martes, 26 de julio de 2016

¿CÓMO PROBAR LOS CONTROLES EN UNA AUDITORÍA DE INFORMACIÓN FINANCIERA? – PARTE 1


Estándar

A las pruebas de controles, se les conoce también como pruebas de eficacia operativa de los controles, y estas se llevan a cabo como parte de la respuesta a los riesgos de error material identificados durante la evaluación del riesgo.
De acuerdo a la NIA 500, las pruebas de controles están diseñadas para evaluar la eficacia operativa de los controles en la prevención, o detección y corrección de errores materiales a nivel de aseveraciones. El diseño de las pruebas de controles para obtener evidencia relevante de auditoría incluye la identificación de las condiciones (características o atributos) que indiquen el desempeño de un control, y las condiciones de desviación que indiquen un desempeño no adecuado. De esta manera, podemos probar la presencia o ausencia de dichas condiciones.
Así mismo, la NIA 330, señala que debemos diseñar y llevar a cabo pruebas de controles para obtener evidencia de auditoría suficiente y adecuada en relación con la eficacia operativa de los controles relevantes si:
  •  Tenemos pensado basarnos en la eficacia operativa de los controles para establecer la naturaleza, la oportunidad y el alcance de los procedimientos sustantivos o
  • Los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada a nivel de aseveraciones.
Es posible que nos demos cuenta que es imposible diseñar procedimientos sustantivos efectivos que, por sí solos, proporcionen evidencia de auditoría suficiente y adecuada a nivel aseveraciones. Esto puede ocurrir cuando las transacciones rutinarias del negocio estén sujetas a un procesamiento sumamente automatizado con muy poca o sin intervención manual o cuando no se produzca o se conserve documentación de las transacciones, que no sea en el sistema de TI. Por ejemplo, podemos considerar que este es el caso en circunstancias en las que se inicia, autoriza, registra, procesa o informa una cantidad significativa de información de la entidad únicamente en forma electrónica, como en un sistema integrado. En estos casos:
  • La evidencia de auditoría puede estar disponible únicamente en forma electrónica y la suficiencia y lo adecuado de la misma depende normalmente de la eficacia de los controles sobre su exactitud e integridad.
  • El potencial de que ocurra o no se detecte un inicio o alteración incorrecta de la información puede ser mayor si los controles adecuados no están operando de manera eficaz.
No es necesario probar controles que, aunque sean deficientes, no representen una posibilidad razonable de error material para los estados financieros.
Las pruebas de controles se realizan únicamente en los controles que establecemos que se han diseñado correctamente para prevenir o detectar y corregir un error material en una aseveración. En caso de que se hayan usado controles muy diferentes en distintos momentos durante el período de la auditoría, cada uno se considera por separado.
Al diseñar y realizar pruebas de controles, debemos obtener evidencia de auditoría más persuasiva en la medida en que confiemos más en la eficacia de un control.
Es posible buscar un nivel superior de certeza sobre la eficacia operativa de los controles cuando el enfoque adoptado consiste principalmente en pruebas de controles, en especial cuando no es posible o factible obtener evidencia de auditoría suficiente y adecuada únicamente de procedimientos sustantivos.
Al diseñar y llevar a cabo las pruebas de controles, debemos:
a. Realizar otros procedimientos de auditoría, en combinación con indagaciones, para obtener evidencia de auditoría sobre la eficacia operativa de los controles, incluyendo:
  • Cómo se aplicaron los controles en momentos relevantes durante el período sujeto a auditoría
  • La consistencia con la que se aplicaron y
  • Quién los aplicó y por qué medios
b. Establecer si los controles que se pondrán a prueba dependen de otros controles (controles indirectos) y, de ser así, si es necesario obtener evidencia de auditoría que apoye la operación eficaz de esos controles indirectos (por ejemplo, los controles generales de TI).
La naturaleza de un procedimiento de auditoría tiene que ver con su propósito (es decir, la prueba de controles) y con su tipo. La naturaleza de los procedimientos de auditoría es de suma importancia para responder a los riesgos evaluados.
Es posible usar los siguientes procedimientos en la auditoría, a menudo en combinación, para obtener evidencia de auditoría sobre la eficacia operativa de los controles: indagación, observación, inspección, repetición, repetición del cálculo.
Es importante aclarar, que por sí solas, las indagaciones no son suficientes para probar la eficacia operativa de los controles. En consecuencia, se realizan otros procedimientos de auditoría en combinación con las indagaciones.
La indagación combinada con la inspección, la repetición del cálculo o la repetición, pueden producir una mayor certeza que la indagación y la observación, porque la observación es pertinente únicamente en el momento en que se realiza.
Podemos diseñar una prueba de eficacia operativa para que se realice al mismo tiempo que una prueba de detalle de la misma transacción. Aunque el propósito de una prueba de eficacia operativa es diferente al de una prueba de detalle, ambas pueden lograrse de manera simultánea realizando ambas pruebas en la misma transacción. A esto se le conoce como una prueba de doble propósito. Por ejemplo, podemos diseñar una prueba para examinar una factura, y también evaluar los resultados, y así determinar si ha sido aprobada y proporcionar evidencia sustantiva de auditoría de una transacción.
Se debe tener en cuenta que una prueba de doble propósito está diseñada y se evalúa considerando cada propósito de la prueba por separado.
El alcance de un procedimiento de auditoría se refiere a la cantidad que se va a realizar, por ejemplo, el tamaño de una muestra o el número de observaciones de una actividad de control.
El alcance que se juzga necesario para un procedimiento de auditoría se determina después de haber considerado la materialidad, el riesgo evaluado y el grado de certeza que tenemos pensado obtener. Cuando un propósito único se cumple mediante una combinación de procedimientos, el alcance de cada procedimiento se considera por separado. En general, el alcance de los procedimientos de auditoría aumenta conforme aumenta el riesgo de error material. Sin embargo, solamente es eficaz aumentar el alcance de un procedimiento de auditoría si este procedimiento es relevante por sí solo al riesgo específico.
Cuando se necesita evidencia de auditoría más persuasiva sobre la eficacia de un control, puede ser adecuado aumentar el alcance de las pruebas que se realizan en el control. Además del grado de confianza en los controles, los asuntos que podemos tomar en consideración al determinar el alcance de las pruebas de controles incluyen los siguientes:
  • La frecuencia del desempeño del control por la entidad durante el período
  • El lapso de tiempo durante el período de la auditoría en que confiemos en la eficacia operativa del control
  • Nuestra evaluación del riesgo de fallo
  • Si el control es un control automatizado
  • El índice esperado de desviación de un control
  • La relevancia y la confiabilidad de la evidencia de auditoría que se obtendrá en relación con la eficacia operativa del control a nivel de la aseveración
  • El grado en que se obtiene evidencia de auditoría de pruebas de otros controles relacionados con la aseveración
  • Para un control automatizado, la eficacia de los controles generales de TI relevantes.
Debido a la consistencia inherente del procesamiento de TI, es posible que no sea necesario aumentar el alcance de las pruebas de un control automatizado o de la parte automatizada de un control manual con un componente automatizado que realizamos como parte de la evaluación del diseño y de la implementación del control cuando los controles generales de TI relevantes están funcionando de manera eficaz. Se puede esperar que un control automatizado funcione de manera consistente a menos que se cambie el programa o que el control automatizado se evada de alguna manera.
Cuando determinemos que un control automatizado está funcionando tal como fue diseñado (que podría hacerse en el momento en que el control inicialmente se implemente o en alguna otra fecha), podemos considerar probar los controles generales de TI relevantes para determinar que el control sigue funcionando de manera eficaz. Estas pruebas podrían incluir la determinación que:
  • Los cambios al programa no se hacen sin que estén sujetos a los controles adecuados de cambios en el programa
  • La versión autorizada del programa se usa para procesar las transacciones
  • Otros controles generales relevantes son eficaces y
  • No se han hecho cambios a los programas (esto puede ocurrir cuando la entidad usa aplicaciones de software de paquete sin modificarlas o darles mantenimiento). Por ejemplo, podemos inspeccionar el registro de la administración de la seguridad de TI para obtener evidencia de auditoría en cuanto a que no ha habido accesos no autorizados durante el periodo.
Equipo Auditool

No hay comentarios.:

Publicar un comentario