5 ERRORES QUE DEBEN EVITARSE AL EVALUAR LOS CONTROLES INTERNOS
EstándarLa comprensión del control interno de un cliente le da a los auditores una visión de las pruebas necesarias para evaluar las afirmaciones de la administración.
Por Deana Thorps, CPA; Hiram Hasty, CPA, CGMA; y Bob Dohrer, CPA, CGMA
1 de julio de 2019
¿Es usted un auditor comprometido para auditar una entidad que es menos compleja? Si es así, puede preguntarse por qué dedica tiempo a la auditoría para evaluar el control interno. Esto puede parecer un ejercicio que es mucho más relevante en una auditoría de una entidad más compleja, y puede cuestionar su utilidad al auditar entidadesmenos complejas .
Entonces, ¿por qué es necesario comprender los controles? La comprensión de los controles internos ayuda al auditor a evaluar los riesgos de errores materiales, lo que a su vez ayuda a diseñar e implementar respuestas de auditoría que se adaptan a los riesgos evaluados de un cliente. Esto es cierto independientemente del tamaño de la entidad.
Sin comprender adecuadamente los controles, un auditor puede no identificar los riesgos asociados con los controles internos del cliente y, por lo tanto, no puede diseñar e implementar respuestas apropiadas. Debido a que los procedimientos de auditoría deben estar vinculados a los riesgos evaluados, el hecho de no obtener una comprensión de los controles deja al auditor sin una base adecuada para la evaluación de los riesgos de representación errónea de importancia relativa. Esto puede resultar en que no se obtenga suficiente evidencia de auditoría adecuada para respaldar la opinión de la auditoría y, como mínimo, constituye un procedimiento omitido de acuerdo con la Sección 585 de la AU – C , Consideración de procedimientos omitidos después de la Fecha de publicación del informe .
Se espera que los auditores obtengan un entendimiento de solo aquellas actividades de control consideradas relevantes para la auditoría. Y, sin embargo, una encuesta reciente de revisores expertos que participaron en el programa de revisión por pares de AICPA indicó que casi la mitad de las 400 auditorías que revisaron el año pasado no cumplieron con la Sección 315 de la AU – C , Entendiendo la entidad y su entorno y evaluando los riesgos de Declaración errónea de importancia relativa , o Sección 330 de la AU – C , Realización de procedimientos de auditoría en respuesta a riesgos evaluados y evaluación de la evidencia de auditoría obtenida , porque los auditores no obtuvieron una comprensión adecuada de los controles relevantes .
Al analizar los resultados de cientos de revisiones por pares, hemos detectado tendencias que conducen al incumplimiento de las secciones 315 y 330 de AU – C. Estos son los errores más comunes detectados en la práctica a través de ese análisis y las formas de evitarlos .
Error N ° 1: Suponiendo que el cliente no tiene controles
Los auditores de entidades menos complejas a menudo asumen que su cliente no tiene controles establecidos. Si bien sus controles pueden no ser sofisticados o documentados, prácticamente todos los clientes tienen controles sobre los informes financieros .
Algunas preguntas a considerar podrían ser:
- ¿La gerencia ha creado una cultura de honestidad y comportamiento ético?
- ¿Se requieren credenciales de inicio de sesión en computadoras o sistemas operativos?
- ¿Tiene la compañía políticas (formales o menos formales) relacionadas con la competencia del contador o contable?
Si la respuesta a cualquiera de estas preguntas es “sí”, el cliente tiene controles.
Algunos auditores creen que los únicos controles que deben considerar son las actividades de control, como realizar conciliaciones bancarias. La Sección 315 de la AU – C explica que el control interno se compone de lo siguiente:
- El entorno de control;
- Los procedimientos de evaluación de riesgos de la entidad;
- Actividades de control;
- Información y comunicación; y
- Seguimiento de controles.
Si un cliente no tuviera controles en su lugar, no habría manera de prevenir o detectar y corregir una representación errónea de importancia relativa. Si eso es cierto, no sería posible realizar un trabajo de auditoría suficiente para reducir el riesgo de auditoría a un nivel aceptable .
Error N ° 2: no entender qué controles son relevantes para la auditoría
Los auditores están obligados por el párrafo .13 de la Sección 315 de AU – C para obtener un entendimiento del control interno relevante para la auditoría. Esto incluye todos los controles evaluados como relevantes por el auditor y no se limita a aquellos controles que el auditor planea probar para la efectividad operativa. Además, las actividades de control relevantes para la auditoría incluyen aquellas actividades de control que el auditor juzga que es necesario entender para evaluar los riesgos de errores materiales en el nivel de aseveración .
Los controles relevantes para una auditoría determinada variarán, dependiendo del tamaño, la complejidad y la naturaleza de las operaciones del cliente. Las actividades de control que siempre son relevantes para la auditoría se definen como aquellas que:
- Abordar los riesgos significativos (incluidos los riesgos de fraude);
- El auditor pretende confiar y probar la efectividad operativa;
- Abordar los riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan suficiente evidencia de auditoría apropiada; o
- Apoyar las entradas de diario.
Error n. ° 3: detenerse después de determinar si existen controles
Los datos del programa Peer Review muestran que muchos auditores piensan que determinar si existen controles es el alcance de sus responsabilidades, pero eso no es cierto. Los auditores tienen responsabilidades adicionales con respecto al sistema de control interno de un cliente .
Después de identificar los controles que son relevantes para la auditoría, el auditor debe evaluar la efectividad del diseño de esos controles y determinar si los controles se implementan.
Por ejemplo, se debe evaluar el diseño de los controles sobre los procesos de conciliación bancaria de un cliente. Los procedimientos involucrados en la conciliación bancaria deben estar diseñados para prevenir, o detectar y corregir, una representación errónea de importancia relativa. ¿El contador del cliente recibe los estados de cuenta bancarios sin abrir? ¿Limita el cliente quién tiene acceso a la cuenta bancaria en línea? Si es así, el auditor debe evaluar estos controles para asegurarse de que estén diseñados de manera efectiva para abordar los riesgos de declaración errónea.
El auditor puede obtener evidencia de auditoría sobre el diseño e implementación de los controles relevantes al observar al cliente que aplica los controles, inspeccionar documentos e informes, o rastrear las transacciones a través del sistema de información financiera del cliente. Todos estos procedimientos pueden proporcionar evidencia de que los controles se diseñaron e implementaron adecuadamente y que funcionan como se espera; sin embargo, es importante comprender que no basta con dirigir las consultas al personal del cliente solo para estos fines .
Si el diseño de los controles del cliente es ineficaz o si los controles no se han implementado adecuadamente, el auditor está obligado a evaluar la gravedad de la deficiencia. Si se evalúa una deficiencia significativa o una debilidad material, el auditor está obligado a informar estas deficiencias según la Sección 265 de la AU – C , Comunicar los asuntos relacionados con el control interno identificados en una auditoría.
Error N ° 4: Evaluación incorrecta del riesgo de control
Los resultados de la revisión por pares indican que algunos auditores creen que pueden hacer que las evaluaciones de riesgo de control predeterminadas sean “máximas” sin tener en cuenta los controles de sus clientes. ¿Pero es este el enfoque correcto? Muchos se sorprenderán al saber que la respuesta es “no”.
Los auditores no deben fallar en ningún nivel de riesgo de control. Un auditor debe tener una base razonable para su evaluación del riesgo de control, independientemente del nivel de evaluación. El incumplimiento de una evaluación de riesgo de control de “máximo” sin evaluar el diseño y la implementación de controles relevantes podría llevar a un auditor a no identificar los riesgos que son relevantes para la auditoría. La evaluación del diseño de los controles y la determinación de si los controles se implementan proporcionan la base para diseñar una respuesta efectiva al riesgo de error importante. La estrategia del auditor puede o no incluir probar la efectividad operativa de los controles. En otras palabras, se puede implementar un enfoque de auditoría sustancial siempre que sus procedimientos de auditoría respondan (y estén vinculados) a los riesgos evaluados de los materiales. declaración errónea.
Los resultados de la Revisión por Pares también indican que algunos auditores creen que pueden reducir su evaluación de riesgos de control sin probar si los controles funcionan según lo diseñado, pero eso no es cierto. Si la respuesta del auditor (es decir, los procedimientos sustantivos) al riesgo evaluado de representación errónea de importancia relativa se basa en la expectativa de que los controles operan de manera efectiva, entonces se requiere que el auditor realice pruebas de los controles en los que se basa la confianza .
Evaluar el diseño y la implementación del control no es lo mismo que probar la efectividad operativa de esos controles. Muchos auditores confunden los términos “implementación” y “efectividad operativa”, pero como indica el párrafo A77 de la Sección 315 de la AU – C , “obtener evidencia de auditoría sobre la implementación de un control manual en un momento dado no proporciona evidencia de auditoría sobre el “Efectividad operativa del control en otros momentos durante el período de auditoría”.
Error N ° 5: no se pueden vincular procedimientos adicionales a los riesgos relacionados con el control
Una vez que el auditor haya evaluado los riesgos de error importante, incluido el riesgo asociado con el control interno del cliente, su próximo paso será diseñar y realizar procedimientos de auditoría adicionales que respondan a los riesgos del cliente. El auditor no debe simplemente realizar los mismos procedimientos que se requerían para otro cliente en la misma industria o incluso aquellos procedimientos de auditoría realizados en el año anterior .
Para ilustrar, considere dos clientes en la industria manufacturera. Para ambos clientes, el auditor ha evaluado los riesgos de error importante relacionados con la afirmación de derechos y obligaciones en el saldo de cuentas por pagar como máximo.
El contador del cliente A registra todas las facturas en el sistema contable una vez que se recibe la factura. Debido a que las facturas no coinciden con una orden de compra o no se revisan para confirmar su validez, el auditor determina que los controles del Cliente A sobre el registro de las cuentas por pagar no están diseñados de manera efectiva. Una preocupación específica es el riesgo de registrar facturas ficticias. Alternativamente, el contador del Cliente B registra todas las facturas de las órdenes de compra autorizadas en el sistema contable cuando se paga la factura. Debido a que el registro de las facturas se retrasa hasta que se produce el pago, el auditor determina que los controles del Cliente B están diseñados de manera ineficaz porque existe un riesgo de pasivos no registrados. respuestas
El auditor del cliente A puede determinar que la mejor manera de reducir el riesgo de detección sería comparar las facturas recibidas de los proveedores con una lista de proveedores aprobados y órdenes de compra. A la inversa, el auditor del Cliente B puede reducir el monto del umbral al realizar una búsqueda de pasivos no registrados .
Consejos para ayudar a cumplir con las secciones 315 y 330 de AU-C
Al realizar futuros trabajos de auditoría, los auditores deben asegurarse de:
- Obtener una comprensión sólida del sistema de control interno del cliente;
- Identificar los controles relevantes para la auditoría;
- Evalúe la efectividad del diseño de cada control relevante y determine si los controles se han implementado según lo diseñado;
- Identificar y evaluar los riesgos del cliente de error importante (incluido el riesgo de control) a nivel de aseveración;
- Diseñar y realizar procedimientos de auditoría que respondan a los riesgos evaluados; y
- Documentar el vínculo entre el riesgo evaluado y los procedimientos de auditoría.
Seguir estos consejos le ayudará a impulsar alta – calidad , auditorías eficientes que se ajusten a las normas. Para obtener más ayuda, visite aicpa.org/internalcontrol para obtener herramientas y recursos gratuitos sobre controles internos.
Sobre los autores
Deana Thorps, CPA , es una gerente; Hiram Hasty, CPA, CGMA , es un gerente técnico senior; y Bob Dohrer, CPA, CGMA , es el auditor principal, todos para la Asociación Internacional de Contadores Profesionales Certificados.
Para hacer comentarios sobre este artículo o sugerir una idea para otro artículo, póngase en contacto con Ken Tysiac, la JofA’ director editorial s, en Kenneth.Tysiac@aicpa-cima.com o 919-402-2112.
No hay comentarios.:
Publicar un comentario