¿CÓMO PROBAR LOS CONTROLES EN UNA AUDITORÍA DE INFORMACIÓN FINANCIERA? – PARTE 2

Estándar

Ver Parte 1

La oportunidad del procedimiento de una auditoría se refiere a cuándo se realiza, o al período o la fecha al que se aplica la evidencia de auditoría. Por tanto, cuanto más alto sea el riesgo de error material, más probable es que podamos decidir que es más eficaz realizar procedimientos de auditoría en tiempos no programados o que sean impredecibles (por ejemplo, realizar procedimientos de auditoría en localidades seleccionadas sin aviso previo). Esto es especialmente relevante cuando se considera la respuesta a los riesgos de fraude.

Realizar procedimientos de auditoría antes del final del período puede ayudarnos a identificar asuntos significativos en una etapa temprana de la auditoría. En consecuencia, se pueden resolver con la asistencia de la gerencia o desarrollando un enfoque eficaz de la auditoría para solucionar esos asuntos.

Los factores relevantes que influyen en nuestra decisión sobre cuando realizar los procedimientos de auditoría incluyen los siguientes:

• La eficacia del ambiente de control
• Cuando la información relevante está disponible (por ejemplo, los archivos electrónicos pueden sobrescribirse posteriormente o los procedimientos que se van a observar pueden ocurrir solamente en momentos específicos)
• La naturaleza del riesgo (por ejemplo, si hay un riesgo de que se hayan inflado los ingresos para cumplir con las expectativas de ganancias mediante la creación subsecuente de convenios falsos de ventas, podemos examinar los contratos disponibles en la fecha del final del período) y
• El periodo o la fecha con la que se relaciona la evidencia de auditoría.

La evidencia de auditoría que se relaciona con un momento en el tiempo puede ser suficiente para nuestro propósito, por ejemplo, cuando se prueban los controles sobre el conteo del inventario físico de la entidad al final del período. Por otro lado, si tenemos pensado basarnos en un control en un período, las pruebas que pueden proporcionar evidencia de auditoría de que el control funcionó de manera eficaz en tiempos relevantes durante ese período son adecuadas. Estas pruebas pueden incluir pruebas de vigilancia de los controles por parte de la entidad.

Podemos realizar pruebas de controles en una fecha interina o al final del período.

Si obtenemos evidencia de auditoría sobre la eficacia operativa de los controles durante un periodo interino, y llegamos a una conclusión sobre la eficacia operativa en ese periodo interino, debemos:

1. Conseguir evidencia de auditoría sobre cambios significativos a estos controles que hayan ocurrido después del periodo interino y
2. Determinar la evidencia adicional de auditoría que debe obtenerse para el periodo restante.

Debemos considera los factores relevantes al determinar la evidencia de auditoría adicional que necesitamos obtener sobre controles que estaban funcionando durante el período de roll- forward. Nuestra evaluación de estos factores puede indicar que se necesita evidencia adicional de auditoría que sea menos persuasiva y, por lo tanto, que la indagación por sí misma pueda ser suficiente como un procedimiento de roll-forward. Por otro lado, podemos llegar a la conclusión de que se necesita evidencia adicional de auditoría adicional más persuasiva, y se puede fortalecer la naturaleza de los procedimientos de roll-forward y/o tener planes de realizar procedimientos más cercanos al final del período.

En algunas circunstancias, la evidencia de auditoría que se haya obtenido de auditorías anteriores puede proporcionar evidencia de auditoría cuando realizamos procedimientos para establecer que siga siendo relevante. Por ejemplo, al realizar una auditoría previa, es posible que hayamos determinado que un control automatizado estaba funcionando tal como debía. Podemos obtener evidencia de auditoría para determinar qué cambios pudieron haberse hecho al control automatizado que afecten su operación efectiva continua haciendo indagaciones con la gerencia e inspeccionando las bitácoras que indiquen los controles que han cambiado, por ejemplo, la consideración de la evidencia de auditoría sobre estos cambios puede apoyar un aumento o una reducción en la evidencia de auditoría que se espera obtener en el período actual sobre la eficacia operativa de los controles.

Si planeamos basarnos en controles para un riesgo que hemos determinado que es significativo, debemos probar esos controles en el periodo actual.

Nuestra decisión sobre si nos basaremos en evidencia de auditoría obtenida en auditorías anteriores tiene que ver con nuestro juicio profesional. Es posible que no usemos evidencia de auditoría sobre la eficacia operativa de los controles obtenida en auditorías de períodos anteriores para los controles que pudieron haber cambiado desde la última ocasión en que los pusimos a prueba o para los controles que mitigan un riesgo significativo de error material. Además, el tiempo entre que se vuelven a probar estos controles también tiene que ver con nuestro juicio profesional.

En general, cuanto más alto sea el riesgo de error material, o cuanto más nos basemos en los controles, más corto será el período entre las pruebas de controles, si las hubiere. Los factores que pueden reducir el período para la repetición de las pruebas de un control, o el resultado de no basarnos en evidencia de auditoría obtenida en auditorías anteriores, incluyen los siguientes:

• Un ambiente de control deficiente
• Vigilancia de los controles deficiente
• Un elemento manual significativo en los controles relevantes
• Cambios personales que afectan de manera significativa la aplicación del control
• Cambios en las circunstancias que indican la necesidad de hacer cambios en el control y
• Controles generales de TI deficientes

Cuando hay varios controles para los que pensamos basarnos como evidencia de auditoría obtenida en auditorías anteriores, al probar algunos de esos controles en cada auditoría se obtiene evidencia que corrobora la eficacia continua del ambiente de control. Esto contribuye a nuestra decisión sobre si es adecuado basarse en evidencia de auditoría obtenida en auditorías anteriores.

Si tenemos pensado usar evidencia de auditoría sobre la eficacia operativa de los controles obtenidos en auditorías anteriores, debemos incluir lo siguiente en nuestra documentación de auditoría:

• Evidencia de auditoría de periodos anteriores relacionados con nuestra evaluación del diseño e implementación de controles y de nuestras pruebas de eficacia operativa
• Los procedimientos realizados para determinar que no han ocurrido cambios en el diseño o en la implementación de los controles en cuestión desde nuestra última evaluación
• Conclusiones tomadas sobre la confianza en esos controles que se pusieron a prueba en una auditoría anterior.

Los medios que tenemos a nuestra disposición para seleccionar las partidas que probaremos son:

Selección de todas las partidas (inspección del 100%):Podemos decidir que lo más adecuado será examinar por completo todas las ocasiones en que ocurra un control. Sin embargo, una inspección del 100% resulta poco probable en el caso de las pruebas de controles; es más común para las pruebas de detalles. Una inspección del 100% puede ser adecuada cuando, por ejemplo:

– La población constituye una pequeña cantidad de partidas de gran valor

– Existe un riesgo significativo y otros medios no proveen evidencia de auditoría suficiente y adecuada o,

– La naturaleza repetitiva de un cálculo u otro proceso realizado de manera automática por un sistema de información hace que una inspección del 100% sea rentable.

Selección de partidas específicas: Podemos optar por seleccionar partidas específicas de una población. Al tomar esta decisión, los factores que pueden ser relevantes incluyen nuestro entendimiento de la entidad, los riesgos evaluados de errores materiales y las características de la población que se esté probando. La selección a base de juicio de las partidas específicas está sujeta al riesgo de no muestreo.

Los resultados de los procedimientos de auditoría aplicados a las partidas seleccionadas de esta manera no se pueden proyectar a toda la población; además, un examen selectivo de partidas específicas, por sí solo, no provee evidencia de auditoría suficiente y adecuada respecto al resto de la población.

Muestreo de auditoría: El muestreo de auditoría está diseñado a fin de llegar a conclusiones respecto a toda una población con base en pruebas realizadas a una muestra tomada de la misma.

La aplicación de una o la combinación de los métodos señalados puede resultar adecuada dependiendo de las circunstancias en particular. Por ejemplo, los riesgos de error material relacionados con la aseveración que se esté probando y cuán prácticos y eficientes resulten los distintos medios.

El muestreo de auditoría nos permite obtener y evaluar evidencia de auditoría sobre algunas características de las partidas seleccionadas a fin de que lleguemos a una conclusión o como ayuda que nos permita llegar a una conclusión relacionada con la población de la que se toma la muestra. El muestreo de auditoría puede aplicarse usando enfoques de muestreo estadísticos o no estadísticos.

La NIA 530, señala que al diseñar una muestra de auditoría, debemos considerar el propósito del procedimiento de auditoría y las características de la población de las que se tomará la muestra.

Nuestra consideración del propósito de los procedimientos de auditoría incluye un entendimiento claro de lo que constituye una desviación, y solamente aquellas condiciones que son relevantes para el propósito del procedimiento de auditoría se incluyen en la evaluación de las desviaciones.

Al considerar el objetivo de la prueba y las características de una población, podemos hacer una evaluación del índice esperado de desviación, con base en el conocimiento que tengamos de los controles relevantes o en el examen de un número pequeño de partidas de la población. Esta evaluación se hace para diseñar la muestra de auditoría y para determinar su tamaño. Por ejemplo, si el índice esperado de desviación es inaceptablemente alto, por lo general decidimos no realizar pruebas de controles.

Debemos determinar un tamaño de muestra que sea suficiente para reducir el riesgo del muestreo a un nivel aceptablemente bajo.

El nivel de riesgo del muestreo que estamos dispuestos a aceptar afecta el tamaño de la muestra requerido. Cuanto más bajo sea el riesgo que estamos dispuestos a aceptar, mayor tendrá que ser el tamaño de la muestra.

El tamaño de la muestra se determina usando nuestro juicio profesional. Varios factores por lo general pueden influir en la determinación del tamaño de la muestra, tales como son:

• Hasta qué grado nuestra evaluación de riesgo toma en cuenta los controles relevantes
• El índice tolerable de desviación de la población que se pondrá a prueba
• El índice esperado de desviación de la población que se pondrá a prueba
• El nivel deseado de certeza (complemento del riesgo del exceso de confianza) de que el índice tolerable de desviación no ha sido rebasado por el índice real de desviación en la población; podemos decidir el nivel deseado de certeza sobre la base de hasta qué grado nuestra evaluación de riesgo toma en cuenta los controles relevantes
• La cantidad de unidades de muestreo en la población si esta última es muy pequeña.

Debemos seleccionar partidas para la muestra de tal manera que cada unidad de muestreo en la población tenga una probabilidad de selección.

Las unidades de muestreo se seleccionan de manera aleatoria o al azar. Como el propósito del muestreo es proporcionar una base razonable para que saquemos conclusiones sobre la población de la que se seleccionó la muestra, es importante que seleccionemos una muestra representativa sin sesgo, eligiendo unidades de muestreo que tengan características típicas de la población.

Debemos llevar a cabo procedimientos de auditoría que sean adecuados para el propósito, en cada partida seleccionada para la muestra.

Si el procedimiento de auditoría no se aplica a la partida seleccionada, debemos llevar a cabo el procedimiento en una partida de reemplazo. Por ejemplo, cuando se selecciona un cheque anulado al hacer pruebas para tener evidencia sobre la autorización de pagos, es necesario realizar el procedimiento en una partida de reemplazo. Si estamos satisfechos de que el cheque se ha anulado correctamente para que no constituya una violación, se examina un reemplazo elegido de manera adecuada.

Si no podemos aplicar los procedimientos diseñados de auditoría, o procedimientos alternativos adecuados, para una partida seleccionada, debemos tratar la partida como una desviación del control prescrito. Por ejemplo, cuando se ha perdido la documentación relacionada con la partida seleccionada, no podemos aplicar los procedimientos diseñados de auditoría a la partida seleccionada.

Debemos investigar la naturaleza y la causa de las desviaciones identificadas y evaluaremos su efecto posible en el propósito de la auditoría y en otras áreas de la auditoría.

Si se detectan desviaciones de los controles en los que tengamos pensado basarnos, entonces debemos hacer indagaciones específicas para entender estos asuntos y sus consecuencias posibles, y decidiremos si:

• Las pruebas de los controles que se han realizado proporcionan una base adecuada para basarnos en ellos
• Se necesitan pruebas adicionales de los controles o
• Los riesgos posibles de error necesitan cubrirse usando procedimientos sustantivos.

El concepto de eficacia operativa de los controles reconoce que pueden ocurrir algunas desviaciones en la forma en que la entidad aplica los controles. Las desviaciones de los controles prescritos pueden ser ocasionadas por factores como cambios en el personal clave, fluctuaciones estacionales clave en el volumen de las transacciones y error humano. El índice detectado de de desviación, en particular en comparación con el índice esperada, puede indicar que no es posible confiar en que el control reduzca riesgos a nivel de la aseveración que hayamos evaluado.

Al analizar las desviaciones identificadas, podemos observar que muchas tienen una característica común, por ejemplo, el tipo de transacción, localidad, línea de productos o período. En estas circunstancias, podemos decidir identificar todas las partidas en la población que poseen la característica común y extender nuestros procedimientos de auditoría a ellas. Además, estas desviaciones pueden ser intencionales y pueden indicar la posibilidad de fraude.

En las circunstancias sumamente raras en que consideremos que una desviación descubierta en una muestra es una anomalía, debemos:

• Obtener un grado alto de certeza de que dicha desviación no es representativa de la población. Debemos obtener dicho grado de certeza llevando a cabo procedimientos adicionales en la auditoría para obtener evidencia de auditoría suficiente y adecuada en cuanto a que la desviación no afecta al resto de la población y
• Considerar si es necesario llevar a cabo procedimientos adicionales de auditoría en la población.

Para esto, la NIA 530, establece que debemos evaluar lo siguiente:

• Los resultados de la muestra, incluyendo el riesgo de muestreo, y,
• Si el uso del muestreo en la auditoría ha proporcionado una base razonable para llegar a conclusiones sobre la población que se ha puesto a prueba.

Un índice de desviación inesperadamente alto en la muestra puede producir un aumento en el riesgo del control evaluado y el riesgo de error material, a menos que se obtenga evidencia de auditoría adicional que apoye la evaluación inicial.

Si llegamos a la conclusión de que el muestreo en la auditoría no ha proporcionado una base razonable para sacar conclusiones sobre la población que se ha puesto a prueba, podemos:

• Solicitar a la gerencia que investigue las desviaciones que se han identificado y la posibilidad de errores y hacer los ajustes necesarios o
• Adaptar la naturaleza, la oportunidad y el alcance de los procedimientos adicionales de auditoría para lograr de la mejor manera posible la certeza requerida. Por ejemplo, podríamos extender el tamaño de la muestra, probar un control alternativo o modificar los procedimientos sustantivos relacionados.

Cuando se evalúa la eficacia operativa de los controles relevantes, debemos evaluar si los errores que han sido detectados por los procedimientos significativos indican que los controles no están funcionando de manera eficaz. Sin embargo, si los procedimientos sustantivos no han detectado errores, esto no proporciona evidencia de auditoría de que los controles relacionados con la aseveración que se está poniendo a prueba son eficaces.

Los controles en los sistemas de TI son efectivos cuando mantienen la integridad de la información y la seguridad de los datos, como el proceso de los sistemas de TI, e incluyen controles generales de TI y controles de aplicación eficaces.

La forma y el alcance de nuestra documentación tiene que ver con nuestro juicio profesional y son influenciados por la naturaleza, el tamaño y la complejidad de la entidad y de su control interno, la disponibilidad de información de la entidad y la metodología y tecnología utilizadas en la auditoría.

Equipo Auditool