CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

(1)

CONDUCCIÓN DE UNA AUDITORÍA DE

ACUERDO CON LAS NIA

(2)

MARCO GENERAL

(3)

Evaluación de

riesgos

Respuesta al

riesgo

Presentación

de

informes

(4)

(5)

Entender el proceso

¿Existen controles relevantes?

Entender los riesgos, confirmar los objetivos de auditoría e identificar los controles relevantes.

.

El riesgo de que ocurran errores e irregularidades significativos** se ha

evaluado como alto Seleccionar un conjunto secundario para las pruebas*

.

¿Están bien diseñados los controles??

El riesgo preliminar de que ocurran errores e irregularidades significativos** se ha evaluado como bajo o moderado

.

Efectuar pruebas de control del conjunto secundario para respaldar el riesgo de que ocurran errores e irregularidades significativos**.

¿Son eficaces los controles (o sea, si se respalda el riesgo de que

ocurran errores e irregularidades significativos**)?

¿Existen controles adicionales?

Seleccionar otros controles .

Aumentar el riesgo de que ocurran errores e

irregularidades significativos** a alto Planear los procedimientos restantes de auditoría procedimientos analíticos Pruebas de detalle Fin si si si si no no no no

PROCESO DE AUDITORIA

BASADO EN RIESGO

* Incluye efectuar la prueba de detalles del conjunto secundario de los controles relevantes y evaluar el riesgo preliminar de que ocurran errores e irregularidades significativos con respecto a cada objetivo de auditoría.

** El riesgo de que ocurran errores e irregularidades significativos se evalúa con respecto a cada objetivo de auditoría. Las decisiones

sobre si

existe un control o si éste es eficaz debe considerarse con respecto a cada objetivo de auditoría. Una situación en la que no existan

controles

con respecto a cierto objetivo de auditoría (o sea, el riesgo de que ocurran errores e irregularidades significativos es alto) no significa que ha

de adoptarse un enfoque completamente sustantivo con respecto a todos los objetivos de auditoría; sólo aplicaría al objetivo de auditoría

bajo consideración.

(6)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

En la conducción de una auditoría, la firma de Contadores y el equipo de trabajo están

obligados a:

Cumplir con los requisitos éticos, incluyendo los relativos a la independencia.

Cumplir con los requisitos de control de calidad (NIA 220).

Realizar la auditoría de acuerdo con las NIAs.

Planificar y realizar una auditoría con una actitud de escepticismo profesional,

reconociendo que pueden existir circunstancias que provoquen que los estados

financieros contengan errores materiales.

Obtener una certeza razonable de que los estados financieros tomados en su conjunto

están libres de errores materiales, ya sea por fraude o error.

La preparación de los estados financieros requiere que la administración realice una

serie de juicios o supuestos que afectan las estimaciones contables significativas y que

controlan que sean adecuadas tales estimaciones en forma permanente.

Planear y realizar la auditoría para reducir el riesgo de auditoría hasta un nivel aceptable

bajo.

Determinar si el marco de información financiera adoptado por la administración, en la

preparación de los estados financieros, es aceptable teniendo en cuenta la naturaleza de

la entidad y el objetivo de los estados financieros.

(7)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

Etapas de una auditoría

El enfoque de auditoría debe ser diseñado para reunir las pruebas suficientes y apropiadas

para apoyar el dictamen de auditoría de la manera más eficiente y eficaz.

a. Actividades preliminares del trabajo

En la etapa de planeación, el socio se asegura de que: NIA 300 - 315

Se haya obtenido la aceptación del cliente.

Se hayan revisado los aspectos de control de calidad para el trabajo incluyendo la revisión

de la competencia del equipo para llevar a cabo la asignación y control del cumplimiento

de los requisitos éticos, incluyendo la revisión de los requisitos de independencia.

(8)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

b. Planeación

De acuerdo con la NIA300, la auditoría de estados financieros, requiere de una planificación adecuada para alcanzar sus objetivos en la forma más eficiente posible. Desde luego, la planificación detallada de algunos procedimientos no puede hacerse con exactitud si no se conoce el resultado de algunos otros. Por

consiguiente, debe haber un plan inicial a ser revisado de manera continua y, en su caso, modificado, al mismo tiempo que se supervise el trabajo ya efectuado. El objetivo del auditor es planear la auditoría para que ésta sea realizada de manera efectiva. Los componentes clave de la planificación son:

i. Identificar el alcance del trabajo. ii. Desarrollar:

Una estrategia de auditoría, teniendo en cuenta el alcance del trabajo. El negocio y el entorno normativo en el que opera la entidad.

Los objetivos de información, el calendario o programa de auditoría y la naturaleza de la comunicación requerida.

Cuestiones relacionadas con la dirección de la auditoría incluyendo el establecimiento preliminar de niveles de materialidad, la revisión preliminar de riesgos incluyendo el riesgo de fraude, la revisión preliminar de control interno, incluido el entorno de control y el proceso adoptado por la entidad para identificar, medir, monitorear y controlar los riesgos.

iii. Desarrollar, con base en lo anterior, el plan general de auditoría detallando la naturaleza, el calendario o programa y el alcance de los procedimientos de auditoría que se van a llevar a cabo con el fin de reducir el riesgo de auditoría a un nivel aceptablemente bajo, la naturaleza de las pruebas que se van a adoptar, los procedimientos que se realicen al nivel de aseveración y la adaptación de los programas o cédulas de auditoría a las necesidades específicas.

(9)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

La planificación implica elaborar la estrategia de auditoría de acuerdo con el tipo de

trabajo a desarrollar con el propósito de minimizar los riesgos a un nivel aceptable para el

auditor. Los objetivos de la planificación son:

Enfocar el trabajo en las áreas importantes

Resolver problemas potenciales de forma oportuna

Organizar y administrar, de forma apropiada, el trabajo de auditoría de modo que se

desempeñe de manera efectiva y eficiente

Asistir en la selección de los miembros del equipo de trabajo con los niveles

apropiados de capacidades, así como la competencia para responder a los riesgos

previstos, y la asignación apropiada de trabajo a los mismos

Facilitar la dirección y supervisión de los miembros del equipo del trabajo, así como

de la revisión de su trabajo

Asistir, cuando se aplicable, en la coordinación del trabajo hecho por auditores de

componentes y/o especialistas

(10)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

Actividades preliminares al inicio de una planificación de Auditoría

La NIA 300 define algunas actividades preliminares al inicio de una planificación de auditoría: • Haber evaluado la continuidad de la relación con el cliente

• Evaluar el cumplimiento de los requisitos éticos relevantes (Independencia y conflictos de intereses).

• Aceptación de los términos del trabajo por parte del cliente.

Trabajos Iniciales – Clientes de Primer Año

De acuerdo con la NIA 510, cuando el auditor conduce un trabajo de auditoria inicial su objetivo es obtener suficiente evidencia apropiada sobre si los saldos iniciales contienen errores significativos que puedan afectar los estados financieros actuales, y si las políticas contables se han aplicado

apropiadamente y los cambios se han registrado apropiadamente de acuerdo con el marco de referencia de información financiera aplicable.

(11)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

Aspectos relevantes a tener en cuenta en la planificación de una Auditoría

1. Antes de iniciar nuestro proceso de auditoría debemos tener claros nuestros objetivos. Sugerimos que los objetivos estén alineados de acuerdo con el modelo COSO, dentro de las siguientes

categorías:

a. Operacionales: utilización eficaz y eficiente de los recursos de una organización. (Por ej.

Rendimiento, Rentabilidad, Salvaguarda de activos, etc.)

b. Información financiera: preparación y publicación de estados financieros fiables. c. Cumplimiento: Cumplimiento de las leyes y normas aplicables.

El alcance de la auditoría debe estar encaminado a asegurar el cumplimiento de estos objetivos dependiendo el tipo de auditoría que realicemos. Ejemplo: para una auditoría financiera nuestro trabajo estará enfocado a evaluar el cumplimiento del objetivo relacionado con la preparación y publicación de estados financieros fiables y de cumplimiento. Para un trabajo de Auditoria

independiente o Revisoría Fiscal, tendremos que abarcar los tres objetivos enunciados en COSO (operacionales, de información financiera y cumplimiento)

2. La auditoría se debe realizar por personal que tenga un entrenamiento técnico adecuado y experiencia en auditoría. Es recomendable trabajar con un equipo multidisciplinario de acuerdo con las necesidades del cliente, el tipo de auditoría, y en lo posible, con experiencia en la

industria. Ejemplos: Contadores, Abogados, Ingenieros de Sistemas, Ingenieros Industriales, Especialistas en Impuestos, Especialistas en temas de la Industria, etc.

(12)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

3. En la planificación de la auditoría es vital lograr un entendimiento integral del negocio, del

ambiente de la industria y externo, que facilite la identificación de riesgos. El número de riesgos significativos identificados es directamente proporcional al grado de entendimiento del negocio, su ambiente externo y de la industria. A mayor entendimiento, mayor es la probabilidad de

identificar riesgos significativos. Los riesgos significativos son aquellos con una alta probabilidad de ocurrencia y un impacto significativo en los estados financieros

4. En la planificación de la auditoría, nuestros esfuerzos deben ir encaminados principalmente a:

a. Identificar riesgos significativos del negocio y sus implicaciones en los estados financieros

(provisiones en los estados financieros y/o revelaciones)

b. Identificar riesgos significativos de fraude y sus implicaciones en los estados financieros

(Malversación de activos y/o información financiera fraudulenta)

c. Determinar las transacciones significativas que se registran en los estados financieros

(13)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

5. Definir la materialidad de planificación. La materialidad de planificación le permite al auditor enfocarse en los aspectos relevantes de los estados financieros

6. El entendimiento del negocio lo realizamos de arriba hacia abajo, por esto es importante entrevistarnos con la alta gerencia, para conocer sus objetivos, estrategias, los riesgos que pueden impedir que la compañía logre los objetivos y los controles que tiene para mitigar esos riesgos

7. En la planificación de la auditoría el auditor debe complementar su trabajo mediante la

realización de procedimientos analíticos preliminares que incluyan el análisis de indicadores, tanto financieros como no financieros, de rendimiento

8. Dentro de la planificación de la auditoría, es recomendable efectuar un recorrido por las instalaciones físicas con el fin de comprender mejor el negocio y poder conocer el personal clave

(14)

9. Es importante documentarnos lo mejor posible mediante información interna y externa:

Información Interna

Estatutos

Manuales de procedimientos Políticas

Actas (Asamblea de Accionistas, Junta Directiva, Comités, etc) Reportes de la gerencia a la junta directiva

Contratos

Correspondencia con entidades de vigilancia y control Correspondencia con abogados

Certificado de Cámara de Comercio Intranet de la compañía

Página web de la Compañía

Información Externa

Revistas y diarios

Portales de búsqueda en la web Bases de datos

Cámara de comercio

10. Al final de la planificación de la auditoría debemos validar el entendimiento del negocio, los riesgos identificados y los hallazgos, con la gerencia del cliente.

(15)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

c. Ejecución

Los componentes clave de la fase de ejecución son los siguientes:

La realización de la prueba de los controles y las pruebas sustantivas sobre las transacciones y saldos, incluyendo los procedimientos analíticos sustantivos para obtener evidencia de auditoría suficiente y adecuada para que el equipo de trabajo pueda llegar a conclusiones razonables sobre las cuales se base el dictamen de auditoría.

Evaluación de los supuestos significativos utilizados en la medición del valor razonable.

La identificación de partes relacionadas y la obtención de pruebas suficientes y adecuadas de auditoría en materia de medición y la divulgación de las transacciones con partes relacionadas. La documentación de la naturaleza, el calendario o programa y del alcance de los procedimientos de auditoría realizados y los resultados y las conclusiones alcanzadas de la evidencia de auditoría obtenida.

(16)

CONDUCCIÓN DE UNA AUDITORÍA DE ACUERDO CON LAS NIA

d. Conclusión y otras áreas de auditoría

La revisión y los procedimientos de conclusión se concentran en asegurar que se haya obtenido evidencia suficiente y adecuada para apoyar el dictamen de auditoría. Se trata de afirmar que:

Se hayan aclarado todos los asuntos pendientes.

Se hayan documentado y resuelto las consultas sobre asuntos difíciles o polémicos de manera adecuada y que se hayan aplicado las conclusiones pertinentes.

Se hayan realizado los procedimientos analíticos para llegar a una conclusión sobre si los estados financieros tomados en su conjunto son consistentes con los conocimientos del negocio por parte de la firma.

En caso de que no se pudiera obtener de manera razonable otra evidencia de auditoría, que se hayan obtenido declaraciones por escrito de la administración en áreas materiales para los estados financieros.

Existe evidencia de que el equipo de trabajo ha considerado y confirmado que el marco de

información financiera adoptado por la entidad es aceptable y que los estados financieros cumplen con este, en cuanto al reconocimiento y a la medición, representación y la revelación.

El socio encargado ha revisado el expediente de auditoría y se estima que se han obtenido pruebas suficientes y adecuadas para apoyar las conclusiones derivadas y el dictamen de auditoría que se va a emitir.

(17)

El auditor debe considerar los niveles evaluados de los riesgos inherentes y de control al determinar la naturaleza, oportunidad y alcance de los procedimientos de auditoría requeridos para reducir el riesgo de auditoría a un nivel aceptable. Al respecto el auditor debe considerar:

a. La naturaleza de los procedimientos de auditoría, por ejemplo, usar pruebas dirigidas hacia terceros fuera de la Compañía en lugar de dirigir las pruebas hacia individuos o documentación de la

Compañía (NIA 505), o usar pruebas detalladas para un objetivo particular de auditoría en adición a procedimientos analíticos (NIA 500-501 y 520).

b. La oportunidad de los procedimientos sustantivos, por ejemplo, realizarlos al final del período en lugar de una fecha anterior y

c. La extensión de los procedimientos sustantivos, por ejemplo, aplicando una muestra mayor (NIA 530)

(18)

¿QUÉ ES AUDITORÍA BASADA EN RIESGOS?

NIA 200

El objetivo de la auditoría de estados financieros es permitirle al auditor expresar una opinión respecto de si los estados financieros están preparados, en todos los aspectos materiales, de acuerdo con la estructura aplicable de información financiera.

En la auditoría basada en riesgos el objetivo del auditor es obtener seguridad razonable de que en los estados financieros no existan declaraciones equivocadas materiales causadas por fraude o error. Esto implica tres pasos clave:

Valorar los riesgos de declaración equivocada material contenida en los estados financieros;

Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros; y

(19)

.

El auditor no puede dar seguridad absoluta debido a las limitaciones inherentes del trabajo llevado a cabo, los juicios humanos que se requieren, y la naturaleza de la evidencia examinada. La siguiente muestra resalta algunas de las limitaciones de la auditoría

LIMITACIONES RAZONES

Uso de pruebas Cualquier muestra menor que el 100% de la población introduce algún riesgo de que la declaración equivocada no será detectada.

Limitaciones del control interno

Aún los controles mejor diseñados y más efectivos pueden ser eludidos o negados por la administración o por colusión entre los empleados.

Fraude que permanece sin ser detectado

Dado que el fraude está específicamente diseñado para no ser descubierto, siempre hay la posibilidad de que no será descubierto.

Naturaleza de la evidencia de auditoría disponible

La mayoría de la evidencia de auditoría tiende a ser de carácter persuasiva, más que conclusiva

Disponibilidad de la evidencia de auditoría

Puede estar disponible respaldo insuficiente para llegar a conclusiones absolutas sobre aserciones específicas tales como los estimados hechos a valor razonable

Confianza en los juicios hechos por el auditor

Se requiere juicio profesional para:

• Identificar y tratar de manera apropiada los factores de riesgo;

• Decidir qué evidencia obtener;

• Valorar los estimados hechos por la administración; y

• Obtener conclusiones con base en la evidencia y las representaciones de la administración

Dificultad para asegurar la completitud

Hay el riesgo de que alguna información importante no se conozca, no se obtenga o le haya sido ocultada al auditor

¿QUÉ ES AUDITORÍA BASADA EN RIESGOS?

NIA 200

(20)

El auditor debe planear y ejecutar la auditoría para reducir el riesgo de auditoría a un nivel bajo aceptable que sea consistente con el objetivo de la auditoría

El riesgo de auditoría contiene dos elementos clave:

El riesgo de que los estados financieros contengan una declaración equivocada material (riesgo inherente y de control);

El riesgo de que el auditor no detectará tal declaración equivocada (riesgo de detección o del contrato).

Para reducir el riesgo de auditoría a un riesgo bajo aceptable, el auditor tiene que: Valorar el riesgo de declaración equivocada material; y

Limitar el riesgo de detección. Esto también se puede lograr mediante la aplicación de procedimientos que respondan a los riesgos valorados en los niveles de estado financiero, clases de transacciones, saldos de cuenta y aserción.

Aserciones*

Incluidas en las representaciones de la administración respecto de los estados financieros, son una cantidad de afirmaciones implícitas. Se relacionan con el reconocimiento, medición, presentación y revelación de los diversos elementos (cantidades y revelaciones) contenidos en los estado financieros.

¿QUÉ ES AUDITORÍA BASADA EN RIESGOS?

NIA 200

(21)

Nota: Las aserciones que se usan en este diagrama son C = Completitud, E = Existencia, A = Exactitud y asociación, V = Valuación.

Nivel de estado

Financiero

¿QUÉ ES AUDITORÍA BASADA EN RIESGOS?

NIA 200

(22)

VISION MISION OBJETIVOS INSTITUCIONALES _VENTAJAS COMPETITIVAS FACTORES CRITICOS DE EXITO ESTRATEGIAS CORE COMPETENCIAS O COMPETENCIAS CLAVE VALORES ORGANIZACIONALES COMPETENCIAS DEL PERSONAL OBJETIVOS OPERACIONALES ( SCORECARD) OPORTUNIDADES FUERZAS DEBILIDADES RIESGOS EVALUACION DEL DESEMPEÑO

(23)

PROCESO DE AUDITORIA BASADO EN RIESGO

o Evaluación de Riesgos

o Respuesta a los Riesgos

o Reporte

Actividad Propósito Documentación

Actividades preliminares del encargo

Plan de auditoría

Desarrollar procedimientos de evaluación de riesgos

Decidir si se acepta el encargo

Desarrollar estrategias general y plan de auditoria

Identificar/evaluar los riesgosa a través del entendimiento de la entidad

Listado Factores de riesgo Independencia Carta Encargo

Materialidad Discusiones equipo de auditoría Estrategia de auditoría general

Riesgo de fraude y negocios incluyendo riesgo significativo

Diseño / Implementación de controles internos relevantes

Evaluar los riesgos: • Nivel de EEFF • Nivel de aseveración Diseño general de Respuestas y procedimientos adicionales de auditoría Implementar respuestas al Riesgo evaluado

Desarrollo de respuestas apropiadas a la evaluación Riesgo

Reducir el riesgo de auditoría a un nivel bajo aceptable

Actualizar la estrategia general Respuestas totales Plan de auditoria que une la evaluación de Riesgos a los procedimientos

Trabajo desarrollado Hallazgos de Auditoría Supervisión Staff Revisión papeles de trabajo

Evaluar la evidencia de auditoría obtenida

Prepara el reporte de auditoría Se requiere

trabajo adicional?

Determinar que trabajo adicional (si hay) es requerido

Revisar riesgos y procedimientos de auditoría Cambios en Materialidad

Comunicación de hallazgos conclusiones procedimientos desarrollados

Formarse la opinión basado en los

hallazgos de auditoría • Decisiones Significativas • Firma de la opinión de auditoría NO

(24)

COMPONENTES DEL RIESGO DE AUDITORÍA

Los principales componentes del riesgo de auditoría están descritos en el siguiente cuadro:

NATURALEZA DESCRIPCIÓN COMENTARIO.

Riesgo inherente Susceptibilidad de la aserción a estar declarada equivocadamente, la cual podría ser material individualmente o cuando se agrega con otras

declaraciones equivocadas, asumiendo que no hay controles relacionados. El riesgo inherente se trata tanto a nivel de estado financiero como a nivel de aserción.

Hay riesgos de negocio y de otro tipo que surgen de los objetivos de la entidad, naturaleza de las operaciones e industria, entorno regulatorio en el cual opera y su tamaño y complejidad. Los riesgos de declaración equivocada material variarán con base en la naturaleza del saldo de la cuenta o de la clase de transacción. Los riesgos de interés particular para el auditor pueden incluir:

Complejidad de los cálculos que podrían estar equivocados;

Alto valor del inventario;

Estimados de contabilidad que estén sujetos a importante incertidumbre en la medición; Carencia de suficiente capital de trabajo para continuar las operaciones;

Declinación o volatilidad en la industria con muchas fallas de negocio; y

Desarrollos tecnológicos que puedan hacer obsoleto a un producto particular.

Riesgo de fraude (Parte del riesgo inherente o posible riesgo de control)

El riesgo de un acto intencional cometido por uno o más individuos de la administración, de quienes tengan a cargo el gobierno, empleados o terceros, que conlleva el uso de engaño para obtener una ventaja injusta o ilegal.

Hay dos tipos de declaración equivocada intencional que son relevantes para el auditor:

Declaraciones equivocadas que surgen de información financiera fraudulenta; y

Declaraciones equivocadas que surgen del uso indebido de los activos

(25)

NATURALEZA DESCRIPCIÓN COMENTARIO. Riesgo de control

(¿Los controles internos Existentes mitigan los Riesgos inherentes?)

Riesgo de que el sistema de control interno de la entidad no prevendrá o no detectará, sobre una base oportuna, la declaración equivocada que podría ser material, individualmente o cuando se agrega con otras declaraciones Equivocadas

La entidad debe identificar y valorar sus riesgos de negocio y de otro tipo (tal como el fraude) y responder mediante el diseño y la implementación de un sistema de control interno. Los controles a nivel de entidad tales como supervisión por parte de la junta, controles generales de TI, y políticas de recursos humanos, son generales para todas las aserciones mientras que los controles a nivel de actividad se relacionan con aserciones específicas. A causa de las limitaciones inherentes de cualquier sistema de control siempre existirá algún riesgo de control. Del auditor se requiere que entienda el control interno de la entidad y ejecute procedimientos para valorar los riesgos de declaración equivocada material a nivel de aserción.

Riesgo combinado Es un término que se usa algunas veces para referirse a

los riesgos valorados (riesgo inherente y de control) de declaración equivocada tanto a nivel de estado financiero como a nivel de aserción.

Los auditores pueden hacer valoraciones separadas o combinadas de los riesgos inherente y de control, dependiendo de las técnicas o metodologías de auditoría que se prefieran, así como de consideraciones prácticas.

Riesgo de Detección Es el riesgo de que el auditor no detectará la declaración

equivocada que existe en una aserción que podría ser material, ya sea individualmente o cuando se agrega con otras declaraciones equivocadas.

El nivel aceptable del riesgo de detección para un nivel dado de riesgo de auditoría equivale a la relación inversa con los riesgos de declaración equivocada material a nivel de aserción.

El auditor identifica las aserciones donde hay riesgos de declaración equivocada material y concentra los procedimientos de auditoría en esas áreas. Al diseñar y evaluar los resultados de la ejecución de esos

procedimientos, el auditor debe considerar la posibilidad de:

Seleccionar un procedimiento de auditoría que no sea apropiado;

Aplicar de manera equivocada un procedimiento de auditoría que sea apropiado; o

Interpretar de manera equivocada los resultados de un procedimiento de Auditoría.

(26)

Riesgo inherente

Riesgo de control (Respuestas que mitigan los riesgos inherentes) Riesgo combinados Riesgo de detección

Riesgo bajo Riesgo moderado Riesgo alto

INTERRELACIONES ENTRE LOS COMPONENTES DEL RIESGO DE AUDITORÍA

Factores de negocio, fraude y otros que ponen en riesgo la información Financiera

Procedimientos de auditoria (pruebas de los controles & sustantivas)

Controles a nivel de entidad y generales de TI Procesos de negocio Ingresos ordinarios Compra Nómina Estrategia Gobierno Cultura/valores Competencia

Actitud frente al control

Tolerancia de la entidad frente al riesgo

Nivel aceptable del riesgo de auditoría

(27)

V

a

lo

ra

c

ió

n

d

e

l

ri

e

s

g

o

Aplicar procedimientos de aceptación o continuación Planear la auditoría Aplique procedimientos de valoración del riesgo

Decidir si aceptar o no el contrato Desarrollar un enfoque general de Auditoría (2) Entienda la entidad Identifique & valore el

RDEM (3)

Listar los factores de riesgo Carta de

contratación

Estrategia general de auditoría

Materialidad

Discusiones del equipo de auditoría

Riesgos de negocio & de fraude, incluyendo riesgos significantes

Diseño/implementación de controles internos relevantes

RDEM valorado a:

* nivel de estado financiero * nivel de aserción

Actividad Propósito Documentación (1)

Notas:

1. Refiérase a NIA 230 para una lista más completa de la documentación que se requiere 2. Planeación es un proceso continuo e interactivo a través de la auditoría

3. RDEM = riesgos de declaración equivocada material

(28)

R

e

s

p

u

e

s

ta

a

l

ri

e

s

g

o

Diseñe procedimientos de auditoría adicionales Aplique procedimientos de auditoría adicionales Desarrolle una respuesta apropiada

para los riesgos Valorados (2)

Reduzca el riesgo de auditoría a un nivel bajo

aceptable

Actualice la estrategia general Desarrolle un plan de auditoría que vincule los riesgos valorados con los procedimientos de auditoría adicionales

Trabajo realizado Hallazgos de auditoría Supervisión del personal Revisión de los papeles de trabajo

Notas:

1. Refiérase a NIA 230 para una lista más completa de la documentación requerida 2. Planeación es un proceso continuo e interactivo a través de la auditoría

(29)

PRESENTACIÓN DE REPORTES

P

re

s

e

n

ta

c

io

n

d

e

r

e

p

o

rt

e

s

Evalúe la evidenciade auditoría obtenida

Prepare el reporte del auditor

Determine qué trabajo adicional de auditoría se requiere

Forme una opinión basada en los hallazgos de auditoría Factores de riesgo adicionales Procedimientos de auditoría Revisados Cambios en la materialidad Conclusiones alcanzadas

Regrese a la valoración del riesgo ¿Se requiere trabajo adicional? Decisiones significantes Opinión de auditoría formada Si No Nota:

(30)

EVALUAR LOS RIESGOS

Nivel Descripción Nivel Descripción

1 Impro bable 1 Insignificante

2 P o co pro bable /

Raro 2 M eno r

3 P ro bable 3 M o derado

4 P o tencial 4 M ayo r

5 Casi cierto 5 Catastro fico

NIVEL DE PROBABILIDAD NIVEL DE IMPACTO

Concepto Concepto

P uede o currir en algún mo mento El riesgo tiene un efecto nulo o pequeño , en el desarro llo del pro ceso - baja perdida financiera

Se espera que o curra en la mayo ria de circunstacias

El pro ceso es gravemente dañado - Eno rme perdida financiera

P uede o currir só lo en circunstancias excepcio nales

El desarro llo del pro ceso sufre un daño meno r - Co n perdida financiera meno r

P ro bablemente o curriria en la mayo ria de circunstancias

El desarro llo del pro ceso sufre un deterio ro , dificultando o retrazando su cumplimiento - Co n afectació n financiera P uede o currir en la mayo ría de

circunstancias

El desarro llo del pro ceso es afectado significativamente - P érdida financiera mayo r

(31)

Catastrófico

Mayor

Moderado

Menor

Insignificante

Ra ra vez Oca s i ona l Poco

frecuente Frecuente Muy frecuente

Extremo

Modera do Modera do Al to Extremo Extremo

IM P A C T O Modera do Al to Al to Extremo Ba jo Modera do Al to Al to Al to FRECUENCIA

Ba jo Modera do Modera do Modera do Al to

Ba jo Ba jo Ba jo Modera do Modera do

Matriz de riesgos

(32)

Análisis

Cualitativo

Análisis

Cuantitativo

Probabilidad Impacto Probable Posible Improbable Leve Moderado Catastrófico Probabilidad de ocurrencia Nivel Calificación 0 – 25 Improbable 1 26- 70 Posible 2 71- 100 Probable 3

Impacto Nivel Calificación 0 – 25 Leve 10 26- 70 Moderado 20 71- 100 Catastrófico 30

(33)

(34)

(35)

(36)

Aceptar el Riesgo

•

Auto-asegurarse (Self-insuring)

contra pérdidas

•

Aceptar los riesgos de acuerdo a

los niveles de tolerancia de riesgo

Compartir el Riesgo

•

Compra de seguros contra pérdidas

inesperadas significativas

•

Contratación de outsourcing para

procesos del negocio

•

Compartir el riesgo con acuerdos

sindicales o contractuales con

clientes, proveedores u otros socios

de negocio

Mitigar el Riesgo

•

Fortalecimiento del control interno

en los procesos del negocio

•

Diversificación de productos

•

Establecimiento de límites a las

operaciones y monitoreo

•

Reasignación de capital entre

unidades operativas

Evitar el Riesgo

•

Reducir la expansión de una línea

de productos a nuevos mercados

•

Vender una división, unidad de

negocio o segmento geográfico

altamente riesgoso

•

Dejar de producir un producto o

servicio altamente riesgoso

Aceptar el Riesgo

•

Auto-asegurarse (Self-insuring)

contra pérdidas

•

Aceptar los riesgos de acuerdo a

los niveles de tolerancia de riesgo

Compartir el Riesgo

•

Compra de seguros contra pérdidas

inesperadas significativas

•

Contratación de outsourcing para

procesos del negocio

•

Compartir el riesgo con acuerdos

sindicales o contractuales con

clientes, proveedores u otros socios

de negocio

Mitigar el Riesgo

•

Fortalecimiento del control interno

en los procesos del negocio

•

Diversificación de productos

•

Establecimiento de límites a las

operaciones y monitoreo

•

Reasignación de capital entre

unidades operativas

Evitar el Riesgo

•

Reducir la expansión de una línea

de productos a nuevos mercados

•

Vender una división, unidad de

negocio o segmento geográfico

altamente riesgoso

•

Dejar de producir un producto o

servicio altamente riesgoso

(37)

TRATAR LOS RIESGOS

(38)

PASOS SUGERIDOS

Seleccionar procesos clave Comprender los procesos Fuente de los riesgos Documentar controles clave Evaluar el diseño Efectividad de los controles Reporte

• Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional, manejo de fondos y probabilidad de corrupción

• Considerar insumos de materialidad e importancia

• Comprender las actividades y los procedimientos

• Identificar reportes contables o de la gestión de proyectos, a fin de establecer materialidad

• Cruzar riesgos vs. procesos

• Documentar controles a nivel entidad

• Documentar otros controles

• Documentar controles a nivel preventivo y detectivos en los procesos principales

• Evaluar la efectividad del diseño de los controles a nivel entidad

• Tomar acciones de mejora sobre las deficiencias encontradas

• Evaluar la efectividad de los controles a nivel entidad y de procesos

• Remediar deficiencias a través de la implementación de recomendaciones

• Concluir

• Comunicar

• Reportar

• Cuáles son los riesgos a que se encuentran expuestos los procesos?

• En qué actividades se encuentran los riesgos?

• Cuáles son los controles clave?

• Quién es propietario de los controles clave?

• Cómo se encuentra el diseño de los controles ?

• Cuáles son los riesgos de falla de los controles?

• Cuál es el desempeño de los controles?

• Existen debilidades materiales o de cumplimiento?

(39)

GESTIÓN DE RIESGO OPERATIVO

FLUJO DE COBRANZA DOCUMENTARIA EN GARANTIA O EN DESCUENTO

Recepción de documentos en Cobranza por la SUCURSAL

Jefe de Operaciones

Cliente _ComercialEjecutivo Depto.SS.Centrales_Cobranza _{Procesos Centrales}Empresa Adm.

D e s d e l a e n tr e g a p o r e l c li e n te h a s ta e l e n v ío a l a E m p re s a A d m .d e P ro c e s o s C e n tr a le s Entrega Documentos solicitados por el Ejecutivo Comercial Recibe Documentos entregados por el Ejecutivo Comercial Devuelve al cedente los documentos con observaciones ¿Doctos. Conformes? Recibe, verifica, revisa y estampa V°B° en Mandato de Cobranza ¿Doctos. Conformes? SI NO Regulariza observaciones ¿Corregidos ? SI Revisa documentos Recibe Documentos enviado por el Jefe de Operaciones SI Ingresa en Planilla Control doctos.recibidos Devuelve doctos. al Ejecutivo Comercial NO Envia doctos. a Empresa Adm.Procesos Centrales Recibe Documentos ¿Doctos. Conformes? Envía Planilla de Control con V°B° de documentos ingresados al sistema. Recepciona y Archiva Planilla de Control con V°B° Devuelve Doctos. con Formulario de Rechazos NO Recibe Doctos. con Formulario de Rechazos y envía al Jefe de Operaciones Recibe Doctos. Rechazados y entrega al Ejecutivo Comercial Resuelve rechazos de los doctos. Inicio NO A A SI B RO: * Suplantación de Aceptantes en operaciones. RO: *No verificación de antecedentes llegados desde el ejecutivo. *No reemplazo de documentos eliminados objetados. *Registrar en forma errónea u omitir en Formulario de devolución. * Extravío de documentación. RO: * Mal evaluación de antecedentes comerciales del deudor y Aceptantes. * No evaluación de documentación entregada. * Mantención de registros incompletos de cliente. * No verificación de firma en formulario correspondiente y endoso. RO: *Mal ingreso de documentos recibidos,en planilla de Control. * No verificación de V°B de Planilla de Control. RO: *No envío de Planilla de Control *No validación de documentación, llegada desde Depto SS Centrales. * No revisión de Pago de impuestos.

Mapeo Procesos

de negocio

Auto evaluación

evaluaciòn

Prioridad

alta

Prioridad

media

Prioridad baja

Mapa de riesgos

INDICADORES CLAVE

Datos Eventos

Internos

Reporte de

incidentes

eventos

incidentes

Análisis

Normal

escenarios

Datos

eventos

externos

GESTIÒN INTEGRAL

TABLERO DE MANDO COMPROMISOS, SEGUIMIENTO

(40)

Este una vez que se evaluan los controles, se observa el resultado de su nueva

valoración para la organización. Igual ocurriría si se adicionarán Tratamientos. Genera gráficos y Mapas del estado de sus

riesgos, con múltiples vistas: Áreas, Objetivos, Cuentas, Procesos, Evaluación Auditoria, etc.

Herramienta gerencial:

Genera variados Gráficos y Mapas de Riesgos (Matrices), por su valoración Absoluta, con Controles y con Tratamientos, por múltiples vistas y niveles de agregación (Estructuras).

Este Mapa muestra, como la Consecuencia y Probabilidad del riesgo 2, y Severidad (color)

cambian , a medida que se controla.

(41)

Mapa de Riesgos

Valoración de riesgos absolutos y con controles

EJECUCIÓN DE LA AUDITORIA

(42)

NIA 315 FACTORES RELEVANTES DE LA INDUSTRIA

NIA 315 Entendimiento de la Entidad y su entorno y evolución de los riesgos de riesgos de representación errónea de importancia relativa.

“El auditor deberá obtener un entendimiento de los factores relevantes de la industria, de

regulación y otros factores externos, incluyendo el marco de referencia de información financiera aplicable. Estos factores incluyen condiciones de la industria, tales como el entorno competitivo, las relaciones con proveedores y clientes y desarrollos tecnológicos; el entorno de regulación... La naturaleza de la entidad se refiere a las operaciones de la entidad, su propiedad y gobierno, los tipos de inversión que está haciendo y que planea hacer ...”

“El auditor deberá obtener un entendimiento de los objetivos y estrategias de la entidad y de los riesgos de negocio relacionados que puedan dar como resultado representaciones erróneas de importancia relativa de los estados financieros.”

(43)

EVALUACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL PROCESO DE AUDITORÍA

DETERMINADOS POR LA NIA 315

La identificación y valoración de los riesgos hace parte de las labores del auditor, de acuerdo con lo

establecido en la NIA 315. En esta norma se resalta la importancia del juicio profesional, y la relevancia de la generación de la información contable en una organización.

El riesgo en la gestión de los auditores en la organización es uno de los factores fundamentales que puede observarse en la norma internacional de auditoría NIA- 315. La norma hace hincapié en la utilidad del uso del juicio profesional, y considera que la evaluación de los riesgos debe estar bajo la responsabilidad del auditor y, por tanto, se mide en la capacidad de inspección, planeación y ejecución, además de la cobertura integral que pueda proporcionar al trabajo.

Adicionalmente, se debe tener en cuenta que los riesgos se generan no solo al interior de la organización, sino que se pueden ocasionar por el entorno; por tanto se resalta la capacidad integradora del auditor en la evaluación del entorno, la organización y como un instrumento clave, pues debe evaluar el sistema de control interno.

(44)

EVALUACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL PROCESO DE AUDITORÍA

DETERMINADOS POR LA NIA 315

La norma indica que las funciones del auditor, con respecto al riesgo, se extienden a las gestiones de identificación y valoración de los riesgos, que tienden potencialmente a producir errores o fraudes en los estados financieros, a fin de que se pueda entregar a la organización la plataforma para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material.

Si bien no existe una lista definida de riesgos que se pueden evaluar al interior de una organización, gracias a que estos dependen de las características propias de la empresa, del entorno y modelo de negocio sobre el que se desempeñan, los auditores cuentan con un fundamento de situaciones que pueden establecerse como prioritarias al momento de iniciar las gestiones en torno a la identificación del riesgo: entre ellas se pueden identificar: evaluación del sistema de políticas, la estructura del control interno, desempeño financiero de la organización, estrategias de inversión, entre otras.

(45)

EVALUACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL PROCESO DE AUDITORÍA

DETERMINADOS POR LA NIA 315

Por lo anterior, se evidencia la importancia del juicio profesional en el proceso de auditoría quien desde el entendimiento de la organización y el entorno debe proyectarse en la ejecución del plan de auditoría, bajo la obligatoriedad de la utilidad en la generación de información, en la pertinencia de la misma y el

cumplimiento con los marcos regulatorios, que permiten al auditor entender los tipos de transacciones, las cuentas de balance y las revelaciones que espera que contengan los estados financieros sujetos a examen. Los instrumentos con que cuentan los auditores para el efectivo cumplimiento de la labor son tres:

a. indagaciones ante la dirección y ante las personas de la entidad en general, b. procedimientos analíticos y

c. observación e inspección.

El primero consiste en el acceso que tiene el auditor para realizar las labores de investigación e inspección directamente con el personal que se considere como poseedor de información valiosa para la identificación de los riesgos.

Los procedimientos analíticos, diseñados por el auditor, pueden incluir la comparación de estados

financieros de anteriores períodos, los sistemas de información internos, las características del control para la generación y alimentación de la información contable.

(46)

ETAPAS DE LA EVALUACIÓN DEL RIESGO EN UN PROCESO DE AUDITORÍA BAJO NIA

En el proceso de auditoría bajo NIA, los profesionales contables deben enfocarse en los riesgos, dicho proceso está enfocado en tres pasos elementales: la identificación, la evaluación del riesgo y la

administración del cambio.

A continuación, se responde brevemente el presente cuestionamiento: ¿Cuáles serían los pasos de la evaluación de riesgos en el ambiente de auditoría?

Evaluar, analizar, cuantificar los riesgos es uno de los procedimientos que se deben ejecutar durante el desarrollo de una auditoría. Los pasos para la evaluación de los riesgos son:

1. Identificación de los riesgos

Es el proceso generalmente integrado con el proceso de planeación de la auditoría contenido en la NIA 300. En este primer paso de la evaluación de los riesgos en un ambiente de auditoría la

responsabilidad del auditor está enfocada en la posibilidad de reconocer los riesgos que están

asociados a la entidad, en los diferentes procesos que se encuentran asociados a la labor de auditoría en la organización.

(47)

ETAPAS DE LA EVALUACIÓN DEL RIESGO EN UN PROCESO DE AUDITORÍA

BAJO NIA

2. Evaluación del riesgo

Consiste en determinar la importancia, evaluar la frecuencia con que ocurre y considerar las acciones administrativas; en esta segunda fase el auditor posteriormente a la identificación de los riesgos debe ejecutar un ejercicio de clasificación de los riesgos de modo que se puedan caracterizar y determinar el nivel de impacto sobre la entidad auditada.

3. La administración del cambio

Toda entidad debe tener un proceso formal e informal que identifique las condiciones que tienen efecto negativo sobre la habilidad para lograr los objetivos de la empresa, con ello se debe enfocar en la retroalimentación de la empresa de modo tal que se tomen las medidas para que se disminuyan los riesgos y se prevenga la aparición de nuevos riesgos que pueden estar asociados a los previamente identificados en procesos de auditoría anteriores.

La administración del cambio también asociada al mejoramiento continuo aparece como un concepto novedoso para los profesionales contables que ejercen como auditores o revisores fiscales, puesto que le extiende la labor más allá de las actividades de inspección y detección para trasladarlos a un campo en el que se requieren acciones posteriores que puedan ser interpretadas por la organización auditada como una solución a los riesgos hallados o como posibilidades de prevención ante la aparición de nuevos riesgos y la mitigación de aquellos que se puedan determinar como potenciales.

(48)

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON LOS

PROCEDIMIENTOS PARA DETERMINARLO?

La aplicación de los procedimientos de valoración del riesgo en las labores ejecutadas por el auditor, permiten obtener

información que puede ser utilizada como evidencia en la auditoría NIA 500, para sustentar valoraciones del riesgo de inexactitudes relevantes.

En la ejecución de sus labores, el auditor debe aplicar

procedimientos que le permitan identificar y valorar los riesgos de errores o inexactitudes relevantes que se hayan presentado en la información consignada en los Estados Financieros y en las

Notas a los mismos. Sin embargo, a pesar de la importancia de su aplicación, los procedimientos de valoración del riesgo por sí solos no suministran evidencia de auditoría suficiente y adecuada en la cual basar la opinión de auditoría.

(49)

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON LOS PROCEDIMIENTOS

PARA DETERMINARLO?

El auditor debe determinar el grado de conocimiento que necesita de la entidad y de su entorno,

incluyendo el funcionamiento del control interno, de manera que la aplicación de los procedimientos de valoración del riesgo le suministre información suficiente que constituya un marco de referencia para que el mismo planifique la auditoría y aplique el juicio profesional a lo largo de la ejecución de la misma. Para ello el auditor debe analizar, entre otras cosas:

i. La valoración de los riesgos de inexactitudes o errores relevantes en los Estados Financieros. ii. La determinación de la importancia relativa.

iii. La selección y aplicación de políticas contables, así como las revelaciones de información en los

Estados Financieros.

iv. La identificación de las áreas en las que puede resultar necesaria una consideración especial de

la auditoría; por ejemplo, en transacciones con partes vinculadas, en la adecuación de la aplicación por parte de la dirección, de la hipótesis de empresa en funcionamiento, o en la consideración de la finalidad empresarial de las transacciones.

v. El desarrollo de expectativas para su utilización en la aplicación de procedimientos analíticos. vi. La manera de responder a los riesgos valorados de inexactitudes o errores relevantes, incluido el

diseño y la aplicación de procedimientos de auditoría posteriores, con el fin de obtener evidencia de auditoría suficiente y adecuada.

vii. La evaluación de la suficiencia y adecuación de la evidencia de auditoría obtenida, tal como la

(50)

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON LOS PROCEDIMIENTOS

PARA DETERMINARLO?

Con la aplicación de los procedimientos de valoración, el auditor puede obtener información útil como evidencia para sustentar valoraciones del riesgo de inexactitudes relevantes, presentes por ejemplo en las transacciones, en los saldos contables, en la información a revelar en los Estados Financieros, así como también, para determinar la eficacia operativa de los controles utilizados en la entidad.

Un aspecto importante a considerar, es que al momento de la valoración, se deben incluir los riesgos generados por errores y los que se deben a prácticas fraudulentas. Por tanto, es necesario que el auditor aplique todos los procedimientos de valoración del riesgo para conocer la entidad, y en caso de considerarlo necesario, los acompañe de otros procedimientos que le proporcionen información útil para la identificación de errores relevantes; dentro de dichos procedimientos alternos, se pueden mencionar:

i. La revisión de información obtenida de fuentes externas, tales como revistas de negocios y

económicas, informes de analistas, de entidades bancarias o de agencias de calificación, o bien de publicaciones regulatorias o financieras.

ii. La realización de indagaciones entre los asesores jurídicos externos o entre los expertos en

(51)

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON LOS PROCEDIMIENTOS

PARA DETERMINARLO?

Ahora bien, los procedimientos de valoración del riesgo deben incluir las siguientes prácticas:

1. Indagaciones ante la dirección y ante otras personas de la entidad que, a juicio del auditor, dispongan de información que facilite la identificación de los riesgos de incorrección material, por fraude o error

Lo anterior parte del hecho de que la información obtenida a través de las indagaciones del auditor procede de la dirección y de los responsables de la información financiera. Sin embargo, en la identificación de los riesgos de inexactitudes relevantes, el auditor también puede obtener información, o una perspectiva diferente, mediante indagaciones a otras personas de la entidad y empleados con diferentes niveles de autoridad. Por ejemplo:

a. Las indagaciones ante los responsables de la dirección de la entidad ayudan al auditor a comprender el entorno en el que se preparan los Estados Financieros.

b. Las indagaciones a empleados que participan en el procesamiento o registro de transacciones complejas o inusuales, ayudan al auditor a evaluar la adecuación de la selección y aplicación de ciertas políticas contables.

c. Las indagaciones al personal de auditoría interna proporcionan información acerca de los procedimientos de

auditoría interna aplicados durante el ejercicio, relativos al diseño y a la eficacia del control interno de la entidad, así como acerca de si la dirección ha respondido de manera satisfactoria a los hallazgos derivados de dichos

procedimientos.

d. Las indagaciones ante los asesores jurídicos internos proporcionan información acerca de cuestiones tales como litigios, cumplimiento de las disposiciones legales y reglamentarias, conocimiento del fraude o indicios de fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos (tales como negocios conjuntos) con socios comerciales y el significado de términos contractuales.

e. Las indagaciones al personal de los departamentos de mercadotecnia o de ventas proporcionan información acerca de los cambios en las estrategias de marketing de la entidad, tendencias de las ventas, o acuerdos contractuales con los clientes.

(52)

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON LOS PROCEDIMIENTOS

PARA DETERMINARLO?

2. Procedimientos analíticos

Los procedimientos analíticos NIA 520 aplicados como procedimientos de valoración del riesgo pueden identificar aspectos de la entidad que el auditor no conocía y facilitar la valoración de riesgos de

inexactitudes o errores relevantes, con el propósito de disponer de la base para el diseño y la

implementación de respuestas a los riesgos valorados; además, éstos procedimientos pueden incluir información tanto financiera como no financiera, por ejemplo, la relación entre las ventas y la superficie destinada a las ventas o el volumen de los productos vendidos.

Por otra parte, los procedimientos analíticos también pueden ayudar a identificar la existencia de

transacciones o hechos inusuales, así como cantidades, o tendencias que pueden poner de manifiesto cuestiones que tengan implicaciones para la auditoría, que faciliten la identificación de riesgos de errores de relevancia, especialmente aquellos originados por fraude.

Por lo tanto, en dichos casos, la consideración de otra información obtenida durante la identificación de riesgos de errores relevantes, conjuntamente con los resultados de dichos procedimientos analíticos pueden facilitar al auditor la comprensión y la evaluación de los resultados

(53)

VALORACIÓN DEL RIESGO EN LA AUDITORÍA ¿CUÁLES SON LOS PROCEDIMIENTOS

PARA DETERMINARLO?

3. Observación e inspección

La observación y la inspección pueden dar soporte a las indagaciones ante la dirección y ante otras personas, y asimismo proporcionar información acerca de la entidad y de su entorno. Ejemplos de dichos procedimientos de auditoría incluyen la observación o inspección de:

i. Las operaciones de la entidad.

ii. Los documentos en donde se contengan la planeación y las estrategias de negocio, los registros y

los manuales de control interno.

iii. Los informes preparados por la dirección, como por ejemplo los informes de gestión trimestrales y

estados financieros intermedios, y los informes preparados por los responsables de la dirección de la entidad como por ejemplo actas de reuniones del consejo de administración.

(54)

ADMINISTRACIÓN DEL RIESGO: EL PUENTE QUE UNE EL CONTROL INTERNO Y EL

RIESGO

La administración del riesgo es un proceso cuyo objetivo es incrementar la confianza y habilidad de una organización para superar los obstáculos que se presenten y así alcanzar las metas.

¿Pueden unirse el control interno y el riesgo? Debe existir, y es casi obligatorio, que el control interno y el riesgo se encuentren unidos. Cabe recordar que el riesgo es la posibilidad de que un evento

desfavorable pueda afectar negativamente la habilidad de la organización para lograr los objetivos. Por otra parte, el control interno es un proceso diseñado para proveer una seguridad razonable respecto al logro de los objetivos de los negocios.

¿Qué une a estos dos conceptos? La administración del riesgo, la cual se define como un proceso para incrementar la confianza y habilidad de una organización para anticipar, priorizar y superar obstáculos y de esta manera alcanzar las metas.

(55)

IMPORTANCIA DEL CONTROL DEL RIESGO EN LA AUDITORÍA

El proceso de auditoría realizado bajo norma internacional debe fundamentarse en la administración del riesgo de modo tal que los resultados permitan resultados preventivos y no correctivos y

posteriores como se encuentran establecidos en la norma local.

Uno de los cambios más fuertes en la transición de norma nacional a norma internacional en regulación de los procedimientos de auditoría, es el riesgo entre este, el riesgo de control, puesto que bajo normal local no se tenía un amplio conocimiento sobre el riesgo y se desconocían

conceptos como el mapa de riesgo, mientras que internacionalmente si se ha trabajado el tema del riesgo.

(56)

NATURALEZA DEL CONTROL INTERNO

El auditor debe obtener un entendimiento del control interno, que sea

relevante para la auditoría.

El control interno es diseñado e implementado por la administración para tratar los

riesgos de negocio y de fraude identificados que amenazan el logro de los objetivos

establecidos, tales como la confiabilidad de la información financiera.

Definición de control interno

Control interno es un proceso:

Diseñado y efectuado por quienes tienen a cargo el gobierno, la administración y otro

personal; y

Que tiene la intención de dar seguridad razonable sobre el logro de los objetivos de la

entidad con relación a la confiabilidad de la información financiera, la efectividad y la

eficiencia de las operaciones, y el cumplimiento con las leyes y regulaciones

aplicables.

(57)

Hay una relación directa entre los objetivos de la entidad y el control interno que la entidad

implementa para asegurar el logro de tales objetivos. Una vez que se establecen los

objetivos, es posible identificar y valorar los eventos (riesgos) potenciales que impedirían el

logro de los objetivos. Con base en esta información, la administración puede desarrollar

respuestas apropiadas, las cuales incluirán el diseño del control interno.

El control interno puede ser diseñado en primer lugar para prevenir que ocurran debilidades

materiales potenciales o para detectar y corregir las debilidades materiales luego que hayan

ocurrido.

Los objetivos de la entidad, y por consiguiente su control interno, pueden ser agrupados

ampliamente en cuatro categorías:

Metas estratégicas, de alto nivel, que respaldan la misión de la entidad;

Información financiera (control interno sobre la información financiera);

Operaciones (controles operacionales); y

Cumplimiento con leyes y regulaciones.

NATURALEZA DEL CONTROL INTERNO

(58)

El control interno que es relevante para la auditoría corresponde principalmente a la

información financiera. Éste aborda los objetivos que tiene la entidad en la preparación de

estados financieros para propósitos externos. Los controles operacionales, tales como la

programación de la producción y del personal, el control de calidad, el cumplimiento de los

empleados con los requerimientos de salud y seguridad, normalmente no serían relevantes

para la auditoría, excepto cuando:

La información producida es usada para desarrollar un procedimiento analítico;

La información es requerida para revelación en los estados financieros.

Por ejemplo, si las estadísticas de la producción se usaron como base para un

procedimiento analítico, serían relevantes los controles para asegurar la exactitud de tales

datos. Si el no-cumplimiento con ciertas leyes y regulaciones tienen un efecto directo y

material sobre los estados financieros, serían relevantes los controles para detectar y

reportar sobre el no-cumplimiento.

NATURALEZA DEL CONTROL INTERNO

(59)

componentes del control interno

NATURALEZA DEL CONTROL INTERNO

Actividades de control Políticas/procedimientos que aseguran que las directrices de la gerencia se llevan a cabo. Gama de actividades incluyendo aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, seguridad de los activos y segregación de funciones.

Monitoreo

Evaluación del desempeño de un sistema de control a través del tiempo.

Combinación de evaluación continua e individual.

Actividades de administración y supervisión.

Actividades de auditoría interna.

Ambiente de Control Establece el tono de la organización, influenciando la conciencia de control de sus funcionarios.

Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.

Fundamento para todos los demás componentes de control.

Información y Comunicación

Información relevante identificada, capturada y comunicada de forma oportuna.

Acceso a la información generada interna y externamente.

Flujo de información que permite acciones de control exitosas a partir de instrucciones sobre las

responsabilidades de resumen de hallazgos para acción por parte de la gerencia.

Evaluación de riesgo La evaluación de riesgo es la identificación y análisis de los riesgos relevantes para alcanzar los objetivos de la organización que conforman la base para determinar las actividades de control.

Todos los cinco componentes deben ser colocados en su lugar para un control efectivo

Monitoreo

(60)

El auditor debe obtener un entendimiento del ambiente de control.

NATURALEZA DEL CONTROL INTERNO

ELEMENTOS CLAVE A ABORDAR DESCRIPCIÓN

Comunicación y cumplimiento forzoso de la integridad y de los valores éticos

Elementos esenciales que influyen en la efectividad del diseño, administración y monitoreo de los controles

Compromiso para con la competencia Consideración que hace la administración respecto de los niveles de competencia para los trabajos particulares y cómo esos niveles se convierten en capacidades y conocimientos requeridos

Filosofía de la administración y estilo de operación

Enfoque de la administración para asumir y administrar los riesgos de negocio, y actitudes y acciones de la administración hacia la información financiera, el procesamiento de información, las funciones de contabilidad y el personal

Estructura organizacional La estructura dentro de la cual se planean, ejecutan, controlan y revisan las actividades de la entidad para lograr sus objetivos Asignación de autoridad y

responsabilidad

Cómo se asigna la autoridad y la responsabilidad por las

actividades de operación y cómo se establecen las relaciones y las jerarquías de autorización para la presentación de reportes

Políticas y prácticas de recursos humanos

Actividades de contratación, orientación, entrenamiento,

evaluación, asesoría, promoción, compensación y remediación.