Durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los procedimientos que den respuesta a los riesgos identificados de errores en su auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una aseveración en específico.
Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos específicos.
El auditor puede identificar riesgos ya sea a niveles globales o de aseveración; los primeros, están relacionados con los estados financieros, y los segundos, a errores de aseveración o a una cuenta en específico.
Respuestas a riesgos identificados a nivel global
Cuando se identifica y determina la existencia de riesgos a nivel global, el auditor debe diseñar procedimientos de auditoría que respondan a ellos; asimismo, debe documentar el resultado del diseño y las conclusiones de los procedimientos ejecutados. Algunos ejemplos de respuestas a los riesgos globales son los siguientes:
- Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo profesional, así como el incorporar elementos de impredecibilidad en la selección de los procedimientos de auditoría que se vayan a realizar.
- Asignar personal con más experiencia o con habilidades especiales en la industria, usar expertos, dar mayor supervisión, etcétera.
- Si se determinan debilidades en el entorno de control, el auditor puede responder de la siguiente manera: Realizando cambios generales en la naturaleza, oportunidad y alcance de los procedimientos de auditoría; por ejemplo, se pueden efectuar procedimientos al final del ejercicio
- y no en una fecha intermedia, buscando evidencia de auditoría más amplia, mediante procedimientos sustantivos, incrementando el número de localidades que se han de incluir en el alcance de la auditoría, etcétera.
- Un entorno de control efectivo, permite al auditor tener más confianza en el control interno y en la confiabilidad de la evidencia de auditoría generada dentro de la entidad y, con ello, realizar algunos procedimientos de auditoría en una fecha intermedia más que al final del ejercicio.
Respuestas a riesgos identificados a nivel de aseveración
A nivel de aseveración, para cada clase de transacción, saldo de la cuenta y revelación, en el que se haya determinado un riesgo significativo, el auditor debe diseñar y realizar procedimientos de auditoría que respondan a los riesgos, considerando lo siguiente:
- El riesgo inherente: La posibilidad de que ocurra un error por las características particulares de la cuenta (clase y volumen de transacciones, complejidad y/o grado de subjetividad para la determinación del saldo o revelación, etcétera).
- El riesgo de control: La posibilidad de que un control no funcione o no responda al riesgo identificado. Si la evaluación del riesgo considera que el auditor confiará y obtendrá evidencia de auditoría para determinar si los controles establecidos para las transacciones operan eficazmente.
- Considerar que a mayor riesgo de error se debe obtener evidencia de auditoría más persuasiva.
- Diseñar y llevar a cabo procedimientos que respondan a los riesgos de auditoría identificados, y proporcionen un vínculo claro entre los procedimientos adicionales de auditoría del auditor y la evaluación del riesgo.
Naturaleza
La naturaleza de los procedimientos de auditoría se refiere a su propósito (pruebas de controles o procedimientos sustantivos) y su tipo (inspección, observación, investigación, confirmación o procedimientos analíticos).
Los riesgos evaluados por el auditor, pueden afectar tanto a los tipos de procedimientos de auditoría que se realizarán como a la combinación de éstos. Por ejemplo, cuando un riesgo evaluado es alto, el auditor puede confirmar la integridad de los términos de un contrato con un tercero, además de inspeccionar el documento. Asimismo, ciertos procedimientos de auditoría pueden ser más apropiados para algunas aseveraciones que otros. Es decir, en relación con los ingresos, las pruebas de los controles pueden responder más al riesgo evaluado de errores de la aseveración de integridad, mientras que los procedimientos sustantivos pueden ser los que más respondan al riesgo evaluado de errores de la aseveración de ocurrencia.
Al obtener una evidencia de auditoría más convincente, por medio de una evaluación de riesgo más alta, el auditor podría obtener la que sea más relevante o fiable (por ejemplo, poner más énfasis en obtener evidencia de algún tercero o en insistir en la búsqueda de corroboración de varias fuentes independientes).
Oportunidad
La oportunidad se refiere al momento en el cual se llevan a cabo los procedimientos de auditoría.
El auditor puede realizar pruebas de control o procedimientos sustantivos en una fecha intermedia o al final del ejercicio. Mientras más alto es el riesgo de errores de importancia relativa, más probable es que el auditor pueda decidir qué es más eficaz, realizar procedimientos sustantivos más cerca de, o al final del ejercicio, en lugar de una fecha anticipada, o llevar a cabo procedimientos de auditoría sin anunciar o en momentos no esperados (por ejemplo, llevar a cabo procedimientos de auditoría en localidades seleccionadas sin previo aviso). Esto es de especial relevancia al considerar la respuesta a los riesgos de fraude.
Por otra parte, llevar a cabo procedimientos de auditoría antes del final del ejercicio puede ayudar al auditor a identificar asuntos importantes en una etapa inicial de la auditoría y, consecuentemente, resolverlos con ayuda de la administración o desarrollar un enfoque eficaz de auditoría para atender a tales asuntos.
Existen otros factores relevantes que tienen influencia sobre la consideración del auditor de cuándo aplicar los procedimientos de auditoría, por ejemplo, si existe un riesgo de ingresos sobrevaluados para cumplir con presupuestos de ingresos mediante la emisión de facturas o contratos ficticios, el auditor debe efectuar la revisión correspondiente al cierre del ejercicio y confirmar la autenticidad de los documentos.
Alcance
El alcance de un procedimiento de auditoría se refiere al tamaño de la muestra que quedará cubierta con ese procedimiento o la cantidad de observaciones de una actividad de control.
El alcance de los procedimientos de auditoría que respondan al riesgo evaluado, deben ser proporcionales al nivel de riesgo; esto es, si aumenta el riesgo de errores de importancia relativa, el alcance (cantidad de muestras o controles sujetos a los procedimientos diseñados) debe aumentar.
Enfoque de auditoría
La evaluación del auditor a los riesgos identificados al nivel de aseveración, proporciona una base para considerar el enfoque de auditoría eficaz para diseñar y llevar a cabo procedimientos que respondan a los riesgos identificados. Por ejemplo, el auditor puede determinar que los procedimientos sólo estarán basados en la aplicación de pruebas de la efectividad de los controles, o que sólo es adecuado llevar a cabo procedimientos sustantivos, o un enfoque combinado que usa pruebas de la eficacia de los controles y procedimientos sustantivos.
Enfoque de pruebas de controles
Cuando el auditor tenga la expectativa de que los controles operan eficazmente y los procedimientos sustantivos por sí solos no ofrecen evidencia de auditoría completa, el auditor deberá diseñar y realizar pruebas de controles.
Los controles a probar deben ser los que estén adecuadamente diseñados para prevenir, detectar y corregir errores de importancia relativa en una aseveración; no obstante lo anterior, existe la posibilidad de que algunos procedimientos no estén diseñados como pruebas de control; además, es posible que algunos de éstos puedan proporcionar evidencia de auditoría sobre la eficacia de los mismos. Por ejemplo, indagar sobre el uso de presupuestos por la administración; la observación comparativa de los gastos mensuales presupuestados y reales de la administración, y la inspección de informes pertinentes a la investigación de variaciones entre las cantidades presupuestadas y las reales.
En ciertos casos, podría resultar imposible para el auditor diseñar procedimientos sustantivos eficaces que por sí mismos proporcionen suficiente evidencia de auditoría adecuada al nivel de aseveración. Esto puede ocurrir cuando una entidad procesa su información, usando Tecnologías de Información (TI) y mantiene documentación sólo en ese medio. En este caso, es imprescindible que el auditor efectué pruebas al medio ambiente tecnológico, incluyendo pruebas de cambios a programas y pruebas de acceso.
Naturaleza, alcance y oportunidad de las pruebas de controles
Para el diseño y ejecución de las pruebas de control, el auditor debe indagar respecto a:
- Cómo se aplicaron los controles.
- Frecuencia con que se aplican.
- Quién o por cuál medio (manual o sistematizado) fueron aplicados.
La indagación en sí no es suficiente para obtener suficiente evidencia de la eficacia operativa de los controles; por lo mismo, se debe combinar con otros procedimientos, por ejemplo, con la observación, inspección o re-ejecución.
Cuando el auditor planea tener evidencia más contundente sobre la eficacia operativa de los controles, el auditor debe aumentar sus alcances en las pruebas de control, para lo cual debe considerar la frecuencia en que se ejecuta el control, el periodo en que estuvo vigente, la evidencia de que el control fue ejecutado, etcétera.
En el caso de los controles automatizados, debido a la continuidad inherente en que éstos son ejecutados, no es necesario aumentar el número de pruebas a menos de que existan cambios en los programas (tablas, archivos u otros datos permanentes). Asimismo, se debe considerar que, en caso de que existan cambios a los programas, éstos no se realizan sin estar sujetos a los controles de cambios adecuados, y que se use la versión autorizada del programa. Del mismo modo, otros controles generales relevantes son eficaces (control de accesos).
La prueba de la eficacia operativa de los controles durante el periodo intermedio debe considerar la obtención de evidencia de auditoría de cambios efectuados en los controles realizados en fecha posterior al periodo intermedio; además, evaluar la importancia de los riesgos evaluados, el grado de evidencia que se obtuvo en el periodo intermedio, la duración del periodo restante y el grado en que el auditor pretende reducir aún más los procedimientos sustantivos, con base en la dependencia de los controles.
Decisión de dejar de probar controles o, en su caso, rotar los controles a ser probados, con base en los resultados de las pruebas de auditorías anteriores
Es posible usar la evidencia de auditoría de las pruebas de controles efectuadas en auditorías anteriores, para decidir la estrategia a seguir en la auditoría actual, para lo cual se debe considerar lo siguiente:
- La eficacia de otros elementos del control interno, incluyendo el ambiente de control, el monitoreo de los controles por la entidad y el proceso de evaluación del riesgo por la entidad.
- Los riesgos que se originan de las características del control, incluyendo si los controles son manuales o automatizados. En el caso de estos últimos, la eficacia de los controles generales relacionados con la TI.
- La eficacia del control y su aplicación por la entidad, incluyendo la naturaleza y alcance de las desviaciones en la aplicación del control observadas en auditorías anteriores o la falta de un cambio en un control en particular, y si ha habido cambios de personal que afecten, de manera significativa, la aplicación del control.
- Investigar si hubo cambios importantes en los controles relevantes; en su caso, el auditor deberá probar los controles en la auditoría actual. Los cambios pueden afectar la relevancia de la evidencia de auditoría obtenida en auditorías previas, de modo tal que pueda no haber ya una base para una confiabilidad continua.
Si no ha habido tales cambios, el auditor deberá probar los controles al menos una vez cada tres auditorías, y deberá probar algunos controles en cada auditoría para evitar probar todos los controles sobre los cuales el auditor planea confiar en un sólo periodo de auditoría, sin probar los controles en los siguientes dos periodos. Para que el auditor pueda rotar los controles probados en periodos anteriores, debe cumplirse con lo siguiente:
- Que no hayan sido modificados desde que se probaron la última vez.
- Que no sean controles que mitiguen un riesgo importante relacionado con un asunto de juicio profesional.
Existen situaciones que no permiten utilizar la evidencia de las pruebas de control efectuadas en periodos anteriores, estas situaciones son:
- Un entorno de control débil.
- Monitoreo débil de los controles.
- Un elemento manual importante en los controles relevantes.
- Cambios de personal que afectan de modo importante la aplicación del control.
- Controles generales de TI débiles.
Cuando el auditor planea confiar en los controles sobre riesgos que el auditor ha determinado como importantes, el auditor probará dichos controles en el periodo actual.
Evaluando la eficacia operativa de controles
Cuando se detectan desviaciones de los controles sobre los cuales el auditor piensa confiar, deberá hacer indagaciones específicas para entender las causas y sus posibles consecuencias, para determinar si:
- Las pruebas de controles realizadas ofrecen una base adecuada para confiar en los controles.
- Se requieren pruebas de controles adicionales.
- Los posibles riesgos de errores de importancia relativa deben ser tratados mediante procedimientos sustantivos.
Las desviaciones en los controles prescritos pueden ser causadas por factores como cambios en el personal clave, fluctuaciones estacionales importantes en el volumen de transacciones y error humano. La tasa de desviación detectada, especialmente en comparación con la tasa esperada, podría indicar que no se puede confiar en el control para reducir el riesgo a nivel de aseveración al nivel evaluado por el auditor.
Procedimientos sustantivos
El auditor deberá diseñar y realizar procedimientos sustantivos para cada clase de transacción importante, saldo de la cuenta, independientemente de los riesgos evaluados, para lo que puede considerar la aplicación, sólo, de procedimientos sustantivos analíticos, o pruebas de detalles o una combinación de procedimientos sustantivos analíticos y de pruebas de detalles.
Si se decide por efectuar procedimientos sustantivos en una fecha intermedia, el auditor cubrirá el periodo restante realizando procedimientos sustantivos combinados con pruebas de controles para cubrir el periodo en cuestión; o si el auditor determina que es suficiente, únicamente aplicar procedimientos sustantivos adicionales, que ofrezcan una base razonable para ampliar las conclusiones de auditoría de la fecha intermedia al final del ejercicio.
Si se detectan errores inesperados cuando el auditor evalúa los riesgos de error de importancia relativa a una fecha intermedia, éste deberá determinar si la evaluación de riesgo relativa y la naturaleza, oportunidad o alcance planeado de los procedimientos sustantivos, que cubren el periodo restante, requieren de alguna modificación que podría incluir la ampliación o modificación de los procedimientos efectuados.
Documentación
El auditor debe asegurarse de contar, como mínimo, con la siguiente documentación:
- Respuestas globales para manejar los riesgos identificados de errores de importancia relativa al nivel de estado financiero y la naturaleza, oportunidad y alcance de los procedimientos adicionales de auditoría.
- La vinculación de los procedimientos aplicados con los riesgos evaluados a nivel de aseveración.
- El resultado de los procedimientos de auditoría aplicados e incluir las conclusiones cuando éstos no sean claros.
Si el auditor planea usar la evidencia de auditoría sobre la eficacia operativa de los controles obtenida en auditorías anteriores, deberá documentar las conclusiones sobre la confiabilidad en los mismos, los cuales fueron probados en una auditoría anterior.
Conclusión
El auditor debe diseñar procedimientos adicionales de auditoría que respondan a los riesgos significativos y determinados; esto incluye la estrategia de la auditoria, el alcance, oportunidad y naturaleza de los procedimientos diseñados.
El alcance de los procedimientos de auditoría que respondan a los riesgos determinados, debe ser proporcional al nivel de riesgo; esto es, si aumenta el riesgo de errores de importancia relativa, el alcance (cantidad de procedimientos, partidas o controles a ser revisados) debe aumentar.
C.P.C. Alejandro Salvador Ruiz Onofre
Socio de Auditoría
Mancera, S.C., Ernst & Young
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx
No hay comentarios.:
Publicar un comentario