Continuando con el análisis de la tolerancia de las incorrecciones materiales, nos ocuparemos en esta segunda parte de las actividades que debe realizar la entidad auditada, conociendo las tareas de control más relevantes para valorar los riesgos y el posterior diseño de los controles respectivos que correspondan a los riesgos valorados.
La evaluación del entorno del control interno en aspectos como determinar si la entidad ha mantenido los códigos de ética y la cultura de la honestidad, y evaluar si los puntos fuertes del control interno proporcionan colectivamente una base adecuada para los otros componentes del control interno, se constituyen en una base importante para comprobar la eficacia de los controles internos, sin dejar de lado las pruebas contenidas en la NIA 330 que demuestran la eficacia operativa de los controles.
En el desarrollo de la auditoría se deberá obtener evidencia por parte del auditor, si la entidad ha implementado como mínimo los siguientes procesos:
1. Identificación de los riesgos del negocio relevantes para el cumplimiento de los objetivos de la información financiera.
2. Estimación de la materialidad del riesgo.
3. Valoración de la probabilidad de ocurrencia de los riesgos identificados y las acciones dispuestas para mitigar los efectos de los riesgos.
En caso que los riesgos sean detectados por el auditor y no por la empresa, este debe evaluar que no existan riesgos subyacentes a los identificados y determinar si la no detección por parte de la empresa responde a deficiencias en el control interno. En caso de ausencia total del proceso descrito, el auditor deberá tener respuesta de la empresa y que esta justifique la omisión del proceso o si obedece a deficiencia del control interno.
El auditor deberá conocer las actividades de control más relevantes para valorar los riesgos y el posterior diseño de los controles respectivos que correspondan a los riesgos valorados.
Entre las actividades de control más relevantes, quizás una de las más importantes sea la evaluación a los sistemas de información o tecnología de la información, dado que si la empresa cuenta con la mayoría de sus procesos automatizados existirá una probabilidad alta de ocurrencia de riesgos; algunos de los más comunes son:
1. Procesamiento de datos inexactos.
2. Accesos no autorizados o violación de los niveles de seguridad por parte de los usuarios.
3. Registro de transacciones no autorizadas.
4. La no debida segregación de funciones.
5. Cambios no autorizados en archivos maestros o programas.
6. Intervención manual inadecuada.
7. Pérdida de datos o incapacidad para acceder a estos del modo requerido.
Una vez detectados los riesgos, el seguimiento a los controles implementados por parte de la entidad auditada y por el auditor mismo es muy importante para tener siempre un nivel de confiabilidad que los objetivos de la información financiera se van a cumplir. Por lo tanto esta será una tarea permanente de ambas partes y más aún si la empresa auditada cuenta con un área de auditoría interna.
De acuerdo al resultado de la evaluación de los aspectos más relevantes del control, el auditor debe identificar y valorar los riesgos en los estados financieros y en las afirmaciones de la entidad sobre transacciones, saldos contables e información a revelar.
Como lo expresamos en la primera parte de este análisis, para identificar los riesgos primero el auditor debe conocer muy bien la entidad auditada y su entorno; una vez identificados los riesgos debe medir el impacto en los estados financieros y sus afirmaciones (revelaciones), relacionar los riesgos identificados con incorrecciones en las afirmaciones y medir la probabilidad de múltiples incorrecciones y la magnitud de estas.
En el desarrollo de un encargo de auditoría el auditor debe prestar mayor atención a ciertos riesgos; entre estos se destacan:
1. Riesgo de fraude.
2. Hechos ocurridos recientemente, sean económicos o contables o de otra naturaleza.
3. Complejidad de las transacciones.
4. Transacciones significativas con partes relacionadas.
5. Grado de subjetividad en medición de transacciones y mediciones que originen alta incertidumbre.
6. Transacciones ajenas al objeto social o que sean poco usuales.
Como procedimiento de auditoría, cuando las pruebas sustantivas no ofrezcan un grado de seguridad sobre la no ocurrencia de los anteriores riesgos, se aplicarán pruebas alternativas; en la medida que se avance y se obtengan nuevas evidencias, la valoración de los riesgos podrá ser modificada por el auditor, siempre y cuando las evidencias permitan tener otro perfil del riesgo.
Por último y como un gran diferenciador con las Normas de Auditoría Generalmente Aceptadas utilizadas en Colombia (artículo 7 de la Ley 143 de 1990), las Normas Internacionales de Auditoría requieren que cada actuación de la auditoría se encuentre plenamente documentada.
Por lo tanto, en los papeles de trabajo debe quedar la constancia de:
1. La planeación y discusión con el equipo del encargo sobre la forma de realizar el trabajo y las decisiones tomadas.
2. Aspectos relevantes de la entidad auditada, su entorno, componentes del control interno, fuentes de información y procedimientos de valoración de riesgos.
3. La relación de los riesgos de incorrección material detectados en los estados financieros y sus revelaciones.
4. Riesgos identificados y los controles a estos riesgos.
CP. Luis Raúl Uribe M.
CP Universidad San B/tura-Cali .
Mg en Administración Universidad del Valle.
*Exclusivo para actualícese.com