendo del aspecto de los estados financieros que está siendo considerado.
8. La importancia relativa debería ser considerada por el auditor cuando:
(a) determina la naturaleza, tiempo y alcance de los procedimientos de auditoría; y
(b) evalúa el efecto de las representaciones erróneas.
La relación entre importancia relativa y el riesgo de auditoría
9. Cuando planifica la auditoría, el auditor debe considerar qué haría que los estados financieros estuvieran representados erróneamente con una importancia relativa. El entendimiento del auditor de la entidad y su entorno establece un marco de referencia dentro del cual el auditor planifica y ejerce el juicio profesional en relación con la evaluación de los riesgos de error significativo en los estados financieros y la respuesta a estos riesgos a lo largo de la auditoría. También ayuda al auditor a establecer la importancia relativa y al evaluar si el juicio sobre ésta sigue siendo adecuado a medida que progresa la auditoría. La evaluación del auditor de la importancia relativa, relacionada con saldos de cuenta y tipos de transacciones específicos, ayuda al auditor a decidir cuestiones como qué partidas examinar y si usar procedimientos de muestreo y analíticos. Esto permite al auditor seleccionar procedimientos de auditoría que, en combinación, puede esperarse que reduzcan el riesgo de auditoría a un nivel aceptablemente bajo.
10. Existe una relación inversa entre la importancia relativa y el nivel de riesgo de auditoría, es decir, que mientras más alto el nivel de importancia relativa, más bajo el riesgo de auditoría y viceversa. El auditor toma en cuenta la relación inversa entre importancia relativa y riesgo de auditoría cuando determina la naturaleza, tiempo y alcance de los procedimientos de auditoría. Por ejemplo, si, después de planificar procedimientos de auditoría específicos, el auditor determina que el nivel de importancia relativa aceptable es más bajo, el riesgo de auditoría aumenta. El auditor compensará esto:
(a) reduciendo el nivel evaluado de riesgo de control, cuando esto sea factible, y respaldando el nivel reducido al llevar a cabo pruebas de control extensas o adicionales; o
(b) reduciendo el riesgo de detección al modificar la naturaleza, tiempo y alcance de los procedimientos sustantivos planificados.
Importancia relativa y riesgo de auditoría al evaluar evidencia de auditoría
11. La evaluación del auditor de importancia relativa y riesgo de auditoría puede ser diferente en el momento de planificar inicialmente el compromiso que al momento de evaluar los resultados de procedimientos de auditoría. Esto podría ser a causa de un cambio en circunstancias o debido a un cambio en el conocimiento del auditor como resultado de la auditoría. Por ejemplo, si la auditoría se planifica antes del final del periodo, el auditor anticipará los resultados de operaciones y la posición financiera. Si los resultados reales de operaciones y de la posición financiera son sustancialmente diferentes, la evaluación de importancia relativa y riesgo de auditoría también puede cambiar. Adicionalmente, al planificar el compromiso de auditoría, el auditor puede, intencionalmente, fijar el nivel de importancia relativa aceptable a un nivel más bajo de lo que se piensa usar para evaluar los resultados de la auditoría. Esto puede hacerse para reducir la probabilidad de representaciones erróneas no descubiertas y para dar al
auditor un margen de seguridad cuando evalúe el efecto de representaciones erróneas descubiertas durante la auditoría.
Evaluación del efecto de los errores
12. Al evaluar si los estados financieros están preparados, en todos los aspectos importantes, de acuerdo con la estructura de información financiera aplicable, el auditor debe evaluar si el agregado de los errores no corregidos que han sido identificados durante la auditoría, es de importancia relativa.
13. El agregado de errores no corregidos incluye:
(a) errores específicos identificados por el auditor incluyendo el efecto neto de errores no corregidos identificados durante la auditoría de periodos previos; y
(b) la mejor estimación del auditor de otros errores que no pueden ser identificadas específicamente (o sea, errores proyectados).
14. El auditor necesita considerar si el agregado de errores no corregidos es de importancia relativa. Si el auditor concluye que los errores pueden ser de importancia relativa, entonces necesita considerar el reducir el riesgo de auditoría ampliando los procedimientos de auditoría o pidiendo a la gerencia que ajuste los estados financieros. En todo caso, la gerencia puede desear ajustar los estados financieros según los errores identificados.
15. Si la gerencia se niega a ajustar los estados financieros y los resultados de los procedimientos de auditoría ampliados no permiten que el auditor concluya que el agregado de errores no corregidos no es de importancia relativa, el auditor debería considerar la modificación apropiada del informe del auditor de acuerdo con NIA 700 "Informe del Auditor sobre Estados Financieros".
16. Si el agregado de los errores no corregidos que el auditor ha identificado se acerca al nivel de importancia relativa, el auditor debería considerar si es probable que los errores no detectados, al tomarse con los errores no corregidos agregados podría exceder el nivel de importancia relativa. Así, al acercarse el agregado de errores no corregidos al nivel de importancia relativa, el auditor consideraría reducir el riesgo desempeñando procedimientos de auditoría adicionales o solicitando a la gerencia que ajuste los estados financieros según los errores no identificados.
Perspectiva del sector público
1. Al evaluar la importancia relativa, el sector público debe, además de ejercer el juicio profesional, considerar cualquier legislación o reglamento que pueda impactar dicha evaluación. En el sector público, la importancia relativa se basa también en el "contexto y naturaleza" de una partida e incluye, por ejemplo, susceptibilidad tanto como valor. La susceptibilidad cubre una variedad de asuntos tales como cumplimiento con las autoridades, interés legislativo o interés público.
