Evaluación de controles en una auditoría de información financiera. NIA – Vladimir Martínez R.

De acuerdo con la NIA 330, Respuestas del Auditor a los Riesgos Evaluados, durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los procedimientos que den respuesta a los riesgos significativos identificados de errores en su auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una aseveración en específico.

Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos específicos.

Respuestas:

a) Pruebas de controles. Un procedimiento de auditoría diseñado para evaluar la efectividad operativa de los controles para prevenir, o detectar y corregir, representaciones erróneas de importancia relativa a nivel de aseveración.
b) Procedimiento sustantivo. Un procedimiento de auditoría diseñado para detectar representaciones erróneas de importancia relativa a nivel de aseveración. Los procedimientos sustantivos comprenden:

• Pruebas de detalles (de clases de transacciones, saldos de cuentas, y revelaciones); y
• Procedimientos analíticos sustantivos

Las pruebas sustantivas las debemos plantear con un alcance inversamente proporcional a los resultados o ausencia de las pruebas a los controles.

Es decir, si los resultados de las pruebas a los controles fueron satisfactorios (positivos) el alcance de nuestras pruebas sustantivas debe ser menor; pero si los resultados de las pruebas a los controles no fueron satisfactorios (negativos) o no realizamos pruebas a los controles, el alcance de nuestras pruebas sustantivas debe ser mayor. Para estos casos es necesario que el auditor utilice su juicio profesional para determinar si obtuvo evidencia suficiente y adecuada que le permita concluir si las cifras auditadas son razonables.

Metodología propuesta

En el trabajo realizado en la planeación de auditoría, el auditor identificó:

• Transacciones significativas y los procesos que las inician, procesan y registran
• Riesgos de negocio que tienen implicaciones significativas en los estados financieros
• Riesgos de fraude

Para cada uno de estos tres aspectos, el auditor deberá entender los procesos que los administran, identificar riesgos a nivel de procesos relacionados con la información financiera, identificar los controles relevantes que mitigan los riesgos a nivel de procesos, y evaluar el diseño, la implementación y efectividad de cada control seleccionado.

Para la evaluación de los procesos realizamos los siguientes pasos:

1) Entendimiento del proceso
2) Identificación de los riesgos y controles del proceso
3) Selección de los controles relevantes a los que se les realizarán las pruebas
4) Evaluación del diseño y la implementación de los controles relevantes
5) Evaluación de la eficacia de los controles relevantes

1) Entendimiento del proceso

Debemos obtener un entendimiento del proceso seleccionado que nos permita identificar riesgos y controles del proceso. Este entendimiento lo logramos mediante:

• La identificación de los objetivos del proceso.
• Entendiendo el flujo de los procedimientos desde su inicio hasta su finalización.

2) Identificación de los riesgos y controles del proceso

Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que los mitigan. Una forma sencilla para identificar riesgos del proceso es hacernos la pregunta, ¿qué puede impedir que el proceso logre sus objetivos? En la identificación de riesgos es importante que considere los factores que pueden incrementar los riesgos, tales como cambios recientes en el proceso, la calidad del personal, experiencias pasadas en la obtención de objetivos, complejidad de una actividad, distribución geográfica de las actividades, entre otras.

3) Selección de los controles relevantes a los que se les realizarán las pruebas

Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes; esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permiten prevenir, detectar y corregir un error, de acuerdo con el objetivo del proceso. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, nosotros procedemos a seleccionar los controles relevantes, es decir los que cubren mayor número de riesgos.

4) Evaluación del diseño y la implementación  los controles relevantes

La evaluación del diseño consiste en verificar si la forma como está estructurado el control le permite prevenir, detectar o corregir un error e irregularidad. Ejemplo, un control de conciliación bancaria en donde la persona que elabora la conciliación es la que autoriza los giros y, a su vez, puede realizar ajustes en el sistema, no estaría bien diseñado, debido a que no existe una adecuada segregación de funciones.

Verificación de la implementación: La implementación de los controles la verificamos mediante una prueba de recorrido en donde comprobamos que los controles existen y están diseñados de acuerdo con lo documentado en las entrevistas con los funcionarios de la compañía.

5) Evaluación de la eficacia de los controles relevantes

Para los controles seleccionados realizaremos pruebas para probar su eficacia, es decir, si al momento de la materialización de un riesgo en el proceso, el control puede prevenir, detectar o corregir un error o irregularidad. Ejemplo, vamos a suponer que la conciliación bancaria está bien diseñada, pero cuando vamos a probar su efectividad encontramos que existen partidas conciliatorias significativas con más de un año de antigüedad lo que significa que el control no es efectivo.

La ausencia de controles eficientes y efectivos en nuestros clientes son oportunidades de mejora que el auditor puede plantear como recomendaciones que generan un alto valor agregado en nuestros clientes.

Hasta pronto,

 C.P. Vladimir Martínez R.