miércoles, 16 de noviembre de 2016

¿Qué hacer con los riesgos evaluados por el auditor? - NIA 330



Durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los procedimientos que den respuesta a los riesgos identificados de errores en su auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una aseveración en específico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos específicos.
El auditor puede identificar riesgos ya sea a niveles globales o de aseveración; los primeros, están relacionados con los estados financieros, y los segundos, a errores de aseveración o a una cuenta en específico. 
Respuestas a riesgos identificados a nivel global
Cuando se identifica y determina la existencia de riesgos a nivel global, el auditor debe diseñar procedimientos de auditoría que respondan a ellos; asimismo, debe documentar el resultado del diseño y las conclusiones de los procedimientos ejecutados. Algunos ejemplos de respuestas a los riesgos globales son los siguientes:
  • Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo profesional, así como el incorporar elementos de impredecibilidad en la selección de los procedimientos de auditoría que se vayan a realizar. 
  • Asignar personal con más experiencia o con habilidades especiales en la industria, usar expertos, dar mayor supervisión, etcétera.
  • Si se determinan debilidades en el entorno de control, el auditor puede responder de la siguiente manera: Realizando cambios generales en la naturaleza, oportunidad y alcance de los procedimientos de auditoría; por ejemplo, se pueden efectuar procedimientos al final del ejercicio
  • y no en una fecha intermedia, buscando evidencia de auditoría más amplia, mediante procedimientos sustantivos, incrementando el número de localidades que se han de incluir en el alcance de la auditoría, etcétera. 
  • Un entorno de control efectivo, permite al auditor tener más confianza en el control interno y en la confiabilidad de la evidencia de auditoría generada dentro de la entidad y, con ello, realizar algunos procedimientos de auditoría en una fecha intermedia más que al final del ejercicio.
Respuestas a riesgos identificados a nivel de aseveración
A nivel de aseveración, para cada clase de transacción, saldo de la cuenta y revelación, en el que se haya determinado un riesgo significativo, el auditor debe diseñar y realizar procedimientos de auditoría que respondan a los riesgos, considerando lo siguiente:
  • El riesgo inherente: La posibilidad de que ocurra un error por las características particulares de la cuenta (clase y volumen de transacciones, complejidad y/o grado de subjetividad para la determinación del saldo o revelación, etcétera).
  • El riesgo de control: La posibilidad de que un control no funcione o no responda al riesgo identificado. Si la evaluación del riesgo considera que el auditor confiará y obtendrá evidencia de auditoría para determinar si los controles establecidos para las transacciones operan eficazmente.
  • Considerar que a mayor riesgo de error se debe obtener evidencia de auditoría más persuasiva.
  • Diseñar y llevar a cabo procedimientos que respondan a los riesgos de auditoría identificados, y proporcionen un vínculo claro entre los procedimientos adicionales de auditoría del auditor y la evaluación del riesgo.
Naturaleza
La naturaleza de los procedimientos de auditoría se refiere a su propósito (pruebas de controles o procedimientos sustantivos) y su tipo (inspección, observación, investigación, confirmación o procedimientos analíticos). 
Los riesgos evaluados por el auditor, pueden afectar tanto a los tipos de procedimientos de auditoría que se realizarán como a la combinación de éstos. Por ejemplo, cuando un riesgo evaluado es alto, el auditor puede confirmar la integridad de los términos de un contrato con un tercero, además de inspeccionar el documento. Asimismo, ciertos procedimientos de auditoría pueden ser más apropiados para algunas aseveraciones que otros. Es decir, en relación con los ingresos, las pruebas de los controles pueden responder más al riesgo evaluado de errores de la aseveración de integridad, mientras que los procedimientos sustantivos pueden ser los que más respondan al riesgo evaluado de errores de la aseveración de ocurrencia.
Al obtener una evidencia de auditoría más convincente, por medio de una evaluación de riesgo más alta, el auditor podría obtener la que sea más relevante o fiable (por ejemplo, poner más énfasis en obtener evidencia  de algún tercero o en insistir en la búsqueda de corroboración de varias fuentes independientes).
Oportunidad
La oportunidad se refiere al momento en el cual se llevan a cabo los procedimientos de auditoría.  
El auditor puede realizar pruebas de control o procedimientos sustantivos en una fecha intermedia o al final del ejercicio. Mientras más alto es el riesgo de errores de importancia relativa, más probable es que el auditor pueda decidir qué es más eficaz, realizar procedimientos sustantivos más cerca de, o al final del ejercicio, en lugar de una fecha anticipada, o llevar a cabo procedimientos de auditoría sin anunciar o en momentos no esperados (por ejemplo, llevar a cabo procedimientos de auditoría en localidades seleccionadas sin previo aviso). Esto es de especial relevancia al considerar la respuesta a los riesgos de fraude.
Por otra parte, llevar a cabo procedimientos de auditoría antes del final del ejercicio puede ayudar al auditor a identificar asuntos importantes en una etapa inicial de la auditoría y, consecuentemente, resolverlos con ayuda de la administración o desarrollar un enfoque eficaz de auditoría para atender a tales asuntos. 
Existen otros factores relevantes que tienen influencia sobre la consideración del auditor de cuándo aplicar  los procedimientos de auditoría, por ejemplo, si existe un riesgo de ingresos sobrevaluados para cumplir con presupuestos de ingresos mediante la emisión de facturas o contratos ficticios, el auditor debe efectuar la revisión correspondiente al cierre del ejercicio y confirmar la autenticidad de los documentos. 
Alcance
El alcance de un procedimiento de auditoría se refiere al tamaño de la muestra que quedará cubierta con ese procedimiento o la cantidad de observaciones de una actividad de control.
El alcance de los procedimientos de auditoría que respondan al riesgo evaluado, deben ser proporcionales al nivel de riesgo; esto es, si aumenta el riesgo de errores de importancia relativa, el alcance (cantidad de muestras o controles sujetos a los procedimientos diseñados) debe aumentar.
Enfoque de auditoría
La evaluación del auditor a los riesgos identificados al nivel de aseveración, proporciona una base para considerar el enfoque de auditoría eficaz para diseñar y llevar a cabo procedimientos que respondan a los riesgos identificados. Por ejemplo, el auditor puede determinar que los procedimientos sólo estarán basados en la aplicación de pruebas de la efectividad de los controles, o que sólo es adecuado llevar a cabo procedimientos sustantivos, o un enfoque combinado que usa pruebas de la eficacia de los controles y procedimientos sustantivos. 
Enfoque de pruebas de controles
Cuando el auditor tenga la expectativa de que los controles operan eficazmente y los procedimientos sustantivos por sí solos no ofrecen evidencia de auditoría completa, el auditor deberá diseñar y realizar pruebas de controles. 
Los controles a probar deben ser los que estén adecuadamente diseñados para prevenir, detectar y corregir errores de importancia relativa en una aseveración; no obstante lo anterior, existe la posibilidad de que algunos procedimientos no estén diseñados como pruebas de control; además, es posible que algunos de éstos puedan proporcionar evidencia de auditoría sobre la eficacia de los mismos. Por ejemplo, indagar sobre el uso de presupuestos por la administración; la observación comparativa de los gastos mensuales presupuestados y reales de la administración, y la inspección de informes pertinentes a la investigación de variaciones entre las cantidades presupuestadas y las reales. 
En ciertos casos, podría resultar imposible para el auditor diseñar procedimientos sustantivos eficaces que por sí mismos proporcionen suficiente evidencia de auditoría adecuada al nivel de aseveración. Esto puede ocurrir cuando una entidad procesa su información, usando Tecnologías de Información (TI) y mantiene documentación  sólo en ese medio. En este caso, es imprescindible que el auditor efectué pruebas al medio ambiente tecnológico, incluyendo pruebas de cambios a programas y pruebas de acceso.
Naturaleza, alcance y oportunidad de las pruebas de controles
Para el diseño y ejecución de las pruebas de control, el auditor debe indagar respecto a:
  • Cómo se aplicaron los controles. 
  • Frecuencia con que se aplican.
  • Quién o por cuál medio (manual o sistematizado) fueron aplicados.
La indagación en sí no es suficiente para obtener suficiente evidencia de la eficacia operativa de los controles; por lo mismo, se debe combinar con otros procedimientos, por ejemplo, con la observación, inspección o re-ejecución.
Cuando el auditor planea tener evidencia más contundente sobre la eficacia operativa de los controles, el auditor debe aumentar sus alcances en las pruebas de control, para lo cual debe considerar la frecuencia en que se ejecuta el control, el periodo en que estuvo vigente, la evidencia de que el control fue ejecutado, etcétera. 
En el caso de los controles automatizados, debido a la continuidad inherente en que éstos son ejecutados, no es necesario aumentar el número de pruebas a menos de que existan cambios en los programas (tablas, archivos u otros datos permanentes). Asimismo, se debe considerar que, en caso de que existan cambios a los programas, éstos no se realizan sin estar sujetos a los controles de cambios adecuados, y que se use la versión autorizada del programa. Del mismo modo, otros controles generales relevantes son eficaces (control de accesos).
La prueba de la eficacia operativa de los controles durante el periodo intermedio debe considerar la obtención de evidencia de auditoría de cambios efectuados en los controles realizados en fecha posterior al periodo intermedio; además, evaluar la importancia de los riesgos evaluados, el grado de evidencia que se obtuvo en el periodo intermedio, la duración del periodo restante y el grado en que el auditor pretende reducir aún más los procedimientos sustantivos, con base en la dependencia de los controles.
Decisión de dejar de probar controles o, en su caso, rotar los controles a ser probados, con base en los resultados de las pruebas de auditorías anteriores
Es posible usar la evidencia de auditoría de las pruebas de controles efectuadas en auditorías anteriores, para decidir la estrategia a seguir en la auditoría actual, para lo cual se debe considerar lo siguiente:
  • La eficacia de otros elementos del control interno, incluyendo el ambiente de control, el monitoreo de los controles por la entidad y el proceso de evaluación del riesgo por la entidad.
  • Los riesgos que se originan de las características del control, incluyendo si los controles son manuales o automatizados. En el caso de estos últimos, la eficacia de los controles generales relacionados con la TI.  
  • La eficacia del control y su aplicación por la entidad, incluyendo la naturaleza y alcance de las desviaciones en la aplicación del control observadas en auditorías anteriores o la falta de un cambio en un control en particular, y si ha habido cambios de personal que afecten, de manera significativa, la aplicación del control.  
  • Investigar si hubo cambios importantes en los controles relevantes; en su caso, el auditor deberá probar los controles en la auditoría actual. Los cambios pueden afectar la relevancia de la evidencia de auditoría obtenida en auditorías previas, de modo tal que pueda no haber ya una base para una confiabilidad continua. 
Si no ha habido tales cambios, el auditor deberá probar los controles al menos una vez cada tres auditorías, y deberá probar algunos controles en cada auditoría para evitar probar todos los controles sobre los cuales el auditor planea confiar en un sólo periodo de auditoría, sin probar los controles en los siguientes dos periodos. Para que el auditor pueda rotar los controles probados en periodos anteriores, debe cumplirse con lo siguiente: 
  • Que no hayan sido modificados desde que se probaron la última vez.
  • Que no sean controles que mitiguen un riesgo importante relacionado con un asunto de juicio profesional.
Existen situaciones que no permiten utilizar la evidencia de las pruebas de control efectuadas en periodos anteriores, estas situaciones son:
  • Un entorno de control débil.
  • Monitoreo débil de los controles.
  • Un elemento manual importante en los controles relevantes.
  • Cambios de personal que afectan de modo importante la aplicación del control.
  • Controles generales de TI débiles.
Cuando el auditor planea confiar en los controles sobre riesgos que el auditor ha determinado como importantes, el auditor probará dichos controles en el periodo actual.
Evaluando la eficacia operativa de controles
Cuando se detectan desviaciones de los controles sobre los cuales el auditor piensa confiar, deberá hacer indagaciones específicas para entender las causas y sus posibles consecuencias, para determinar si: 
  • Las pruebas de controles realizadas ofrecen una base adecuada para confiar en los controles.
  • Se requieren pruebas de controles adicionales.
  • Los posibles riesgos de errores de importancia relativa deben ser tratados mediante procedimientos sustantivos.
Las desviaciones en los controles prescritos pueden ser causadas por factores como cambios en el personal clave, fluctuaciones estacionales importantes en el volumen de transacciones y error humano. La tasa de desviación detectada, especialmente en comparación con la tasa esperada, podría indicar que no se puede confiar en el control para reducir el riesgo a nivel de aseveración al nivel evaluado por el auditor. 
Procedimientos sustantivos
El auditor deberá diseñar y realizar procedimientos sustantivos para cada clase de transacción importante, saldo de la cuenta, independientemente de los riesgos evaluados, para lo que puede considerar la aplicación, sólo, de procedimientos sustantivos analíticos, o pruebas de detalles o una combinación de procedimientos sustantivos analíticos y de pruebas de detalles. 
Si se decide por efectuar procedimientos sustantivos en una fecha intermedia, el auditor cubrirá el periodo restante realizando procedimientos sustantivos combinados con pruebas de controles para cubrir el periodo en cuestión; o si el auditor determina que es suficiente, únicamente aplicar procedimientos sustantivos adicionales, que ofrezcan una base razonable para ampliar las conclusiones de auditoría de la fecha intermedia al final del ejercicio.
Si se detectan errores inesperados cuando el auditor evalúa los riesgos de error de importancia relativa a una fecha intermedia, éste deberá determinar si la evaluación de riesgo relativa y la naturaleza, oportunidad o alcance planeado de los procedimientos sustantivos, que cubren el periodo restante, requieren de alguna modificación que podría incluir la ampliación o modificación de los procedimientos efectuados.
Documentación
El auditor debe asegurarse de contar, como mínimo, con la siguiente documentación:
  • Respuestas globales para manejar los riesgos identificados de errores de importancia relativa al nivel de estado financiero y la naturaleza, oportunidad y alcance de los procedimientos adicionales de auditoría. 
  • La vinculación de los procedimientos aplicados con los riesgos evaluados a nivel de aseveración.
  • El resultado de los procedimientos de auditoría aplicados e incluir las conclusiones cuando éstos no sean claros.
Si el auditor planea usar la evidencia de auditoría sobre la eficacia operativa de los controles obtenida en auditorías anteriores, deberá documentar las conclusiones sobre la confiabilidad en los mismos, los cuales fueron probados en una auditoría anterior.
Conclusión
El auditor debe diseñar procedimientos adicionales de auditoría que respondan a los riesgos significativos y determinados; esto incluye la estrategia de la auditoria, el alcance, oportunidad y naturaleza de los procedimientos diseñados. 
El alcance de los procedimientos de auditoría que respondan a los riesgos determinados, debe ser proporcional al nivel de riesgo; esto es, si aumenta el riesgo de errores de importancia relativa, el alcance (cantidad de procedimientos, partidas o controles a ser revisados) debe aumentar.

C.P.C. Alejandro Salvador Ruiz Onofre
Socio de Auditoría
Mancera, S.C., Ernst & Young
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx

MENSAJE, LAS GRANDES OPORTUNIDADES…

mensaje-las-grandes-oportunidades

10 Factores esenciales para selección de un proyecto de consultoría




El licenciado Nahun Frett nos comparte el siguiente artículo en su Blog:

 Nahun Frett
Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool
Santo Domingo, República Dominicana

miércoles, 9 de noviembre de 2016

Cuando echan a este hombre de la compañía, no tienen idea de lo que va a hacer cinco minutos después

A este hombre no le dieron el empleo por un pequeño detalle. Pero es un detalle que cambió su vida de forma sorprendente.

AUDITORÍA FORENSE, DELITOS FINANCIEROS Y CONTABILIDAD CREATIVA: NUEVOS RETOS PARA EL MARCO DE CONTROL INTERNO



Si bien los crímenes financieros resultan verdaderamente onerosos para las entidades, lo más costoso sin duda es que, aunque algunas invierten miles de millones de dólares en buscar estos delitos, una vez que los descubren no hacen nada para prevenir su recurrencia.
Dentro del marco de la IV Conferencia Latinoamericana de Delitos Financieros 2016 de la Asociación de Especialistas Certificados en Delitos Financieros (ACFCS, por sus siglas en inglés), que se llevó a cabo los pasados 13 y 14 de octubre, uno de los temas más relevantes fue la creciente función de la Auditoría Forense en la detección de los delitos económicos.
Esta práctica es relevante considerando que es una herramienta que se emplea en la última etapa del ciclo de los delitos financieros. Una vez que el criminal ha planeado, cometido y lavado los recursos, se crea la necesidad de recuperar los activos. Es ahí en donde el auditor forense cobra gran importancia.
Es conocido que una vez que se cuantifica el desfalco, a pesar de que los gobiernos y las entidades privadas invierten una gran cantidad de recursos, se recupera únicamente un bajo porcentaje del total.
Cuando hablamos de fraude las estadísticas son aún más preocupantes. De acuerdo con Carlos Fernando Rozen, Socio Global de la Práctica Forense de BDO, el fraude no es un delito común sino es el delito más creativo, estimado en alrededor del 6% del ingreso bruto de las organizaciones.
Además que, según la percepción ciudadana, se cree que el 85% de nosotros es bueno, mientras que el 15% restante podría aprovechar ventajas para cometer algún tipo de fraude. Sin embargo, las estadísticas muestran que realmente el 15% de todas las personas son rectas y honestas, mientras que el otro 15% son deshonestos.
¿Qué pasa con el 70% restante? Este porcentaje representa a individuos volubles frente al contexto. Si se aplica el Principio de Pareto, podemos estimar que dentro del 20% de la superficie de la compañía ocurre el 80% del fraude y el 90% del total del mismo jamás será identificado.
Rozen propone cinco mitigadores para reducir el riesgo de fraude: Cultura Tone at the top (estándar establecido por los líderes de la organización según el cual se mide su rendimiento), Código de conducta y políticas, Líneas de denuncia anónimas, Programas de Cumplimiento y un Monitoreo Continuo. Asimismo, considera que ya no interesa tanto saber que en un 99.95% del universo los procedimientos se cumplen, sino identificar y neutralizar el 0.05% restante.
El especialista sugiere que dentro de las organizaciones se requieren dos tipos de auditores: el auditor soldado y el auditor helicóptero, ya que el primero recorre muy bien el terreno sin saber qué encontrará e identifica heridos a su paso, mientras que el helicóptero sobrevuela el terreno para identificar dificultades y alertar al resto, y sabe exactamente en dónde buscar heridos para ayudarlos.
De igual manera, Gerineldo Sousa, Vicepresidente de Contraloría en Popular Bank Panamá, sugiere que no podemos pensar que con los conocimientos de hoy podemos prevenir los delitos financieros por siempre. El delincuente financiero evoluciona constantemente para agilizar la forma de obtener los fondos con mayor rapidez y precisión o también para ganar a las autoridades que se están especializando.
En este contexto, el auditor forense no es un abogado, fiscal o juez; sin embargo, aporta elementos para que estos puedan realizar sus labores. Su objetivo es aportar la evidencia para que se convierta en prueba, es decir, la licitud de la misma.
Gear icon in Magnifying glass ,business background
Sousa considera cuatro características de un investigador de delitos económicos: 1) Analiza la información de manera exhaustiva; 2) Piensa con creatividad; 3) Posee un sentido común en los negocios; 4) Conoce temas contables, de auditoría, criminología, investigación y legales.
Por su parte, la contabilidad creativa consiste en presentar información que, aunque no viole las Normas Internacional de Información Financiera (NIIF), pueda ser beneficiosa.
La contabilidad creativa es una falla ética y moral para el contador. Si bien existen muchas razones porque las empresas pueden caer en esta práctica, generalmente lo hacen para reflejar una tendencia estable en el crecimiento de las utilidades, en lugar de mostrar que estas son volátiles.
Rodrigo Olivero, Director de Forensic & Disputes Services en Deloitte Argentina, comentó al respecto del fraude y el uso de las nuevas tecnologías. Al respecto, expuso que la era digital ha transformado cada aspecto de los negocios, incluyendo la forma en la que los fraudes son perpetrados y descubiertos. Las organizaciones requieren de Data Analytics, como técnicas analíticas avanzadas para fortalecer los sistemas de control interno.
Algunas ventajas que proporciona este proceso en la detección de fraude son que permite identificar patrones de comportamientos o tendencias, recolectar información generada rutinariamente y de bases externas, así como una mayor colocación de recursos para actividades e individuos más riesgosos.
Se hizo énfasis en los modelos de Electronic Discovery Reference Model (EDRM), como aquellos que permiten recolectar y preservar evidencia digital en un mundo más tecnológico.
Como podemos observar, los delincuentes financieros evolucionan cada vez más rápido. Buscan sobrepasar a los reguladores y tener más inteligencia que ellos. Encuentran la manera de burlar los controles ya conocidos y de esta manera llevar con éxito el crimen financiero.
Dentro de las organizaciones, sobre todo en nuestro país, necesitamos enfoques preventivos que nos permitan tener un mayor grado de confiabilidad en los controles internos. Si bien los crímenes financieros resultan verdaderamente onerosos para las entidades, lo más costoso sin duda es que, aunque algunas invierten miles de millones de dólares en buscar estos delitos, una vez que los descubren no hacen nada para prevenir su recurrencia.
Se visualiza ahora la creciente tendencia del whistleblowing o informantes que permiten conocer de manera anónima lo que sucede dentro de las organizaciones. Sin embargo, desde siempre se ha sabido que el mantener estos canales es el mejor control y método de detección de fraudes.
Debemos de estar conscientes de que las prácticas forenses pueden ser costosas. Al momento en que la organización ha descubierto el delito económico, únicamente la Auditoría Forense puede cuantificar el daño y buscar responsables. Es por eso que, como dice el dicho, es mejor prevenir que lamentar.
L.F.B Daniel Alberto Ortiz de Montellano Velázquez, CAMS, CFCS
Integrante de la Comisión de Prevención en Lavado de Dinero
AUDITOOL

sábado, 5 de noviembre de 2016

VIDEOCONFERENCIA: ¿CÓMO ELABORAR LOS INFORMES DE GESTIÓN DE RIESGOS?

Estándar

A continuación podrán encontrar el material de la videoconferencia expuesta el día 4 de noviembre, por: Isabel Casares San José-Marti
Conferencista:
  Isabel Casares San José-Marti
Economista. Actuaria de seguros. Asesora Actuarial y de Riesgos.
Fundadora y Presidenta de CASARES Asesoría Actuarial y de Riesgos, S.L. http://www.mcasares.es/
Licenciada en Ciencias Económicas y Empresariales por la Universidad Autónoma de Madrid. Rama Ciencias Económicas (1988). Licenciada en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid. Rama Ciencias Actuariales y Financieras (1990). Título profesional de Actuario de Seguros por el Ministerio de Educación y Ciencia de Madrid (1990). Doctorado en Economía Financiera y Actuarial por la Universidad Complutense de Madrid (1997). Título Profesional de Actuario de Fondos de Pensiones por el Ministerio de Economía (Dirección General de Seguros y Fondos de Pensiones). Diploma de Mediador de Seguros Titulado por el Ministerio de Economía (Dirección General de Seguros y Fondos de Pensiones). Perito judicial actuarial. Colaborador de Auditool
Madrid, España
Material PDF:
Video Conferencia