De acuerdo a la NIA 265, al hacer las evaluaciones de riesgo en una auditoría de estados financieros, consideramos el control interno para poder diseñar procedimientos de auditoría que sean adecuados en las circunstancias, pero no con el propósito de expresar una opinión sobre la eficacia del control interno.
Podemos identificar deficiencias en el control interno no solo durante este proceso de evaluación de riesgo sino también en cualquier otra fase de la auditoría.
¿Cuándo se presenta una deficiencia en el control interno?
- Cuando un control se ha diseñado, implementado u operado de manera tal que este no puede prevenir, o detectar y corregir, oportunamente los errores en los estados financieros, o
- Cuando falta el control necesario para prevenir, o detectar y corregir, oportunamente los errores en los estados financieros.
Según la NIA 330, En las auditorías de los estados financieros, un error material detectado mediante nuestros procedimientos de auditoría en circunstancias que indiquen que el error no lo hubiera prevenido, ni detectado o corregido, el control interno de la entidad es un indicador fuerte de la existencia de una deficiencia significativa en el control interno.
Al determinar si hemos identificado una o más deficiencias en el control interno, podemos discutir los hechos y las circunstancias relevantes de nuestros hallazgos con el nivel adecuado de la gerencia. Esa discusión nos provee la oportunidad de avisarle oportunamente a la gerencia de la existencia de las deficiencias de las que la gerencia puede no haber tenido conocimiento previamente.
El nivel de la gerencia con quien resulta adecuado discutir los hallazgos es el nivel que esté familiarizado con el área de control interno de interés y que tiene la autoridad para tomar medidas correctivas sobre las deficiencias identificadas en el control interno.
Al discutir los hechos y las circunstancias de nuestros hallazgos con la gerencia, podemos obtener otra información relevante para una consideración adicional, tales como:
- El entendimiento que tiene la gerencia de las causas comprobadas o que se sospechen de las deficiencias.
- Las excepciones que surjan de las deficiencias que la gerencia pueda haber observado como, por ejemplo, errores que no fueron prevenidos por los controles relevantes de TI.
- Una indicación preliminar por parte de la gerencia de su respuesta a los hallazgos.
Aunque es posible que los conceptos en que se basan las actividades de control en las entidades más pequeñas sean similares a los de las entidades más grandes, la formalidad con que estos operan varía. Además, es probable que las entidades más pequeñas encuentren que ciertos tipos de actividades de control no sean necesarios debido a que los controles los aplica la gerencia. Por ejemplo, la autoridad exclusiva de la gerencia a otorgarles crédito a los clientes y aprobar las compras significativas puede proveer un control efectivo sobre los saldos de cuenta y transacciones importantes, lo que disminuye o elimina la necesidad de actividades de control más detalladas.
Además, normalmente las entidades más pequeñas tienen menos empleados lo que puede limitar la medida en que sea práctica la segregación de funciones. Sin embargo, en una entidad pequeña administrada por el dueño, es probable que este pueda ejercer una supervisión más efectiva que en una entidad más grande. Ese mayor nivel de supervisión de la gerencia tiene que conseguir un equilibrio con el mayor potencial de que la gerencia evada los controles.
Una deficiencia significativa en el control interno es una deficiencia o una combinación de deficiencias en el control interno que, a nuestro juicio profesional, tiene suficiente importancia para requerir la atención de los encargados del gobierno corporativo de la entidad.
La importancia de una deficiencia o una combinación de deficiencias en el control interno depende no solo de si realmente ha ocurrido un error, sino además de la posibilidad de que pueda ocurrir un error y de la magnitud potencial del error. Por lo tanto, es posible que existan deficiencias significativas aunque no hayamos identificado errores durante la auditoría.
Asuntos que podemos considerar para determinar si una deficiencia o combinación de deficiencias en el control interno constituye una deficiencia significativa:
1. Factores generales:
Cuando aplicamos nuestro juicio profesional para evaluar la gravedad de las deficiencias en el control interno, podemos considerar los siguientes factores generales:
- Si el control es automatizado
- La naturaleza del sistema contable y los montos o las transacciones de los estados financieros expuestos a la deficiencia o combinación de deficiencias en el control interno
- El grado de intervención por parte del personal de la entidad que contribuye a la deficiencia en el control interno
- Si la deficiencia se ha considerado en relación con nuestro entendimiento del control interno de la entidad
- Si el número de deficiencias tienen atributos comunes y tomadas en conjunto pueden indicar un problema de control mayor que las deficiencias individuales observada
- Si la gerencia tenía conocimiento de la deficiencia en el control interno, sus acciones en respuesta al problema.
2. Probabilidad:
Ejemplos de asuntos que pueden afectar la probabilidad de que una deficiencia, o una combinación de deficiencias, resulte en un error de un saldo de cuenta o revelación son:
- La posibilidad de que las deficiencias den lugar a errores materiales en los estados financieros en el futuro
- La susceptibilidad a pérdida o fraude del activo o pasivo relacionado
- La subjetividad y complejidad de determinar los montos estimados, tales como las estimaciones contables del valor razonable
- La naturaleza de las cuentas, revelaciones y aseveraciones incluidas en los estados financieros
- La interacción o relación del control con otros controles, incluyendo si los mismos son interdependientes o redundantes
- La causa y la frecuencia de las excepciones detectadas como resultado de las deficiencias en los controles
- La interacción de la deficiencia con otras deficiencias en el control interno.
3. Magnitud:
Ejemplos de asuntos que pueden afectar la magnitud del error que podría resultar de una deficiencia o deficiencias en el control interno son:
- Los montos o el total de transacciones en los estados financieros expuestos a la deficiencia o deficiencias
- El volumen de actividad que ha ocurrido o podría ocurrir en el saldo de cuenta o proceso expuesto a la deficiencia o deficiencias.
4. Importancia de los controles:
Al evaluar las deficiencias en el control interno, también podemos considerar la importancia de los controles para el proceso de emisión de informes financieros como, por ejemplo:
- Los controles generales de monitoreo
- Los controles sobre la prevención y detección del fraude
- Los controles sobre la selección y aplicación de las políticas contables significativas
- Los controles sobre las transacciones significativas con partes relacionadas
- Los controles sobre las transacciones significativas fuera del curso normal de negocios de la entidad
- Los controles sobre el proceso de emisión de información financiera al cierre del período
Los indicadores de deficiencias significativas en el control interno incluyen, por ejemplo:
- Evidencia de auditoría de aspectos ineficaces del ambiente de control, tales como:
- Indicaciones de que los encargados del gobierno corporativo de la entidad no inspeccionan adecuadamente las transacciones significativas en las que la gerencia tiene un interés financiero
- Identificación de fraude cometido por la gerencia, independientemente de si fuese material o no, que no fue evitado por el control interno de la entidad
- Que la gerencia no implementara medidas correctivas adecuadas sobre las deficiencias significativas que se le comunicaran previamente
- La ausencia de un proceso de evaluación de riesgo en la entidad cuando normalmente se esperaría que se hubiera establecido un proceso de ese tipo
- Evidencia de auditoría de un proceso ineficaz de evaluación de riesgo en la entidad, tal como el hecho de que la gerencia no identifique un riesgo de que ocurran errores materiales que esperaríamos que el proceso de evaluación de riesgo de la gerencia hubiera identificado
- Evidencia de auditoría de una respuesta ineficaz a los riesgos significativos identificados
- Los errores detectados por nuestros procedimientos que el control interno de la entidad no evitó, ni detectó y corrigió
- La re-expresión de estados financieros previamente emitidos para reflejar la corrección de un error material debido a error o fraude
- Evidencia de auditoría de la incapacidad de la gerencia para supervisar la preparación de los estados financieros.
Los controles pueden diseñarse para que operen de manera individual o en combinación para prevenir, o detectar y corregir, los errores de manera efectiva. Por ejemplo, es posible que los controles sobre las cuentas por cobrar consistan en controles tanto automatizados como manuales diseñados para operar conjuntamente para prevenir, o detectar y corregir, los errores en el saldo de cuenta.
Una deficiencia en el control interno por sí sola puede que no sea lo suficientemente importante para constituir una deficiencia significativa. Sin embargo, una combinación de deficiencias que afecten el mismo saldo de cuenta o revelación, aseveración relevante, o componente del control interno puede aumentar los riesgos de que ocurran errores materiales a tal nivel que dé lugar a una deficiencia significativa, incluso cuando las deficiencias individualmente sean menos graves.
Según la NIA 330, cuando se depende de un control de compensación para reducir nuestro riesgo de control, podemos evaluar el diseño y la implementación, así como probar la eficacia operativa del control de compensación.
Los controles pueden designarse para que operen de manera individual o en combinación para que prevengan, o detecten y corrijan, los errores de manera efectiva. Por ejemplo, los controles sobre las cuentas por cobrar pueden consistir en controles tanto automatizados como manuales diseñados para operar conjuntamente para prevenir, o detectar y corregir, los errores en el saldo de cuenta.
De acuerdo a la NIA 315, Las deficiencias en el ambiente de control pueden resultar en un riesgo a nivel de los estados financieros. Por ejemplo, las deficiencias tales como la falta de competencia de la gerencia pueden tener un efecto más generalizado en los estados financieros y pueden requerir una respuesta general por parte nuestra.
Las deficiencias en el ambiente de control también pueden perjudicar la efectividad de otros controles, especialmente en relación con el fraude. Por ejemplo, el hecho de que la gerencia no comprometa suficientes recursos para cubrir los riesgos de seguridad de la TI puede afectar adversamente el control interno al permitir que se efectúen cambios indebidos a los programas de computadoras o a los datos, o que se procesen transacciones no autorizadas.
Sin embargo, la NIA 330, establece que podemos responder a un ambiente de control ineficaz de varias formas:
- Efectuando más procedimientos de auditoría al final del período en lugar de a una fecha interina
- Obteniendo evidencia de auditoría más extensa de los procedimientos sustantivos, y/o
- Aumentando el número de localidades que han de incluirse en el alcance de la auditoría.
Comunicaciones:
Debemos comunicar oportunamente, por escrito, las deficiencias significativas en el control interno identificadas durante la auditoría a los encargados del gobierno corporativo de la entidad, ya que esto refleja la importancia de esos asuntos, y ayuda a los encargados del gobierno corporativo de la entidad a cumplir sus responsabilidades de supervisión.
Independientemente de la oportunidad en que se emita la comunicación escrita de las deficiencias significativas, podemos comunicarlas oralmente primero a la gerencia y, si corresponde, a los encargados del gobierno corporativo de la entidad para ayudarlos a tomar las medidas correctivas oportunas para minimizar los riesgos de que ocurran errores materiales. Sin embargo, el hecho de hacerlo no nos exime de la responsabilidad de comunicar las deficiencias significativas por escrito, incluso si dichas deficiencias significativas se corrigieron durante la auditoría.
El nivel de detalle al que comunicar las deficiencias significativas es un asunto que depende de nuestro juicio profesional según las circunstancias.
Podemos considerar los siguientes factores para determinar un nivel adecuado de detalle para la comunicación:
- La naturaleza de la entidad; por ejemplo, la comunicación requerida para una entidad con un perfil público alto puede que sea diferente a la que se requiere para una entidad que no tenga un perfil público alto.
- El tamaño y la complejidad de la entidad; por ejemplo, la comunicación requerida para una entidad compleja puede que sea diferente a la que se requiere para una entidad que opera un negocio sencillo
- La naturaleza de las deficiencias significativas que hemos identificado
- La composición de la dirección de la entidad; por ejemplo, puede que se requiera más detalle si los encargados del gobierno corporativo de la entidad incluyen miembros que no tienen una experiencia significativa en la industria de la entidad o en las áreas afectadas
- Los requisitos legales o reglamentarios sobre la comunicación de los tipos específicos de deficiencia en el control interno.
Es posible que la gerencia y los encargados del gobierno corporativo de la entidad ya tengan conocimiento de las deficiencias significativas que hemos identificado durante la auditoría y que hayan optado por no corregirlas debido al costo u otras consideraciones. La responsabilidad de evaluar los costos y beneficios de implementar las medidas correctivas recae en la gerencia y en los encargados del gobierno corporativo de la entidad.
El hecho de que les hayamos comunicado una deficiencia significativa a los encargados del gobierno corporativo de la entidad y a la gerencia en una auditoría anterior no elimina la necesidad de que repitamos la comunicación si la medida correctiva no se ha tomado aún. En caso que continúe una deficiencia que se haya comunicado previamente, la comunicación del año en curso puede repetir la descripción de la comunicación anterior, o simplemente hacerse referencia a dicha comunicación anterior. Podemos solicitarle a la gerencia o, si corresponde, a los encargados del gobierno corporativo de la entidad una explicación de por qué no se ha corregido aun la deficiencia significativa. El hecho de no tomar medidas, en caso de no existir una explicación racional, puede de por sí representar una deficiencia significativa.
En el caso de las auditorías de entidades más pequeñas, podemos comunicarnos en una forma menos estructurada con los encargados del gobierno corporativo de la entidad que en el caso de entidades más grandes.
Debemos comunicar oportunamente a la gerencia a un nivel adecuado de responsabilidad:
- Por escrito, las deficiencias significativas en el control interno que hemos comunicado o tenemos intención de comunicar a los encargados del gobierno corporativo de la entidad, salvo que sea inadecuado comunicarse directamente con la gerencia en las circunstancias; y
- Por escrito u oralmente, las otras deficiencias en el control interno identificadas durante la auditoría que otros entes no le hayan comunicado a la gerencia y que, a juicio profesional nuestro, no sean de suficiente importancia para requerir la atención de la gerencia.
Normalmente, el nivel adecuado de la gerencia es el que tiene la responsabilidad y autoridad para evaluar las deficiencias en el control interno y para tomar las medidas correctivas necesarias. Para las deficiencias significativas, el nivel adecuado es posible que sea el ejecutivo principal o el ejecutivo financiero principal (o su equivalente) ya que también se requiere comunicar esos asuntos a los encargados del gobierno corporativo de la entidad. Para otras deficiencias en el control interno, el nivel adecuado puede que sea la gerencia operativa que tiene más participación en las áreas de control afectadas y tiene la autoridad para tomar las medidas correctivas adecuadas.
Ciertas deficiencias significativas identificadas en el control interno pueden poner en duda la integridad y la competencia de la gerencia. Por lo tanto, puede que no sea adecuado comunicar dichas deficiencias directamente a la gerencia. Por ejemplo, puede que haya evidencia de fraude o incumplimiento intencional de leyes y regulaciones, incluyendo actos ilegales, por parte de la gerencia o que la gerencia demuestre una incapacidad para supervisar la preparación de estados financieros adecuados que puedan plantear dudas sobre la competencia de la gerencia.
Fuente : http://auditool.org/