Deficiencias en el control interno: situaciones a considerar para determinar que son significativas

En el proceso de auditoría, el profesional contable debe revisar el control interno a fin de identificar las deficiencias significativas que pueden representar riesgos para la organización; es importante tener en cuenta las situaciones que indican la importancia de una deficiencia.

Durante el proceso de auditoría los profesionales contables deben ejecutar la revisión del control interno de manera tal que se revise la efectividad y el cumplimiento de los controles para disminuir los riesgos de errores materiales que pueden afectar la operación y/o gestión de la organización. En dicha revisión los auditores se encuentran con deficiencias que deben quedar contenidas en los hallazgos del ejercicio de auditoría y se debe establecer especial comunicación sobre aquellas deficiencias que se pueden señalar como significativas, de acuerdo a lo establecido en la NIA 265. De tal manera es importante establecer las siguientes consideraciones que pueden implicar que una deficiencia es significativa:

1. La probabilidad de que dicha deficiencia tenga efectos sobre los datos contenidos en los estados financieros y dicha alteridad represente un riesgo de errores materiales. Por ejemplo: las fallas en el control de las mercancías entregadas en consignación que afectan el registro del ingreso, alterando los resultados de la organización y afectando la liquidez de la misma.
2. La vulnerabilidad de afectación sobre el pasivo o activo como consecuencia de un fraude. Por ejemplo: las operaciones entre partes relacionadas que buscan manipular la capacidad de endeudamiento de la empresa, como es el caso de cuando se solicita un préstamo a una filial con la finalidad de reclasificar las deudas del corto plazo y mostrar mayor capital de trabajo o dar cumplimiento a los covenant.
3. La subjetividad en el establecimiento de políticas que determinan procesos de valoración que afectan directamente las revelaciones en los estados financieros. Por ejemplo: la determinación del valor razonable para el reconocimiento del valor de las edificaciones de la organización, en el caso que se haga por una sola persona y cuente con la participación de un equipo que garantice la objetividad de la política de reconocimiento y revelación.
4. Las causas y frecuencia de las excepciones del control que dieron lugar a las deficiencias de este. Por ejemplo: la inadecuada parametrización del sistema que permite la manipulación de comprobantes sin el cumplimiento del protocolo de elaboración y revisión.
5. Ineficacia o deficiencia de controles por parte del máximo órgano sobre la gestión de la dirección y/o gerencia de la organización, aun en transacciones en las que pueden mediar intereses financieros de las partes. Por ejemplo: la contratación de servicios materiales de importancia relativa con un externo en el cual la gerencia o dirección tiene algún tipo de vinculación económica.
6. La reformulación de estados financieros previamente publicados a fin de revelar la corrección de un error material generada por un fraude que evidencia la ausencia de control en períodos anteriores. Por ejemplo: el reconocimiento por mayor valor del saldo de las mercancías debido a que no se reconoció el saldo de un inventario destruido por caducidad. Lo anterior como consecuencia de que no se ejecutó bajo los parámetros de control establecidos por la organización y por tanto la información no fue remitida ni registrada en el software; frente a dicha circunstancia el control interno no halló el riesgo de manera oportuna.
7. Condiciones de fraude frente a las cuales el área de control interno no había señalado riesgos o mecanismos para detectar las posibilidades de incorrecciones materiales. Por ejemplo: la compra interna de facturas por parte de los jefes de área sin previa autorización para el aprovechamiento de descuentos por pronto pago y el traslado del cliente a cuentas personales, afectando la liquidez y rentabilidad de la organización.
8. La ausencia de un proceso de valoración del riesgo de la entidad cuando normalmente se debería haber implementado de forma oportuna a fin de contribuir a la mejora continua de procesos y resultados. Por ejemplo: la revisión de los documentos de validación de viáticos por parte de los trabajadores, verificando la idoneidad de los soportes y la correspondencia entre misión y gastos relacionados, y estableciendo límites por misión y controles de verificabilidad.
9. Evidencia de un proceso ineficaz de valoración del riesgo por la entidad. Por ejemplo: la falta de identificación por la dirección de un riesgo de incorrección material que el auditor podría esperar que hubiera sido identificado en dicho proceso, como la manipulación de las ofertas de venta por parte de los compradores a fin de obtener un beneficio específico.
10. Evidencia de la imposibilidad de la dirección y/o gerencia para supervisar y controlar la preparación de los estados financieros. Por ejemplo: no se establecen períodos intermedios para generación de informes o no se ejecutan revisiones parciales de los informes financieros.
11. La falta de implementación de controles sobre riesgos identificados en períodos anteriores por parte del control interno o por la auditoría. Por ejemplo: en el período anterior los papeles de trabajo del auditor revelan el incumplimiento de la entrega de informes requeridos por la Superintendencia Financiera y para el presente período nuevamente se encuentran pendientes por envío, aun cuando las fechas de plazo máximo están vencidas.

Material relacionado:

• [Análisis] Deficiencias significativas de control interno: conozca algunas pistas para identificarlas
• [Análisis] Deficiencias significativas en el control interno, una comunicación que debe presentar todo auditor
• [Análisis] Revisoría Fiscal: responsabilidad en la evaluación del control interno