Téngase en cuenta que se deroga el contenido de las normas NIA-ES que estén publicadas por la presente Resolución, según establece el apartado tercero de la Resolución de 11 de abril de 2024, Ref. BOE-A-2024-8358, que será de aplicación en la forma establecida en su apartado segundo.
[Bloque 2: #pr]
Mediante Resolución de 15 de octubre de 2013, del Instituto de Contabilidad y Auditoría de Cuentas, se publicaron las Normas Técnicas de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España (NIA-ES). Igualmente, por Resolución de 20 de marzo de 2014, se publicó la Norma Técnica de Auditoría sobre «auditoría de un solo estado financiero», resultado de la adaptación de la NIA 805 para su aplicación en España (NIA-ES 805).
Posteriormente, por Resolución de 23 de diciembre de 2016, del Instituto de Contabilidad y Auditoría de Cuentas, se publicó la modificación de determinadas Normas Técnicas de Auditoría (NIA-ES) y del Glosario de Términos. Las Normas Técnicas de Auditoría modificadas fueron la 260, 510, 570, 700, 705, 706, 720 y 805, que se identifican como revisadas –«NIA-ES (revisadas)»–, así como la incorporación de una nueva NIA-ES, la 701. Esta modificación de las normas técnicas de auditoría tuvo por objeto trasladar a la normativa reguladora de la actividad de auditoría de cuentas en España (en concreto, las NIA-ES) las NIA revisadas por parte del International Auditing and Assurance Standards Board (IAASB) e incorporar los nuevos requerimientos exigidos por el Reglamento (UE) número 537/2014 del Parlamento Europeo y del Consejo de 16 de abril de 2014 sobre los requisitos específicos para la auditoría legal de las entidades de interés público (RUE) y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas (LAC).
Asimismo, por Resolución de 27 de octubre de 2020, se publicó la Norma Técnica de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, «Auditoría de estimaciones contables y de la correspondiente información a revelar», NIA-ES 540 (Revisada); y la modificación de la Norma Técnica de Auditoría «Responsabilidades del auditor con respecto a otra información», NIA-ES 720 (Revisada).
Y, por último, mediante la Resolución de 9 de febrero de 2021 del Instituto de Contabilidad y Auditoría de Cuentas, se publicó la Norma Técnica de Auditoría sobre la actuación del auditor en relación con los estados financieros presentados en el Formato Electrónico Único Europeo (FEUE), y la modificación de la NIA-ES 700 (Revisada) «Formación de la opinión y emisión del informe de auditoría sobre los estados financieros».
El IAASB ha revisado las normas NIA 250 «Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros», denominándose de igual forma e identificándose como NIA 250 (Revisada), y la NIA 315 (Revisada) «Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno», que pasa a denominarse «Identificación y valoración del riesgo de incorrección material» e identificarse como NIA 315 (Revisada 2019), resultando sustituidas las anteriores NIA 250 y 315 (Revisada) por las NIA 250R y 315R2019 respectivamente. Asimismo, el IAASB ha revisado en dos ocasiones la norma NIA 610 «Utilización del trabajo de los auditores internos», denominándose de igual forma e identificándose, primero como NIA 610 (revisada) y luego como NIA 610 (Revisada 2013), viniendo a sustituir a la anterior NIA 610.
Por tanto, se ha considerado conveniente incorporar las NIA 250 (Revisada), 315 (Revisada 2019) y 610 (Revisada 2013), aprobadas por el IAASB, como normas técnicas de auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, NIA-ES 250 (Revisada) «Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros» (en adelante NIA-ES 250R), NIA-ES 315 (Revisada) «Identificación y valoración del riesgo de incorrección material» (en adelante NIA-ES 315R) y NIA-ES 610 (Revisada) «Utilización del trabajo de los auditores internos», (en adelante NIA-ES 610R) respectivamente en sustitución de las NIA-ES 250, NIA-ES 315 y NIA-ES 610.
A estos efectos, el Consejo General de Economistas de España-Registro de Economistas Auditores y el Instituto de Censores Jurados de Cuentas de España presentaron ante este Instituto las Normas Técnicas de Auditoría, resultado de la adaptación de las NIA para su aplicación en España, NIA-ES 250R, NIA-ES 315R y NIA-ES 610R para su tramitación y sometimiento a información pública, durante el plazo de dos meses a partir del día siguiente a la publicación de la Resolución de publicación provisional, conforme a lo previsto en el artículo 2.4 de la LAC y en el artículo 5 de su Reglamento de desarrollo, aprobado por el Real Decreto 2/2021, de 12 de enero (RAC).
En relación con la NIA-ES 315R, en el texto presentado por las Corporaciones representativas de los auditores de cuentas, figuran en recuadro un número considerable de apartados de la norma con el fin de facilitar su lectura y comprensión, en la misma forma que se ha seguido para la incorporación de las notas aclaratorias introducidas en las NIA en el proceso de la adaptación a NIA-ES para su aplicación en España, que también figuran en recuadro. Por tanto, en el caso de esta NIA-ES en las notas aclaratorias incorporadas en la adaptación para su aplicación en España se ha optado por introducir en el recuadro correspondiente a cada nota aclaratoria la precisión «Nota aclaratoria de la adaptación a NIA-ES», con el objeto de distinguir claramente la diferente naturaleza de los recuadros.
En cuanto a la NIA-ES 610 Revisada, debe señalarse que en la NIA 610 (Revisada 2013) aprobada por el IAASB se contempla la posibilidad «de utilización de la ayuda directa de los auditores internos bajo la dirección, supervisión y revisión del auditor externo», detallando las condiciones en que dicha opción pudiera utilizarse y los criterios a seguir en ese caso. No obstante, también se advierte en esta NIA que dicha posibilidad, de utilizar la ayuda directa de los auditores internos por parte de los auditores de cuentas, puede estar restringida o prohibida legal o reglamentariamente en algunas jurisdicciones, en cuyo caso no resultaría aplicable. Esto es lo que sucede en España, donde la utilización de esta opción no puede ser aplicada, puesto que vulneraría el régimen de independencia al que se encuentran sujetos los auditores de cuentas, de conformidad con lo establecido en la LAC y su normativa de desarrollo. Por tanto, en la NIA-ES 610 (Revisada) se ha incorporado, en los distintos apartados de la norma en los que figura la posibilidad de utilización de esta opción, la correspondiente nota aclaratoria, en recuadro, en la que se advierte de que dicha posibilidad no resulta aplicable en España por los motivos antes señalados.
Mediante Resolución de 4 de mayo de 2021 del Instituto de Contabilidad y Auditoría de Cuentas se sometieron a información pública las Normas Técnicas de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, «Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros», NIA-ES 250 (Revisada), e «Identificación y valoración del riesgo de incorrección material», NIA-ES 315 (Revisada), publicándose en el Boletín de dicho Instituto número 125, de marzo de 2021, en un anexo específico a estos efectos, y el oportuno anuncio en el Boletín Oficial del Estado de 15 de mayo de 2021. Asimismo, mediante Resolución de 26 de julio de 2021 se sometió a información pública la Norma Técnica de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, «Utilización del trabajo de los auditores internos», NIA-ES 610 (Revisada), publicándose en el Boletín del Instituto número 126, de junio de 2021, y en el Boletín Oficial del Estado de 4 de agosto de 2021.
Una vez transcurrido el preceptivo plazo de dos meses de información pública, sin que se hayan recibido observaciones relativas al contenido de ninguna de las normas técnicas de auditoría sometidas al trámite de información pública, el texto que ahora se publica de cada una de ellas no ha sufrido modificación respecto del sometido a información pública.
En definitiva, la Resolución que ahora se publica recoge la adaptación de las NIA 250R, 315R2019 y NIA 610R2013, como Normas Técnicas de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, NIA-ES 250 (Revisada) «Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros» (NIA-ES 250 R); NIA-ES 315 (Revisada) «Identificación y valoración del riesgo de incorrección material» (NIA-ES 315R), y NIA-ES 610 (Revisada) «Utilización del trabajo de los auditores internos» (NIA-ES 610R) en sustitución de las correspondientes NIA-ES 250, 315 y 610, publicadas por Resolución de este Instituto de 15 de octubre de 2013.
Por todo lo anterior, tras ser sometido el texto de las citadas normas técnicas a examen por el Comité de Auditoría de Cuentas del Instituto de Contabilidad y Auditoría de Cuentas, la Presidencia de este Instituto, en cumplimiento de lo dispuesto en el artículo 2.4 de la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, y en el artículo 6 del Real Decreto 2/2021, de 12 de enero, por el que se aprueba el reglamento de desarrollo de la Ley de Auditoría de Cuentas, resuelve:
[Bloque 3: #pr-2]
Publicar las Normas Técnicas de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, NIA-ES 250 (Revisada) «Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros», NIA-ES 315 (Revisada) «Identificación y valoración del riesgo de incorrección material» y NIA-ES 610 (Revisada) «Utilización del trabajo de los auditores internos», en sustitución de las correspondientes NIA-ES 250, 315 y 610, publicadas por Resolución de este Instituto de 15 de octubre de 2013. Y, en consecuencia, ordenar su publicación íntegra en el Boletín Oficial del Instituto de Contabilidad y Auditoría de Cuentas y en la página de Internet de dicho Instituto www.icac.gob.es, así como el envío de la resolución para su publicación en el Boletín Oficial del Estado, de conformidad con lo establecido en el artículo 6 del Real Decreto 2/2021, de 12 de enero, por el que se aprueba el Reglamento que desarrolla la Ley de Auditoría de Cuentas.
[Bloque 4: #se]
Las Normas Técnicas de Auditoría objeto de esta Resolución, NIA-ES 250 (Revisada), NIA-ES 315 (Revisada) y NIA-ES 610 (Revisada), serán de aplicación obligatoria, para los auditores de cuentas y sociedades de auditoría en el desarrollo de los trabajos de auditoría de cuentas referidos a cuentas anuales o a otros estados financieros o documentos contables correspondientes a ejercicios económicos que se inicien a partir del 1 de enero de 2022. En todo caso, las citadas normas serán de aplicación a los trabajos de auditoría de cuentas contratados o encargados a partir del 1 de enero de 2023, independientemente de los ejercicios económicos a los que se refieran los estados financieros objeto del trabajo.
[Bloque 5: #te]
A partir del momento en que resulten de aplicación obligatoria las Normas Técnicas de Auditoría objeto de esta Resolución quedará derogado el contenido anterior de estas mismas Normas Técnicas de Auditoría correspondientes a la NIA-ES 250, la NIA-ES 315 y la NIA-ES 610. Asimismo, quedará derogado lo dispuesto en el resto de Normas Técnicas de Auditoría no modificadas expresamente en esta Resolución que resulte contradictorio con las Normas ahora aprobadas, debiendo aplicarse e interpretarse de acuerdo con éstas últimas.
[Bloque 6: #cu]
1. Los criterios de interpretación recogidos en el apartado cuarto de la Resolución de 15 de octubre de 2013 del Instituto de Contabilidad y Auditoría de Cuentas por la que se publican las NIA-ES resultan igualmente de aplicación a las Normas Técnicas de Auditoría modificadas objeto de esta Resolución.
2. Las referencias que figuran en las diferentes NIA-ES (revisadas) deben entenderse realizadas a las NIA-ES o NIA-ES (revisadas), que hayan sido adaptadas para su aplicación en España de conformidad con el artículo 2.4 de la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas.
[Bloque 7: #qu]
En el Anexo se incluyen las Normas Técnicas de Auditoría (NIA-ES) objeto de publicación (La Resolución y el Anexo se pueden consultar en la sede y en la página de Internet del Instituto de Contabilidad y Auditoría de Cuentas –calle Huertas, 26 de Madrid; www.icac.gob.es– y en la sede de las Corporaciones representativas de auditores de cuentas, así como en el Boletín Oficial del citado Instituto y en el «Boletín Oficial de Estado»).
[Bloque 8: #fi]
Madrid, 14 de octubre de 2021.–El Presidente del Instituto de Contabilidad y Auditoría de Cuentas, Santiago Durán Domínguez.
[Bloque 9: #no]
NIA-ES 250 (Revisada)
(Adaptada para su aplicación en España mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, de 14 de octubre de 2021)
Contenido | Apartado |
---|---|
Introducción. | |
Alcance de esta NIA. | 1 |
Efecto de las disposiciones legales y reglamentarias. | 2 |
Responsabilidad del cumplimiento de las disposiciones legales y reglamentarias. | 3-9 |
Fecha de entrada en vigor. | 10 |
Objetivos. | 11 |
Definición. | 12 |
Requerimientos. | |
Consideración por el auditor del cumplimiento de las disposiciones legales y reglamentarias. | 13-18 |
Procedimientos de auditoría cuando se identifican o existen indicios de incumplimiento. | 19-22 |
Comunicación e información sobre incumplimientos identificados o sobre de la existencia de indicios de incumplimiento. | 23-29 |
Documentación. | 30 |
Guía de aplicación y otras anotaciones explicativas. | |
Responsabilidad del cumplimiento de las disposiciones legales y reglamentarias. | A1-A8 |
Definición. | A9-A10 |
Consideración por el auditor del cumplimiento de las disposiciones legales y reglamentarias. | A11-A16 |
Procedimientos de auditoría cuando se identifican o existen indicios de incumplimiento. | A17-A25 |
Comunicación e de información sobre incumplimientos identificados o sobre de la existencia de indicios de incumplimiento. | A26-A34 |
Documentación. | A35-A36 |
La Norma Internacional de Auditoría (NIA) 250 (Revisada), Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros, debe interpretarse conjuntamente con la NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría.
«Las Normas «NIA-ES» y «NCCI» reproducen, con el permiso de la Federación Internacional de Contadores (IFAC), la totalidad o parte de la Traducción Autorizada al español de la norma internacional correspondiente emitida por el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB), y publicada por la IFAC en inglés en el periodo 2009-2015. La Traducción autorizada fue realizada con el permiso de IFAC por el Instituto de Censores Jurados de Cuentas de España (ICJCE), con la participación, entre otros, del Instituto de Contabilidad y Auditoría de Cuentas y del Consejo General de Economistas. Se permite la reproducción dentro de España en español y exclusivamente para propósitos no comerciales. Todos los otros derechos existentes quedan reservados. El texto aprobado de todas las Normas Internacionales de Auditoría y Control de Calidad es el publicado por IFAC en inglés. IFAC no asume responsabilidad alguna respecto a la exactitud e integridad de la traducción o de las acciones que puedan resultar. Puede obtener más información de la Federación Internacional de Contadores (IFAC) en www.ifac.org o escribiendo a permissions@ifac.org.»
Introducción
Alcance de esta NIA.
1. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de considerar las disposiciones legales y reglamentarias en la auditoría de estados financieros. Esta NIA no es de aplicación en el caso de otros encargos que proporcionan un grado de seguridad en los que al auditor se le contrata específicamente para comprobar el cumplimiento de disposiciones legales o reglamentarias específicas e informar al respecto de manera separada.
Efecto de las disposiciones legales y reglamentarias.
2. El efecto de las disposiciones legales y reglamentarias sobre los estados financieros varía considerablemente. Las disposiciones legales y reglamentarias a las que una entidad está sujeta constituyen el marco normativo. Algunas disposiciones tienen un efecto directo sobre los estados financieros ya que determinan los importes y la información a revelar en los estados financieros de una entidad. Otras disposiciones legales y reglamentarias deben cumplirse por la dirección o establecen los preceptos conforme a los cuales se autoriza a la entidad a llevar a cabo su actividad, pero no tienen un efecto directo sobre los estados financieros de la entidad. Algunas entidades operan en sectores muy regulados (tales como los bancos o las empresas químicas). Otras están sujetas sólo a las múltiples disposiciones legales y reglamentarias relacionadas, de manera general, con los aspectos operativos del negocio (tales como las relacionadas con la prevención de riesgos laborales y con la igualdad de oportunidades en el empleo). El incumplimiento de las disposiciones legales y reglamentarias puede dar lugar a multas, litigios o tener otras consecuencias para la entidad que pueden tener un efecto material sobre los estados financieros.
Responsabilidad del cumplimiento de las disposiciones legales y reglamentarias (Ref: Apartados A1–A8).
3. Es responsabilidad de la dirección, bajo la supervisión de los responsables del gobierno de la entidad, asegurar que las actividades de la entidad se realizan de conformidad con las disposiciones legales y reglamentarias, incluido el cumplimiento de las que determinan los importes e información a revelar en los estados financieros de la entidad.
Responsabilidad del auditor.
4. Los requerimientos de esta NIA tienen como finalidad facilitar al auditor la identificación de incorrecciones materiales en los estados financieros debidas a incumplimientos de las disposiciones legales y reglamentarias. Sin embargo, el auditor no es responsable de prevenir incumplimientos y no puede esperarse que detecte todos los casos de incumplimiento de cualquier disposición legal y reglamentaria.
5. El auditor es responsable de la obtención de una seguridad razonable de que los estados financieros, en su conjunto, están libres de incorrecciones materiales, debidas a fraude o error(1). En la realización de una auditoría de estados financieros, el auditor tendrá en cuenta el marco normativo aplicable. Debido a las limitaciones inherentes a la auditoría, existe un riesgo inevitable de que puedan no detectarse algunas incorrecciones materiales en los estados financieros, aunque la auditoría se haya planificado y ejecutado adecuadamente de conformidad con las NIA(2). En el contexto de las disposiciones legales y reglamentarias, los posibles efectos de las limitaciones inherentes a la capacidad del auditor para detectar incorrecciones materiales son mayores por razones como las siguientes:
(1) NIA 200 Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las normas internacionales de auditoría, apartado 5.
(2) NIA 200, apartados A53-A54.
– Existen numerosas disposiciones legales y reglamentarias, relacionadas principalmente con los aspectos operativos de la entidad, que habitualmente no afectan a los estados financieros y que no se tienen en cuenta en los sistemas de la entidad relativos a la información financiera.
– El incumplimiento puede implicar conductas orientadas a ocultarlo, tales como la colusión, la falsificación, la omisión deliberada del registro de transacciones, la elusión de los controles por la dirección o la realización de manifestaciones intencionadamente erróneas al auditor.
– El que un acto constituya un incumplimiento es, en última instancia, una cuestión a determinar por un tribunal u otro organismo resolutorio adecuado.
Habitualmente, cuanto más ajeno sea el incumplimiento a los hechos y transacciones reflejados en los estados financieros, menos probable será que el auditor lo detecte o lo reconozca.
6. Esta NIA distingue las responsabilidades del auditor en relación con el cumplimiento de los dos siguientes tipos de disposiciones legales y reglamentarias: (Ref: Apartados A6, A12–A13).
(a) Las disposiciones legales y reglamentarias que, de forma generalmente reconocida, tienen un efecto directo en la determinación de los importes e información materiales a revelar en los estados financieros, tales como las disposiciones legales y reglamentarias sobre impuestos o pensiones (véase el apartado 14) (Ref: Apartado A12); y
(b) Otras disposiciones legales y reglamentarias que no tienen un efecto directo en la determinación de los importes e información a revelar en los estados financieros, pero cuyo cumplimiento puede ser fundamental para los aspectos operativos del negocio, para la capacidad de la entidad de continuar con su negocio, o para evitar sanciones que resulten materiales (por ejemplo, el cumplimiento de los términos de una licencia de explotación, el cumplimiento de requerimientos legales de solvencia, o el cumplimiento de normas medioambientales); el incumplimiento de dichas disposiciones puede, por lo tanto, tener un efecto material sobre los estados financieros (véase el apartado 15). (Ref: Apartado A13).
7. En la presente NIA, se establecen requerimientos diferentes para cada uno de los tipos de disposiciones anteriormente mencionadas. Para el tipo mencionado en el apartado 6(a), la responsabilidad del auditor es obtener evidencia de auditoría suficiente y adecuada con respecto al cumplimiento de dichas disposiciones. Para el tipo mencionado en el apartado 6(b), la responsabilidad del auditor se limita a la aplicación de procedimientos de auditoría específicos que ayuden a identificar incumplimientos de aquellas disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros.
8. La presente NIA requiere al auditor mantener una especial atención ante la posibilidad de que otros procedimientos de auditoría aplicados para formarse una opinión sobre los estados financieros puedan alertarle de casos de incumplimiento. El mantenimiento del escepticismo profesional durante la auditoría, como requiere la NIA 200(3), es importante en este contexto, teniendo en cuenta la amplitud de las disposiciones legales y reglamentarias que afectan a la entidad.
(3) NIA 200, apartado 15.
9. El auditor puede tener responsabilidades adicionales establecidas en disposiciones legales, reglamentarias o en requerimientos de ética aplicables en relación con el incumplimiento por una entidad de las disposiciones legales y reglamentarias que podrían diferir o ir más allá de la presente NIA, como, por ejemplo: (Ref: Apartado A8).
(a) Responder a los incumplimientos identificados o a la existencia de indicios de incumplimiento de las disposiciones legales y reglamentarias, incluidos requerimientos relativos a comunicaciones específicas a la dirección o a los responsables del gobierno de la entidad, evaluando lo adecuado de su respuesta a los incumplimientos y determinando si son necesarias actuaciones adicionales;
(b) Comunicar incumplimientos identificados o la existencia de indicios de incumplimientos de las disposiciones legales y reglamentarias a otros auditores (por ejemplo, en una auditoría de los estados financieros de un grupo); y
(c) Requerimientos de documentación relativa a incumplimientos identificados o a la existencia de indicios de incumplimiento de las disposiciones legales y reglamentarias.
El cumplimiento de cualquier responsabilidad añadida puede proporcionar información adicional relevante para el trabajo del auditor de conformidad con esta NIA o con cualquier otra NIA (por ejemplo, información relativa a la integridad de la dirección o, en su caso, de los responsables del gobierno de la entidad).
A efectos de lo dispuesto en el apartado anterior, se atenderá a lo establecido en los artículos 7 y 12.1 del Reglamento (UE) número 537/2014, del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre los requisitos específicos para la auditoría legal de las entidades de interés público y por el que se deroga la Decisión 2005/909/CE de la Comisión, los artículos 31, 32, 36.2 y 38 y en la disposición adicional séptima de la LAC y en su normativa de desarrollo, así como en otra normativa que pueda ser de aplicación.
Fecha de entrada en vigor.
10. Apartado suprimido.
Objetivos
11. Los objetivos del auditor son:
(a) la obtención de evidencia de auditoría suficiente y adecuada del cumplimiento de las disposiciones legales y reglamentarias que, de forma generalmente reconocida, tienen un efecto directo en la determinación de los importes e información a revelar materiales en los estados financieros;
(b) la aplicación de procedimientos de auditoría específicos que ayuden a identificar casos de incumplimiento de otras disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros y
(c) responder adecuadamente al incumplimiento identificado o a la existencia de indicios de un incumplimiento de las disposiciones legales y reglamentarias identificados durante la realización de la auditoría.
Definición
12. A efectos de esta NIA, el siguiente término tiene el significado que figura a continuación:
Incumplimiento: actos u omisiones de la entidad, intencionados o no, cometidos por la entidad, por los responsables del gobierno de la entidad, por la dirección o por otras personas que trabajan para la entidad o que están bajo su dirección, que son contrarios a las disposiciones legales y reglamentarias vigentes. El incumplimiento no incluye conductas personales inapropiadas no relacionadas con las actividades empresariales de la entidad. (Ref: Apartados A9–A10).
Requerimientos
Consideración por el auditor del cumplimiento de las disposiciones legales y reglamentarias.
13. Al obtener conocimiento de la entidad y de su entorno de conformidad con la NIA 315 (Revisada)(4), el auditor adquirirá un conocimiento general del:
(4) NIA 315 (Revisada), Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno, apartado 11.
(a) marco normativo aplicable a la entidad y al sector en el que opera y
(b) modo en que la entidad cumple con dicho marco. (Ref: Apartado A11).
14. El auditor obtendrá evidencia de auditoría suficiente y adecuada con respecto al cumplimiento de las disposiciones legales y reglamentarias que, de forma generalmente reconocida, tienen un efecto directo en la determinación de los importes e información a revelar materiales en los estados financieros. (Ref: Apartado A12).
15. El auditor aplicará los siguientes procedimientos de auditoría con el fin de ayudar a identificar casos de incumplimiento de otras disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros: (Ref: Apartados A13-A14).
(a) indagar ante la dirección y, cuando proceda, los responsables del gobierno de la entidad, sobre el cumplimiento de dichas disposiciones legales y reglamentarias por parte de la entidad y
(b) inspeccionar las comunicaciones escritas, si las hubiera, con las correspondientes autoridades que han concedido la licencia o son responsables de la regulación.
16. Durante la realización de la auditoría, el auditor mantendrá una especial atención a la posibilidad de que otros procedimientos de auditoría aplicados puedan alertarle de casos de incumplimiento identificados o de la existencia de indicios de incumplimiento de disposiciones legales y reglamentarias. (Ref: Apartado A15).
17. El auditor solicitará a la dirección y, cuando proceda, a los responsables del gobierno de la entidad que le proporcionen manifestaciones escritas de que han revelado al auditor todos los casos conocidos de incumplimiento o de existencia de indicios de incumplimiento de las disposiciones legales y reglamentarias cuyos efectos deban considerarse en la preparación de los estados financieros. (Ref: Apartado A16).
18. En ausencia de incumplimientos identificados o de la existencia de indicios de incumplimiento, no se requiere que el auditor aplique, en lo que respecta al cumplimiento de las disposiciones legales y reglamentarias por la entidad, más procedimientos de auditoría que los señalados en los apartados 13-17.
Procedimientos de auditoría cuando se identifican o existen indicios de incumplimiento.
19. Si el auditor tiene conocimiento de un caso de incumplimiento o de existencia de indicios de un incumplimiento de las disposiciones legales y reglamentarias, obtendrá: (Ref: Apartados A17-A18).
(a) conocimiento de la naturaleza del acto y de las circunstancias en las que se ha producido e
(b) información adicional para evaluar el posible efecto sobre los estados financieros. (Ref: Apartado A19).
20. Si el auditor tiene indicios de que puede haber un incumplimiento, discutirá la cuestión con el nivel adecuado de la dirección y, cuando proceda, con los responsables del gobierno de la entidad salvo que lo prohíba una disposición legal o reglamentaria. Si la dirección o, cuando proceda, los responsables del gobierno de la entidad no proporcionan información suficiente que corrobore que la entidad cumple las disposiciones legales y reglamentarias y, a juicio del auditor, el efecto del posible incumplimiento pudiera ser material para los estados financieros, el auditor considerará la necesidad de obtener asesoramiento jurídico. (Ref: Apartados A20-A22).
21. Si no puede obtenerse información suficiente sobre un incumplimiento del que existen indicios, el auditor evaluará el efecto que la falta de evidencia de auditoría suficiente y adecuada tiene sobre la opinión del auditor.
22. El auditor evaluará las implicaciones de un incumplimiento identificado o de un posible incumplimiento en relación con otros aspectos de la auditoría, incluidas la valoración del riesgo por el auditor y la fiabilidad de las manifestaciones escritas, y llevará a cabo las actuaciones adecuadas. (Ref: Apartados A23-A25).
Comunicación e información sobre incumplimientos identificados o sobre la existencia de indicios de incumplimiento.
Comunicación sobre incumplimientos identificados o sobre la existencia de indicios de incumplimiento con los responsables del gobierno de la entidad.
23. Salvo que todos los responsables del gobierno de la entidad participen en su dirección y, por ello, tengan conocimiento de las cuestiones ya comunicadas por el auditor relativas a incumplimientos identificados de las disposiciones legales y reglamentarias o a la existencia de indicios de un posible incumplimiento, el auditor(5), salvo que lo prohíba una disposición legal o reglamentaria, se comunicará con los responsables del gobierno de la entidad acerca de las cuestiones relativas a incumplimientos de las disposiciones legales y reglamentarias que hayan llegado a su conocimiento en el transcurso de la auditoría, siempre que no se trate de cuestiones claramente intrascendentes.
(5) NIA 260 (Revisada), Comunicación con los responsables del gobierno de la entidad, apartado 13.
24. Si, a juicio del auditor, el incumplimiento al que se refiere el apartado 23 se considera intencionado y material, el auditor se comunicará con los responsables del gobierno acerca de la cuestión de la entidad tan pronto como sea posible.
25. Si el auditor tiene indicios de que la dirección o los responsables del gobierno de la entidad están implicados en el incumplimiento, lo comunicará a la autoridad de nivel inmediatamente superior dentro de la entidad, si existiera, tal como un comité de auditoría o consejo supervisor. Cuando no exista un nivel de autoridad superior o si el auditor considera que pueden no adoptarse medidas en respuesta a su comunicación o no está seguro de a quién informar, el auditor considerará la necesidad de obtener asesoramiento jurídico.
Posibles implicaciones para el informe de auditoría de los incumplimientos identificados o de la existencia de indicios de incumplimiento (Ref: Apartados A26-A27).
26. Si el auditor concluye que el incumplimiento identificado o del que existen indicios tiene un efecto material sobre los estados financieros, y que no ha sido adecuadamente reflejado en ellos, el auditor expresará, de conformidad con la NIA 705 (Revisada), una opinión con salvedades o una opinión desfavorable (adversa) sobre los estados financieros(6).
(6) NIA 705 (Revisada), Opinión modificada en el informe emitido por un auditor independiente, apartados 7-8.
27. Si la dirección o los responsables del gobierno de la entidad impiden al auditor obtener evidencia de auditoría suficiente y adecuada para evaluar si se ha producido o es probable que se haya producido un incumplimiento que pueda ser material para los estados financieros, el auditor expresará una opinión con salvedades o denegará la opinión (se abstendrá de opinar) sobre los estados financieros por limitación al alcance de la auditoría, de conformidad con la NIA 705 (Revisada)(7).
(7) NIA 705 (Revisada), apartados 7 y 9.
28. Si, debido a limitaciones impuestas por las circunstancias y no por la dirección o por los responsables del gobierno de la entidad, el auditor no puede determinar si se ha producido un incumplimiento, el auditor evaluará el efecto sobre su opinión, de conformidad con la NIA 705 (Revisada).
Información a las autoridades competentes ajenas a la entidad sobre incumplimientos identificados o sobre la existencia de indicios de incumplimiento.
29. Si el auditor identifica o tiene indicios de un incumplimiento de las disposiciones legales y reglamentarias, determinará si los requerimientos de las disposiciones legales, reglamentarias o de ética aplicables: (Ref: Apartados A28–A34).
(a) Requieren que el auditor informe a una autoridad competente ajena a la entidad.
(b) Establecen responsabilidades en cumplimiento de las cuales informar a una autoridad competente ajena a la entidad puede ser adecuado en función de las circunstancias.
Véase nota aclaratoria al apartado 9 de esta Norma.
Documentación.
30. El auditor hará constar en la documentación de auditoría(8) los incumplimientos identificados, o la existencia de indicios de incumplimiento, de las disposiciones legales y reglamentarias y: (Ref: Apartados A35–A36).
(8) NIA 230, Documentación de auditoría, apartados 8-11 y A6.
(a) Los procedimientos de auditoría, los juicios profesionales significativos aplicados y las conclusiones alcanzadas y
(b) Las discusiones con la dirección, con los responsables del gobierno de la entidad, así como con partes ajenas a la entidad sobre cuestiones significativas relacionadas con los incumplimientos, incluido el modo en el que la dirección y, en su caso, los responsables del gobierno de la entidad han respondido a la cuestión.
Guía de aplicación y otras anotaciones explicativas
Responsabilidad del cumplimiento de las disposiciones legales y reglamentarias (Ref: Apartados 3-9).
A1. Es responsabilidad de la dirección, bajo la supervisión de los responsables del gobierno de la entidad, asegurar que las operaciones de la entidad se realizan de conformidad con las disposiciones legales y reglamentarias. Dichas disposiciones pueden afectar a los estados financieros de la entidad de diferentes formas: por ejemplo, en la forma más directa, pueden afectar a información específica que la entidad esté obligada a revelar en los estados financieros o pueden prescribir el marco de información financiera aplicable. También pueden establecer ciertos derechos y obligaciones legales de la entidad, algunos de los cuales se reconocerán en sus estados financieros. Además, las disposiciones legales y reglamentarias pueden imponer sanciones en casos de incumplimiento.
A2. Los siguientes son ejemplos de los tipos de políticas y procedimientos que una entidad puede implementar para facilitar la prevención y detección de incumplimientos de las disposiciones legales y reglamentarias:
– Seguimiento de los requerimientos legales y verificación de que los procedimientos operativos están diseñados para cumplir dichos requerimientos.
– Establecimiento y utilización de sistemas adecuados de control interno.
– Desarrollo, promoción y observancia de un código de conducta.
– Verificación de que los empleados están adecuadamente formados y conocen el código de conducta.
– Seguimiento del cumplimiento del código de conducta y medidas disciplinarias adecuadas para los empleados que no lo cumplan.
– Contratación de asesores jurídicos para facilitar el seguimiento de los requerimientos legales.
– Mantenimiento de un registro de las disposiciones legales y reglamentarias significativas que la entidad debe cumplir dentro de su sector, así como de un registro de reclamaciones.
En entidades de gran dimensión, estas políticas y procedimientos pueden complementarse mediante la asignación de responsabilidades adecuadas:
– A una función de auditoría interna.
– A un comité de auditoría.
– A un departamento de cumplimiento de las disposiciones legales y reglamentarias.
Responsabilidad del auditor.
A3. El incumplimiento de las disposiciones legales y reglamentarias por parte de la entidad puede dar lugar a incorrecciones materiales en los estados financieros. La detección de los incumplimientos, independientemente de su importancia relativa, puede afectar a otros aspectos de la auditoría como, por ejemplo, la consideración por parte del auditor de la integridad de la dirección, de los responsables del gobierno de la entidad o de los empleados.
A4. El que un determinado acto constituya o no un incumplimiento de las disposiciones legales y reglamentarias es una cuestión a determinar por un tribunal u otro organismo resolutorio adecuado, lo cual, por lo general, queda fuera del ámbito de competencia profesional del auditor. No obstante, la formación práctica del auditor, su experiencia y su conocimiento de la entidad y de su actividad o sector pueden proporcionar una base para reconocer que algunos actos, que lleguen al conocimiento del auditor, puedan constituir incumplimientos de las disposiciones legales y reglamentarias.
A5. De conformidad con determinados requerimientos legales, el auditor puede estar específicamente obligado a informar, en el marco de la auditoría de los estados financieros, sobre si la entidad cumple determinadas disposiciones legales y reglamentarias. En estas circunstancias, la NIA 700 (Revisada)(9) (suprimido)(10) tratan sobre el modo de abordar estas responsabilidades en el informe de auditoría. Asimismo, cuando existan requerimientos legales específicos de información, puede ser necesario incluir en la planificación de la auditoría pruebas adecuadas del cumplimiento de estas disposiciones legales y reglamentarias.
(9) NIA 700 (Revisada), Formación de la opinión y emisión del informe de auditoría sobre los estados financieros, apartado 43.
(10) Nota suprimida.
Tipos de disposiciones legales o reglamentarias (Ref: Apartado 6).
A6. La naturaleza y las circunstancias de la entidad pueden tener un impacto sobre si las disposiciones legales y reglamentarias aplicables pertenecen a los tipos de disposiciones legales y reglamentarias descritos en los apartados 6(a) o 6(b). Ejemplos de disposiciones legales y reglamentarias que pueden pertenecer a los tipos descritos en el apartado 6 son las que tratan de:
– Fraude, corrupción y soborno.
– Blanqueo de capitales, financiación del terrorismo e ingresos delictivos.
– Mercado de valores y negociación.
– Banca y otros productos y servicios financieros.
– Protección de datos.
– Pasivos y pagos por impuestos y pensiones.
– Protección del medioambiente.
– Salud y seguridad públicas.
Consideraciones específicas para entidades del sector público.
A7. Apartado suprimido.
Responsabilidades adicionales establecidas por disposiciones legales o reglamentarias o por requerimientos de ética aplicables (Ref: Apartado 9).
A8. Las disposiciones legales o reglamentarias o los requerimientos de ética aplicables pueden requerir que el auditor aplique procedimientos adicionales y lleve a cabo actuaciones adicionales. (Frase suprimida)(11).
(11) Nota suprimida.
A efectos de la adecuada interpretación y aplicación en España de los requerimientos de ética aplicables, incluidos los de independencia, se considerarán los establecidos en el artículo artículo 2.3, la sección 2.ª del capítulo III (título I) y la sección 3.ª del capítulo IV (título I) de la LAC, en su normativa de desarrollo y en el Reglamento (UE) número 537/2014.
Definición (Ref: Apartado 12).
A9. Los actos de incumplimiento de las disposiciones legales y reglamentarias comprenden tanto las transacciones realizadas por la entidad o en su nombre, como las realizadas por cuenta de la entidad, por los responsables de su gobierno, por la dirección o por otros que trabajan para la entidad o que están bajo su dirección.
A10. El incumplimiento incluye asimismo conductas inapropiadas relacionadas con las actividades empresariales de la entidad, por ejemplo, en circunstancias en las que una persona en un puesto clave de la dirección, a título personal, ha aceptado un soborno de un proveedor de la entidad a cambio de ser seleccionado para proporcionar servicios o contratos a la entidad.
Consideración por el auditor del cumplimiento de las disposiciones legales y reglamentarias.
Obtención de conocimiento del marco normativo (Ref: Apartado 13).
A11. Para obtener un conocimiento general del marco normativo, y del modo en que la entidad cumple con dicho marco, el auditor puede, por ejemplo:
– Utilizar el conocimiento que ya tenga del sector de actividad de la entidad, de los aspectos normativos y de otros factores externos;
– Actualizar su conocimiento de las disposiciones legales y reglamentarias que determinen directamente los importes e información a revelar en los estados financieros;
– Indagar ante la dirección sobre otras disposiciones legales y reglamentarias que pudieran tener un efecto fundamental sobre las actividades de la entidad;
– Indagar ante la dirección sobre las políticas y los procedimientos de la entidad relativos al cumplimiento de las disposiciones legales y reglamentarias e
– Indagar ante la dirección sobre las políticas o los procedimientos adoptados para identificar, evaluar y contabilizar las reclamaciones en litigio judicial.
Disposiciones legales y reglamentarias que, de forma generalmente reconocida, tienen un efecto directo en la determinación de los importes e información a revelar materiales en los estados financieros (Ref: Apartados 6 y 14).
A12. Determinadas disposiciones legales y reglamentarias están firmemente consolidadas, son conocidas por la entidad y por las empresas del mismo sector, y son relevantes para los estados financieros de la entidad [como se describe en el apartado 6(a)]. Pueden incluir las relativas, por ejemplo, a:
– La estructura y el contenido de los estados financieros;
– Las cuestiones de información financiera específicas del sector;
– La contabilización de transacciones originadas por contratos con el Estado o
– El reconocimiento de provisiones o de gastos por impuesto sobre beneficios o por compromisos por pensiones.
Algunos preceptos pueden afectar directamente a afirmaciones específicas de los estados financieros (por ejemplo, la integridad de las provisiones por el impuesto sobre beneficios), mientras que otras pueden afectar directamente a los estados financieros en su conjunto (por ejemplo, los estados financieros obligatorios que constituyen un conjunto completo de estados financieros). El objetivo del requerimiento del apartado 14 es que el auditor obtenga evidencia de auditoría suficiente y adecuada con respecto a la determinación de importes e información a revelar en los estados financieros de conformidad con los preceptos pertinentes de dichas disposiciones legales y reglamentarias.
El incumplimiento de otros preceptos de dichas disposiciones y de otras disposiciones legales y reglamentarias puede dar lugar a multas, litigios u otras consecuencias para la entidad, cuyo coste puede ser necesario provisionar en los estados financieros, pero no se considera que tenga un efecto directo en los estados financieros, tal como se describe en el apartado 6(a).
Procedimientos para identificar casos de incumplimiento – Otras disposiciones legales y reglamentarias (Ref: Apartados 6 y 15).
A13. Algunas otras disposiciones legales y reglamentarias pueden requerir una atención especial por parte del auditor por tener un efecto fundamental sobre las actividades de la entidad [como se describe en el apartado 6(b)]. El incumplimiento de las disposiciones legales y reglamentarias que tengan un efecto fundamental en las actividades de la entidad puede ocasionar el cese de las actividades de la entidad, o poner en cuestión su continuidad como empresa en funcionamiento(12). Por ejemplo, el incumplimiento de los requerimientos de la licencia u otro tipo de autorización para realizar sus actividades puede tener un impacto de este tipo (por ejemplo, para un banco, el incumplimiento de los requerimientos de capital o inversión). También existen numerosas disposiciones legales y reglamentarias, relacionadas principalmente con los aspectos operativos de la entidad, que habitualmente no afectan a los estados financieros y que no se tienen en cuenta en los sistemas de información de la entidad relevantes para la información financiera.
(12) Véase la NIA 570 (Revisada), Empresa en funcionamiento.
A14 Como las consecuencias de otras disposiciones legales y reglamentarias sobre la información financiera pueden variar dependiendo de las actividades de la entidad, los procedimientos de auditoría requeridos en el apartado 15 están encaminados a llamar la atención del auditor sobre casos de incumplimiento de las disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros.
Incumplimientos sobre los que ha obtenido conocimiento el auditor por otros procedimientos de auditoría (Ref: Apartado 16).
A15. Los procedimientos de auditoría aplicados para formarse una opinión sobre los estados financieros pueden poner de manifiesto al auditor casos de incumplimiento o la existencia de indicios de incumplimiento de las disposiciones legales y reglamentarias. Por ejemplo, estos procedimientos de auditoría pueden incluir:
– Lectura de actas;
– indagaciones ante la dirección y los asesores jurídicos internos o externos de la entidad sobre litigios, reclamaciones y demandas y
– realización de pruebas sustantivas de detalle sobre determinados tipos de transacciones, saldos contables o información a revelar.
Manifestaciones escritas (Ref: Apartado 17).
A16. Dado que el efecto de las disposiciones legales y reglamentarias sobre los estados financieros puede variar considerablemente, las manifestaciones escritas proporcionan evidencia de auditoría necesaria sobre el conocimiento por parte de la dirección de incumplimientos de las disposiciones legales y reglamentarias identificados o de la existencia de indicios de un incumplimiento que pueden tener un efecto material sobre los estados financieros. Sin embargo, las manifestaciones escritas no proporcionan por sí solas evidencia de auditoría suficiente y adecuada y, por consiguiente, no afectan a la naturaleza y extensión de otra evidencia de auditoría que el auditor debe obtener(13).
(13) NIA 580, Manifestaciones escritas, apartado 4.
Procedimientos de auditoría cuando se identifican o existen indicios de incumplimiento.
Indicios de incumplimiento de las disposiciones legales y reglamentarias (Ref: Apartado 19).
A17. Puede llegar a conocimiento del auditor información relativa a un caso de incumplimiento de las disposiciones legales y reglamentarias por vías distintas a la realización de los procedimientos de los apartados 13-17 (por ejemplo, cuando un denunciante alerta al auditor de un incumplimiento).
A18. Las siguientes cuestiones pueden ser un indicio de incumplimiento de las disposiciones legales y reglamentarias:
– Investigaciones por parte de organismos reguladores o por departamentos de la Administración, o pago de multas o sanciones.
– Pagos por servicios no especificados o préstamos concedidos a consultores, partes vinculadas, empleados o funcionarios públicos.
– Comisiones por ventas u honorarios de agencia que parecen excesivos en relación con los habitualmente pagados por la entidad o en su sector de actividad o con los servicios realmente recibidos.
– Realización de compras a precios significativamente superiores o inferiores a los de mercado.
– Pagos inusuales en efectivo, pago de compras con cheques bancarios al portador o transferencias a cuentas bancarias cifradas.
– Transacciones inusuales con empresas domiciliadas en paraísos fiscales.
– Pagos por bienes o servicios realizados a países distintos de los de procedencia de los bienes o servicios.
– Pagos sin la adecuada documentación sobre control de cambios.
– Existencia de un sistema de información que, voluntaria o accidentalmente, no proporciona una adecuada pista de auditoría o evidencia suficiente.
– Transacciones no autorizadas o registradas inadecuadamente.
– Comentarios desfavorables en los medios de comunicación.
Cuestiones relevantes para la evaluación por el auditor [Ref: Apartado 19(b)].
A19. Entre las cuestiones relevantes para la evaluación por el auditor de los posibles efectos sobre los estados financieros se incluyen:
– Las consecuencias financieras potenciales de incumplimientos identificados o de posibles incumplimientos de las disposiciones legales y reglamentarias sobre los estados financieros, incluyendo, por ejemplo, la imposición de multas, sanciones, indemnizaciones, amenazas de expropiación de activos, interrupción forzosa de actividades, y litigios.
– Que las consecuencias financieras potenciales requieran ser reveladas.
– Que las consecuencias financieras potenciales sean tan graves como para poner en tela de juicio la presentación fiel de los estados financieros, o para hacer que los estados financieros induzcan a error.
Procedimientos de auditoría y comunicación sobre incumplimientos identificados o sobre la existencia de indicios de incumplimientos con los responsables del gobierno de la entidad (Ref: Apartado 20).
A20. Se requiere que el auditor discuta los indicios de incumplimiento con el nivel adecuado de la dirección y, cuando corresponda, con los responsables del gobierno de la entidad ya que pueden proporcionar evidencia de auditoría adicional. Por ejemplo, el auditor puede confirmar que la dirección y, cuando corresponda, los responsables del gobierno de la entidad tienen el mismo conocimiento sobre los factores y circunstancias relativos a transacciones o hechos que han originado la existencia de indicios de incumplimiento de las disposiciones legales y reglamentarias.
A21. Sin embargo, en algunas jurisdicciones, las disposiciones legales o reglamentarias pueden limitar al auditor la comunicación de determinadas cuestiones con la dirección y con los responsables del gobierno de la entidad. Las disposiciones legales o reglamentarias pueden prohibir de forma expresa una comunicación u otra actuación que pueda perjudicar a la investigación de un acto ilegal o presuntamente ilegal llevada a cabo por la autoridad competente, así como alertar a la entidad, por ejemplo, cuando se requiere que el auditor informe de incumplimientos identificados o de la existencia de indicios de incumplimiento a una autoridad competente en aplicación de legislación contra el blanqueo de capitales. En estas circunstancias, las cuestiones consideradas por el auditor pueden ser complejas y puede considerar adecuado obtener asesoramiento jurídico.
Véase nota aclaratoria al apartado 9 de esta Norma.
A22. Si la dirección o, en su caso, los responsables del gobierno de la entidad no proporcionan al auditor información suficiente acerca del cumplimiento por parte de la entidad de las disposiciones legales y reglamentarias, el auditor puede considerar adecuado consultar a los asesores jurídicos internos o externos de la entidad, sobre la aplicación de las disposiciones legales y reglamentarias a las circunstancias, incluida la posibilidad de fraude, así como sus posibles efectos sobre los estados financieros. Si no se considera adecuado consultar a los asesores jurídicos de la entidad o si el auditor no se satisface con la opinión de dichos asesores, puede considerar adecuado consultar, de manera confidencial, a otras personas pertenecientes a la firma, a una firma de la red, a una organización profesional o a sus propios asesores jurídicos sobre si se ha cometido una infracción de una disposición legal o reglamentaria, incluidos la posibilidad de fraude, las posibles consecuencias legales y las actuaciones adicionales que, en su caso, debería emprender el auditor.
Evaluación de las implicaciones de un incumplimiento identificado o de un posible incumplimiento (Ref: Apartado 22).
A23. Tal como el apartado 22 requiere, el auditor evaluará las implicaciones de un incumplimiento identificado o de un posible incumplimiento en relación con otros aspectos de la auditoría, incluyendo la valoración del riesgo realizada por el auditor y la fiabilidad de manifestaciones escritas. Las implicaciones de incumplimientos o de posibles incumplimientos específicos dependerán de la relación de la comisión del acto y, en su caso, de su ocultación con actividades de control específicas, así como del nivel de la dirección o de las personas involucradas que trabajan para la entidad o que están bajo su dirección, especialmente cuando se deriven de la participación de la más alta autoridad dentro de la entidad. Como se indica en el apartado 9, el cumplimiento por el auditor de las disposiciones legales o reglamentarias o de los requerimientos de ética aplicables puede aportar información adicional relevante para las responsabilidades del auditor de conformidad con el apartado 22.
A24. Como ejemplos de circunstancias que pueden llevar al auditor a evaluar las implicaciones de un incumplimiento identificado o de un posible incumplimiento sobre la fiabilidad de las manifestaciones escritas recibidas de la dirección y, en su caso, de los responsables del gobierno de la entidad están, entre otros:
– El auditor tiene indicios o evidencia de que la dirección y, en su caso, los responsables del gobierno de la entidad están involucrados o pretenden involucrarse en cualquier incumplimiento identificado o posible incumplimiento.
– El auditor tiene conocimiento de que la dirección y, en su caso, los responsables del gobierno de la entidad conocen dichos incumplimientos y, en contra de los requerimientos de disposiciones legales o reglamentarias, no han informado o autorizado informar sobre la cuestión a la autoridad adecuada en un periodo de tiempo razonable.
A25. En determinadas circunstancias, el auditor puede considerar renunciar al encargo, si las disposiciones legales y reglamentarias así lo permiten, por ejemplo, cuando la dirección o los responsables del gobierno de la entidad no adopten las medidas correctoras que el auditor considere adecuadas en las circunstancias, o cuando el incumplimiento identificado o la existencia de indicios de incumplimiento pongan en duda la integridad de la dirección o de los responsables del gobierno de la entidad, incluso cuando el incumplimiento no sea material para los estados financieros. El auditor puede considerar adecuada la obtención de asesoramiento jurídico para determinar si es adecuado renunciar al encargo. Cuando el auditor determina que sería adecuado renunciar al encargo, hacerlo no le exime de cumplir otras responsabilidades establecidas en disposiciones legales, reglamentarias o en requerimientos de ética aplicables para responder a un incumplimiento identificado o a la existencia de indicios de incumplimiento. Además, el apartado A8a de la NIA 220(14) establece que determinados requerimientos de ética pueden requerir que el auditor predecesor, a petición del auditor sucesor, proporcione información relativa a incumplimientos de las disposiciones legales y reglamentarias al auditor sucesor.
(14) NIA 220, Control de calidad de la auditoría de estados financieros.
A efectos de lo dispuesto en este apartado, en relación con la renuncia al encargo, se debe atender a lo establecido en los artículos 5.2 y 22 de la LAC y en su normativa de desarrollo.
Por otra parte, en los supuestos de sustitución de auditores, en cuanto al acceso a la documentación de la auditoría entre auditor predecesor y sucesor, se tendrá en cuenta lo establecido en el artículo 32.f) de la LAC y, en el caso de entidades de interés público, se considerará, además, lo establecido en el artículo 44 de la LAC y en el artículo 18 del Reglamento (UE) número 537/2014. Debe tenerse igualmente presente la Norma Técnica de Auditoría sobre relación entre auditores publicada por Resolución de 20 de marzo de 2014, del Instituto de Contabilidad y Auditoría de Cuentas.
Comunicación e información sobre de incumplimientos identificados o sobre de la existencia de indicios de incumplimiento.
Posibles implicaciones para el informe de auditoría de los incumplimientos identificados o de la existencia de indicios de incumplimiento (Ref: Apartados 26-28).
A26. El incumplimiento identificado o la existencia de indicios de incumplimiento de disposiciones legales y reglamentarias se comunica en el informe de auditoría cuando el auditor emite una opinión modificada de conformidad con los apartados 26-28. En algunas otras circunstancias, el auditor puede comunicar incumplimientos identificados o la existencia de indicios de incumplimiento en el informe de auditoría, por ejemplo:
– Cuando el auditor tiene otras responsabilidades de información además de sus responsabilidades de conformidad con las NIA, como se prevé en el apartado 43 de la NIA 700 (Revisada);
– Cuando el auditor determina que el incumplimiento identificado o que la existencia de indicios de incumplimiento es una cuestión clave de la auditoría y, en consecuencia, comunica la cuestión de conformidad con la NIA 701(15), salvo si es aplicable el apartado 14 de dicha NIA, o
(15) NIA 701, Comunicación de las cuestiones clave de la auditoría en el informe de auditoría emitido por un auditor independiente.
– En casos excepcionales, en los que la dirección o los responsables del gobierno de la entidad no adopten las medidas correctoras que el auditor considera adecuadas en las circunstancias y no sea posible renunciar al encargo (véase apartado A25), el auditor puede considerar describir el incumplimiento identificado o la existencia de indicios de incumplimiento en un párrafo sobre Otras cuestiones de conformidad con la NIA 706 (Revisada)(16).
(16) NIA 706 (Revisada), Párrafos de énfasis y párrafos sobre otras cuestiones en el informe emitido por un auditor independiente.
A27. Las disposiciones legales o reglamentarias pueden impedir a la dirección, a los responsables del gobierno de la entidad o al auditor informar sobre una cuestión específica. Por ejemplo, dichas disposiciones pueden prohibir de forma expresa una comunicación u otra actuación que pueda perjudicar a la investigación de un acto ilegal o presuntamente ilegal llevada a cabo por la autoridad competente, incluida la prohibición de alertar a la entidad. Cuando el auditor tiene previsto comunicar un incumplimiento identificado o la existencia de indicios de incumplimiento en el informe de auditoría bajo las circunstancias establecidas en el apartado A26 u otras, esas disposiciones legales o reglamentarias pueden influir en la capacidad del auditor de describir la cuestión en el informe de auditoría o, en otras circunstancias, de emitir el informe de auditoría. En esos casos, el auditor puede considerar adecuado obtener asesoramiento jurídico para determinar la forma de proceder adecuada.
Información a las autoridades competentes ajenas a la entidad sobre un incumplimiento identificado o sobre la existencia de indicios de incumplimiento (Ref: Apartado 29).
A28. Informar a una autoridad competente ajena a la entidad sobre un incumplimiento identificado o sobre la existencia de indicios de incumplimiento puede ser obligatorio o adecuado en función de las circunstancias porque:
(a) Las disposiciones legales o reglamentarias o los requerimientos de ética aplicables requieren que el auditor informe (véase apartado A29);
(b) El auditor ha determinado que informar es una actuación adecuada para responder a un incumplimiento identificado o a la existencia de indicios de incumplimiento de conformidad con los requerimientos de ética aplicables (véase apartado A30) o
(c) Las disposiciones legales o reglamentarias o los requerimientos de ética aplicables permiten que el auditor informe (véase apartado A31).
A29. En algunas jurisdicciones, las disposiciones legales o reglamentarias o los requerimientos de ética aplicables pueden requerir que el auditor informe a una parte ajena a la entidad sobre incumplimientos de las disposiciones legales y reglamentarias identificados o sobre la existencia de indicios de incumplimiento. Por ejemplo, en algunas jurisdicciones, existen requerimientos legales que exigen al auditor de una entidad financiera informar a las autoridades supervisoras de los incumplimientos de las disposiciones legales y reglamentarias o de la existencia de indicios de incumplimiento. Asimismo, el incumplimiento de las disposiciones legales o reglamentarias puede ocasionar incorrecciones y, en algunas jurisdicciones, se puede requerir al auditor informar a la autoridad competente sobre las incorrecciones en aquellos casos en los que la dirección y, cuando proceda, los responsables del gobierno de la entidad no adopten medidas correctoras.
A30. En otros casos, los requerimientos de ética aplicables pueden requerir que el auditor determine si informar a una autoridad competente ajena a la entidad sobre incumplimientos de las disposiciones legales y reglamentarias identificados o sobre la existencia de indicios de incumplimiento es una actuación adecuada en función de las circunstancias. (Frase suprimida)(17)(18).
(17) Nota suprimida.
(18) Nota suprimida.
A31. Aun cuando las disposiciones legales o reglamentarias o los requerimientos de ética aplicables no contengan requerimientos que traten de la información sobre incumplimientos identificados o la existencia de indicios de incumplimiento, pueden otorgar al auditor el derecho a informar de ello a una autoridad competente ajena a la entidad. Por ejemplo, al auditar los estados financieros de entidades financieras, las disposiciones legales o reglamentarias pueden otorgar al auditor el derecho a discutir cuestiones tales como incumplimientos de las disposiciones legales y reglamentarias identificados o la existencia de indicios de incumplimiento con una autoridad supervisora.
A32. En otras circunstancias, las disposiciones legales o reglamentarias o los requerimientos de ética aplicables pueden impedir al auditor informar a una autoridad competente ajena a la entidad sobre un incumplimiento identificado o sobre la existencia de indicios de incumplimiento por el deber de confidencialidad del auditor.
A33. La determinación requerida por el apartado 29 puede implicar consideraciones complejas y la aplicación de juicio profesional. En consecuencia, el auditor puede considerar consultar internamente (por ejemplo, en la firma o a una firma de la red) o, de manera confidencial, a un regulador o a una organización profesional (salvo que lo prohíba una disposición legal o reglamentaria o si incumpliera su deber de confidencialidad). El auditor puede también considerar obtener asesoramiento jurídico para conocer sus opciones o las implicaciones legales de una determinada forma de proceder.
Véase nota aclaratoria al apartado 9 de esta Norma.
Consideraciones específicas para entidades del sector público.
A34 Apartado suprimido.
Documentación (Ref: Apartado 30).
A35. La documentación del auditor relativa a los hallazgos con respecto a incumplimientos de las disposiciones legales y reglamentarias identificados o a la existencia de indicios de incumplimiento puede incluir, por ejemplo:
– Copias de registros o de documentos.
– Actas de discusiones mantenidas con la dirección, los responsables del gobierno de la entidad o partes ajenas a la entidad.
A36. Las disposiciones legales o reglamentarias o los requerimientos de ética aplicables pueden también establecer requerimientos adicionales de documentación relativa a incumplimientos identificados o a la existencia de indicios de incumplimiento de las disposiciones legales y reglamentarias(19).
(19) Nota suprimida.
[Bloque 10: #no-2]
NIA-ES 315 (Revisada)
(Adaptada para su aplicación en España mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, de 14 de octubre de 2021)
CONTENIDO | |
---|---|
Introducción. | |
Alcance de esta NIA. | 1 |
Conceptos clave en esta NIA. | 2 |
Graduación. | 9 |
Fecha de entrada en vigor. | 10 |
Objetivo. | 11 |
Definiciones. | 12 |
Requerimientos. | |
Procedimientos de valoración del riesgo y actividades relacionadas. | 13-18 |
Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad. | 19-27 |
Identificación y valoración del riesgo de incorrección material. | 28-37 |
Documentación. | 38 |
Guía de aplicación y otras anotaciones explicativas. | |
Definiciones. | A1-A10 |
Procedimientos de valoración del riesgo y actividades relacionadas. | A11-A47 |
Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad. | A48-A183 |
Identificación y valoración del riesgo de incorrección material. | A184-A236 |
Documentación. | A237-A241 |
ANEXO 1: Consideraciones para el conocimiento de la entidad y su modelo de negocio. | |
ANEXO 2: Conocimiento de los factores de riesgo inherente. | |
ANEXO 3: Conocimiento del sistema de control interno de la entidad. | |
ANEXO 4: Consideraciones para el conocimiento de la función de auditoría interna de la entidad. | |
ANEXO 5: Consideraciones para el conocimiento de las Tecnologías de la Información (TI). | |
ANEXO 6: Consideraciones para el conocimiento de los controles generales de TI. |
La Norma Internacional de Auditoría (NIA) 315 (Revisada 2019), Identificación y valoración del riesgo de incorrección material, debe interpretarse conjuntamente con la NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría.
«Las Normas «NIA-ES» y «NCCI» reproducen, con el permiso de la Federación Internacional de Contadores (IFAC), la totalidad o parte de la Traducción Autorizada al español de la norma internacional correspondiente emitida por el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB), y publicada por la IFAC en inglés en el periodo 2009-2015. La Traducción autorizada fue realizada con el permiso de IFAC por el Instituto de Censores Jurados de Cuentas de España (ICJCE), con la participación, entre otros, del Instituto de Contabilidad y Auditoría de Cuentas y del Consejo General de Economistas. Se permite la reproducción dentro de España en español y exclusivamente para propósitos no comerciales. Todos los otros derechos existentes quedan reservados. El texto aprobado de todas las Normas Internacionales de Auditoría y Control de Calidad es el publicado por IFAC en inglés. IFAC no asume responsabilidad alguna respecto a la exactitud e integridad de la traducción o de las acciones que puedan resultar. Puede obtener más información de la Federación Internacional de Contadores (IFAC) en www.ifac.org o escribiendo a permissions@ifac.org.»
Introducción
Alcance de esta NIA.
1. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de identificar y valorar los riesgos de incorrección material en los estados financieros.
Conceptos clave en esta NIA.
2. La NIA 200 trata de los objetivos globales del auditor en la ejecución de una auditoría de estados financieros(1), incluida la obtención de evidencia de auditoría suficiente y adecuada para reducir el riesgo de auditoría a un nivel aceptablemente bajo(2). El riesgo de auditoría es una función del riesgo de incorrección material y del riesgo de detección(3). La NIA 200 explica que los riesgos de incorrección material pueden estar relacionados con(4): los estados financieros en su conjunto; y las afirmaciones sobre determinados tipos de transacciones, saldos contables e información a revelar.
(1) NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las normas internacionales de auditoría.
(2) NIA 200, apartado 17.
(3) NIA 200, apartado 13(c).
(4) NIA 200, apartado A36.
3. La NIA 200 requiere que el auditor aplique su juicio profesional en la planificación y ejecución de la auditoría y que planifique y ejecute la auditoría con escepticismo profesional reconociendo que pueden darse circunstancias que supongan que los estados financieros contengan incorrecciones materiales(5).
(5) NIA 200, apartados 15-16.
4. Los riesgos en los estados financieros se relacionan de manera generalizada con los estados financieros en su conjunto y que afectan potencialmente a muchas de las afirmaciones. Los riesgos de incorrección material en las afirmaciones tienen dos componentes, el riesgo inherente y el riesgo de control:
– El riesgo inherente se describe como la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información a una incorrección que pudiera ser material, ya sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los posibles controles correspondientes.
– El riesgo de control se describe como el riesgo de que una incorrección que pudiera existir en una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información, y que pudiera ser material ya sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida, o detectada y corregida oportunamente, por el sistema de control interno de la entidad.
5. La NIA 200 explica que los riesgos de incorrección material en las afirmaciones se valoran con el fin de determinar la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría necesarios para obtener evidencia de auditoría suficiente y adecuada(6). Para los riesgos identificados de incorrección material en las afirmaciones, esta NIA exige una valoración separada del riesgo inherente y del riesgo de control. Como se indica en la NIA 200, el riesgo inherente es más alto para algunas afirmaciones y tipos de transacciones, saldos contables e información a revelar relacionados. El grado en que varía el riesgo inherente se denomina en esta NIA «espectro de riesgo inherente».
(6) NIA 200, apartado A43a y NIA 330, Respuestas del auditor a los riesgos valorados, apartado 6.
6. Los riesgos de incorrección material identificados y valorados por el auditor incluyen tanto los que se deben a error como los debidos a fraude. Aunque ambos se tratan en esta NIA, la significatividad del fraude es tal que la NIA 240(7) incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información con el fin de identificar, valorar y responder a los riesgos de incorrección material debida a fraude.
(7) NIA 240, Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude.
7. El proceso de identificación y valoración de los riesgos por el auditor es iterativo y dinámico. El conocimiento por el auditor de la entidad y su entorno, el marco de información financiera aplicable y el sistema de control interno son interdependientes con conceptos incluidos en los requerimientos de identificación y valoración de los riesgos de incorrección material. En la obtención de conocimiento requerida por esta NIA se pueden desarrollar expectativas iniciales de riesgos, las cuales pueden ser afinadas a medida que el auditor progresa en el proceso de identificación y valoración de riesgos. Además, esta NIA y la NIA 330 requieren que el auditor revise las valoraciones de riesgo, y modifique las respuestas globales posteriores y los procedimientos posteriores de auditoría, sobre la base de la evidencia de auditoría obtenida de la aplicación de procedimientos posteriores de auditoría de conformidad con la NIA 330, o en caso de obtener nueva información.
8. La NIA 330 requiere que el auditor diseñe e implemente respuestas globales para responder a los riesgos valorados de incorrección material en los estados financieros(8). La NIA 330 explica asimismo que el conocimiento del entorno de control por el auditor afecta a la valoración que hace de los riesgos de incorrección material en los estados financieros y a sus respuestas globales. La NIA 330 también requiere que el auditor diseñe y aplique procedimientos posteriores de auditoría cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones y respondan a dichos riesgos(9).
(8) NIA 330, apartado 5.
(9) NIA 330, apartado 6.
Graduación.
9. La NIA 200 establece que algunas NIA incluyen consideraciones de graduación que ilustran la aplicación de los requerimientos a todas las entidades independientemente de si su naturaleza y circunstancias son más o menos complejas(10). Esta NIA se dirige a todas las entidades independientemente de su dimensión o complejidad y la guía de aplicación incorpora, en consecuencia, consideraciones específicas tanto para entidades menos complejas como para entidades más complejas, según proceda. Aunque la dimensión de una entidad puede ser indicativa de su complejidad, algunas entidades de pequeña dimensión pueden ser complejas y algunas entidades de mayor dimensión pueden ser menos complejas.
(10) NIA 200, apartado A65a.
Fecha de entrada en vigor.
10. Apartado suprimido.
Objetivo
11. El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material.
Definiciones
12. A efectos de las NIA, los siguientes términos tienen los significados que figuran a continuación:
(a) Afirmaciones: manifestaciones, explícitas o no, con respecto al reconocimiento, medición, presentación y revelación de información en los estados financieros que son inherentes a la manifestación de la dirección de que los estados financieros se preparan de conformidad con el marco de información financiera aplicable. El auditor utiliza las afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir al identificar, valorar y responder a los riesgos de incorrección material. (Ref: Apartado A1).
(b) Riesgo de negocio: riesgo derivado de condiciones, hechos, circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias o derivado del establecimiento de objetivos y estrategias inadecuados.
(c) Controles: políticas o procedimientos que establece una entidad para alcanzar los objetivos de control de la dirección o de los responsables del gobierno de la entidad. En este contexto: (Ref: Apartados A2–A5).
(i) Las políticas son declaraciones de lo que se debería o no se debería hacer dentro de la entidad para llevar a cabo el control. Esas declaraciones pueden estar documentadas, formuladas explícitamente en comunicados o implícitas en actuaciones y decisiones.
(ii) Los procedimientos son actuaciones para implementar las políticas.
(d) Controles generales de las tecnologías de la información (TI): Controles de los procesos de TI de la entidad que apoyan el funcionamiento continuo apropiado del entorno de TI, incluido el funcionamiento continuo efectivo de los controles de procesamiento de la información y la integridad de la información (es decir, la integridad, exactitud y validez de la información) en el sistema de información de la entidad. Véase también la definición de entorno de TI.
(e) Controles del procesamiento de la información: Controles relacionados con el procesamiento de la información en aplicaciones de TI o procesamientos manuales de la información en el sistema de información de la entidad que responden directamente a los riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y otra información). (Ref: Apartado A6).
(f) Factores de riesgo inherente: Características de hechos o condiciones que afectan la susceptibilidad de incorrección, debida a fraude o error, de una afirmación sobre un tipo de transacción, saldo contable u otra revelación, antes de considerar los controles. Dichos factores pueden ser cualitativos o cuantitativos e incluyen complejidad, subjetividad, cambio, incertidumbre o susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude(11) en la medida en la que afectan al riesgo inherente. (Ref: Apartados A7–A8).
(11) NIA 240, apartados A24‒A27.
(g) Entorno de las TI: Las aplicaciones de TI y la infraestructura que da soporte a las TI, así como los procesos y el personal involucrado en esos procesos que una entidad utiliza para respaldar las operaciones de negocio y para lograr la consecución de las estrategias de negocio. A los efectos de esta NIA:
(i) Una aplicación de TI es un programa o un conjunto de programas que se utiliza para el inicio, procesamiento, registro e información de transacciones o información. Las aplicaciones de TI incluyen almacenes de datos y generadores de informes.
(ii) La infraestructura de TI comprende la red, los sistemas operativos y las bases de datos y el hardware y software relacionados con estos.
(iii) Los procesos de TI son los procesos de la entidad para la gestión del acceso al entorno de TI, la gestión de cambios en los programas o de los cambios al entorno de TI, así como para la gestión de las operaciones de TI.
(h) Afirmaciones relevantes: Una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información es relevante cuando tiene un riesgo identificado de incorrección material. La determinación de si una afirmación es relevante se realiza antes de tener en cuenta los posibles controles correspondientes (es decir, el riesgo inherente). (Ref: Apartado A9).
(i) Riesgos derivados de la utilización de TI: Exposición de los controles de procesamiento de la información a un diseño o un funcionamiento ineficaces, o riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y demás información) en el sistema de información de la entidad, debido a un diseño o a un funcionamiento ineficaz de los procesos de TI de la entidad (véase entorno de TI).
(j) Procedimientos de valoración del riesgo: procedimientos de auditoría diseñados y aplicados para identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones concretas contenidas en estos.
(k) Tipos de transacciones, saldos contables o información a revelar significativos: un tipo de transacción, saldo contable o información a revelar para el que existen una o varias afirmaciones significativas.
(l) Riesgo significativo: un riesgo identificado de incorrección material. (Ref: Apartado A10).
(i) Para el que la valoración del riesgo inherente se encuentra próxima al límite superior del espectro de riesgo inherente debido al grado en el que los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección y a la magnitud de la incorrección potencial si existe; o
(ii) Que deba ser tratado como riesgo significativo de conformidad con los requerimientos de otras NIA(12).
(12) NIA 240, apartado 27 y NIA 550, Partes vinculadas-apartado 18.
(m) Sistema de control interno: el sistema diseñado, implementado y mantenido por los responsables del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. A los efectos de las NIA, el sistema de control interno comprende cinco componentes interrelacionados:
(i) El entorno de control;
(ii) El proceso de valoración del riesgo por la entidad;
(iii) El proceso de la entidad para el seguimiento del sistema de control interno;
(iv) El sistema de información y comunicación y
(v) Las actividades de control.
Requerimientos
Procedimientos de valoración del riesgo y actividades relacionadas.
13. El auditor diseñará y aplicará procedimientos de valoración del riesgo con el fin de obtener evidencia de auditoría que proporcione una base adecuada para: (Ref: Apartados A11–A18).
(a) La identificación y valoración de los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones contenidas en estos; y
(b) El diseño de procedimientos posteriores de auditoría de conformidad con la NIA 330.
El auditor diseñará y aplicará procedimientos de valoración del riesgo de un modo que no esté sesgado hacia la obtención de evidencia de auditoría que pueda ser corroborativa o hacia la eliminación de evidencia de auditoría que pueda ser contradictoria. (Ref: Apartado A14).
14. Los procedimientos de valoración del riesgo incluirán los siguientes: (Ref: Apartados A19-A21).
(a) Indagaciones ante la dirección y ante otras personas apropiadas de la entidad, incluidas personas de la función de auditoría interna (en caso de que exista esta función). (Ref: Apartados A22-A26).
(b) Procedimientos analíticos (Ref: Apartados A27-A31).
(c) Observación e inspección. (Ref: Apartados A32-A36).
Información procedente de otras fuentes.
15. En la obtención de evidencia de conformidad con el apartado 13, el auditor tendrá en cuenta la información procedente de: (Ref: Apartados A37-A38)
(a) Los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o del encargo de auditoría y,
(b) En su caso, otros encargos realizados por el socio del encargo para la entidad.
16. Cuando el auditor tenga la intención de utilizar información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores, evaluará si esa información aún es relevante y fiable como evidencia de auditoría para la auditoría actual. (Ref: Apartados A39-A41).
Discusión por el equipo del encargo.
17. El socio del encargo y otros miembros clave del equipo del encargo discutirán la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material. (Ref: Apartados A42-A47).
18. Cuando algunos miembros del equipo del encargo no participen en la discusión por el equipo del encargo, el socio del encargo determinará qué cuestiones se les debe comunicar.
Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (Ref: Apartados A48-A49).
Conocimiento de la entidad y su entorno y del marco de información financiera aplicable (Ref: Apartados A50-A55).
19. El auditor aplicará procedimientos de valoración del riesgo para obtener conocimiento de:
(a) Los siguientes aspectos de la entidad y su entorno:
(i) La estructura organizativa, de propiedad y de gobierno de la entidad y su modelo de negocio, incluido el grado en que el modelo de negocio integra el uso de TI; (Ref: Apartados A56-A67)
(ii) Factores sectoriales, normativos y otros factores externos; (Ref: Apartados A68-A73) y
(iii) Las mediciones utilizadas, interna y externamente, para valorar el resultado de la entidad; (Ref: Apartados A74-A81).
(b) El marco de información financiera aplicable, así como las políticas contables de la entidad y los motivos de cualquier cambio en estas; (Ref Apartados A82-A84) y
(c) El modo y el grado en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros de conformidad con el marco de información financiera aplicable sobre la base del conocimiento adquirido en (a) y (b). (Ref: Apartados A85-A89).
20. El auditor evaluará si las políticas contables de la entidad son adecuadas y congruentes con el marco de información financiera aplicable.
Conocimiento de los componentes del sistema de control interno de la entidad (Ref: Apartados A90-A95).
Entorno de control, proceso de valoración del riesgo por la entidad y proceso para el seguimiento del sistema de control interno de la entidad (Ref: Apartados A96-A98).
Entorno de control.
21. El auditor obtendrá conocimiento del entorno de control que sea relevante para la preparación de los estados financieros mediante la aplicación de procedimientos de valoración del riesgo mediante: (Ref: Apartados A99–A100).
(a) El conocimiento del conjunto de controles, procesos y estructuras que tratan: (Ref: Apartados A101-A102).
(i) El modo en que la dirección ejerce las responsabilidades de supervisión, tales como la cultura de la entidad y el compromiso de la dirección con la integridad y los valores éticos;
(ii) La independencia de los responsables del gobierno de la entidad y su supervisión del sistema de control interno de la entidad cuando estos sean distintos de la dirección;
(iii) La asignación de autoridad y responsabilidad en la entidad;
(iv) El modo en que la entidad atrae, desarrolla y retiene personas competentes; y
(v) El modo en que la entidad exige responsabilidades por la consecución de los objetivos del sistema de control interno a las personas que han de responder de ello; y
(b) La evaluación de si: (Ref: Apartados A103-A108).
(i) La dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha establecido y mantenido una cultura de honestidad y de comportamiento ético;
(ii) El entorno de control proporciona una base adecuada para los demás componentes del sistema de control interno de la entidad considerando la naturaleza y complejidad de esta; y
(iii) Las deficiencias de control identificadas en el entorno de control menoscaban los demás componentes del sistema de control interno de la entidad.
El proceso de valoración del riesgo por la entidad.
22. El auditor obtendrá conocimiento del proceso de valoración del riesgo por la entidad que sea relevante para la preparación de los estados financieros mediante la aplicación de procedimientos de valoración del riesgo a través de:
(a) El conocimiento del proceso de la entidad para: (Ref: Apartados A109-A110).
(i) La identificación de los riesgos de negocio relevantes para los objetivos de la información financiera; (Ref: Apartado A62).
(ii) La evaluación de la significatividad de dichos riesgos, incluida la probabilidad de ocurrencia y
(iii) La respuesta a dichos riesgos; y
(b) La evaluación de si el proceso de valoración del riesgo por la entidad es adecuado a las circunstancias de la entidad teniendo en cuenta la naturaleza y complejidad de esta. (Ref: Apartados A111-A113).
23. Si el auditor identifica riesgos de incorrección material que la dirección no ha identificado:
(a) Determinará si por su naturaleza era de esperar que cualquiera de dichos riesgos hubiera sido identificado por el proceso de valoración del riesgo por la entidad y, en su caso, obtendrá conocimiento del motivo por el que el proceso de valoración del riesgo por la entidad no identificó esos riesgos de incorrección material; y
(b) Considerará las implicaciones para la evaluación por el auditor del apartado 22(b).
El proceso de la entidad para el seguimiento del sistema de control interno.
24. El auditor obtendrá conocimiento del proceso de la entidad para el seguimiento del sistema de control interno relevante para la preparación de los estados financieros, mediante la aplicación de procedimientos de valoración del riesgo a través de: (Ref: Apartados A114-A115).
(a) El conocimiento de los aspectos del proceso de la entidad que tratan de:
(i) Las evaluaciones continuas e individuales para el seguimiento de la eficacia de los controles y la identificación y corrección de las deficiencias de control identificadas; (Ref: Apartados A116-A117) y
(ii) En su caso, la función de auditoría interna de la entidad, incluida su naturaleza, responsabilidades y actividades; (Ref: Apartado A118).
(b) El conocimiento de las fuentes de información utilizadas en el proceso de la entidad para el seguimiento del sistema de control interno, y los fundamentos de la dirección para considerar que la información es suficientemente fiable para esa finalidad; (Ref: Apartados A119‒A120). y
(c) La evaluación de si el proceso de seguimiento del sistema de control interno de la entidad es adecuado a las circunstancias de la entidad teniendo en cuenta la naturaleza y complejidad de esta. (Ref: Apartados A121-A122).
Sistema de información y comunicación y actividades de control (Ref: Apartados A123-A130).
Sistema de información y comunicación.
25. El auditor obtendrá conocimiento del sistema de información y comunicación de la entidad que sea relevante para la preparación de los estados financieros, mediante la aplicación de procedimientos de valoración del riesgo a través de: (Ref: Apartado A131)
(a) El conocimiento de las actividades de procesamiento de la información de la entidad, incluidos sus datos e información, los recursos que se deben utilizar en esas actividades y las políticas que definen, para los tipos significativos de transacciones, saldos contables e información a revelar: (Ref: Apartados A132-A143).
(i) El modo en que la información fluye por el sistema de información de la entidad, incluido el modo en que:
a) Las transacciones se inician y la información sobre ellas se registra, se procesa, se corrige si es necesario, se traslada al mayor y se incluye en los estados financieros; y
b) La información sobre los hechos y condiciones, distintos de las transacciones, se captura, se procesa y se revela en los estados financieros;
(ii) Los registros contables, cuentas específicas de los estados financieros y otros registros de soporte relacionados con los flujos de información en el sistema de información;
(iii) El proceso de información financiera utilizado para la preparación de los estados financieros de la entidad, incluida la información a revelar; y
(iv) Los recursos de la entidad, incluido el entorno de TI, relevantes para los apartados (a)(i) a (a)(iii) anteriores;
(b) El conocimiento del modo en que la entidad comunica las cuestiones significativas que sustentan la preparación de los estados financieros y las correspondientes responsabilidades de información en el sistema de información y otros componentes del sistema de control interno: (Ref: Apartados A144‒A145).
(i) A personas dentro de la entidad, incluido el modo en que se comunican las funciones y responsabilidades relacionadas con la información financiera;
(ii) A la dirección y los responsables del gobierno de la entidad y
(iii) Con terceros, tales como las realizadas con las autoridades reguladoras; y
(c) La evaluación de si el sistema de información y comunicación de la entidad sustentan adecuadamente la preparación de los estados financieros de conformidad con el marco de información financiera aplicable. (Ref: Apartado A146).
Actividades de control.
26. El auditor obtendrá conocimiento del componente de actividades de control mediante la aplicación de procedimientos de valoración del riesgo, a través de: (Ref: Apartados A147–A157).
(a) La identificación, en el componente de actividades de control, de controles que responden a los riesgos de incorrección material en las afirmaciones como sigue:
(i) Controles que responden a un riesgo que se considera riesgo significativo; (Ref: Apartados A158‒A159).
(ii) Controles sobre los asientos en el diario, incluidos aquellos asientos que no son estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o inusuales; (Ref: Apartados A160‒A161).
(iii) Controles cuya eficacia operativa tiene previsto comprobar el auditor en la determinación de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos, que incluirán controles que responden a riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada; y (Ref: Apartados A162‒A164).
(iv) Otros controles que el auditor considere adecuados para permitirle cumplir con los objetivos del apartado 13 con respecto a los riesgos en las afirmaciones, basándose en su juicio profesional; (Ref: Apartado A165).
(b) La identificación de las aplicaciones de TI y otros aspectos del entorno de TI que están sujetos a riesgos derivados de la utilización de TI basándose en los controles identificados en (a); (Ref: Apartados A166‒A172).
(c) Para dichas aplicaciones de TI y otros aspectos del entorno de TI identificados en (b), la identificación de: (Ref: Apartados A173‒A174).
(i) Los riesgos derivados de la utilización de TI; y
(ii) Los controles generales de TI de la entidad que responden directamente a dichos riesgos; y
(d) Para cada uno de los controles identificados en los apartados (a) o (c)(ii): (Ref: Apartados A175‒A181).
(i) La evaluación de si el control está diseñado eficazmente para responder al riesgo de incorrección material en las afirmaciones o si está diseñado eficazmente para sustentar el funcionamiento de otros controles; y
(ii) La determinación de si el control ha sido implementado aplicando procedimientos además de indagar ante el personal de la entidad.
Deficiencias de control en el sistema de control interno de la entidad.
27. Basándose en su evaluación de cada uno de los componentes del sistema de control interno de la entidad, el auditor determinará si se han identificado una o más deficiencias de control. (Ref: Apartados A182–A183).
Identificación y valoración del riesgo de incorrección material (Ref: Apartados A184-A185).
Identificación de los riesgos de incorrección material.
28. El auditor identificará los riesgos de incorrección material y determinará si existen: (Ref: Apartados A186–A192).
(a) En los estados financieros (Ref: Apartados A193-A200) o
(b) En las afirmaciones sobre determinados tipos de transacciones saldos contables e información a revelar. (Ref: Apartado A201).
29. El auditor determinará las afirmaciones relevantes y los correspondientes tipos de transacciones, saldos contables e información a revelar. (Ref: Apartados A202-A204).
Valoración de los riesgos de incorrección material en los estados financieros.
30. Para los riesgos identificados de incorrección material en los estados financieros, el auditor valorará los riesgos y: (Ref: Apartados A193-A200).
(a) Determinará si dichos riesgos afectan a la valoración de riesgos en las afirmaciones y
(b) Evaluará la naturaleza y extensión de su efecto generalizado sobre los estados financieros.
Valoración de los riesgos de incorrección material en las afirmaciones.
Valoración del riesgo inherente (Ref: Apartados A205-A217).
31. Para los riesgos identificados de incorrección material en las afirmaciones, el auditor valorará el riesgo inherente valorando la probabilidad de ocurrencia y la magnitud de la incorrección. Al hacerlo, el auditor tendrá en cuenta el modo y el grado en que:
(a) Los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones relevantes a incorrección; y
(b) Los riesgos de incorrección material en los estados financieros afectan a la valoración del riesgo inherente en el caso de riesgos de incorrección material en las afirmaciones. (Ref: Apartados A215‒A216).
32. El auditor determinará si alguno de los riesgos de incorrección material valorados es un riesgo significativo. (Ref: Apartados A218-A221).
33. El auditor determinará si los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada con respecto a alguno de los riesgos valorados de incorrección material en las afirmaciones. (Ref: Apartados A222-A225).
Valoración del riesgo de control.
34. Si el auditor tiene previsto comprobar la eficacia operativa de los controles, deberá valorar el riesgo de control. Si el auditor no tiene previsto comprobar la eficacia operativa de los controles, su valoración del riesgo de control deberá ser tal que la valoración del riesgo de incorrección material sea la misma que la valoración del riesgo inherente. (Ref: Apartados A226-A229).
Evaluación de la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo.
35. El auditor evaluará si la evidencia obtenida de los procedimientos de valoración del riesgo proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material. En caso contrario, el auditor aplicará procedimientos de valoración del riesgo adicionales hasta obtener evidencia de auditoría que proporcione dicha base adecuada. En la identificación y valoración de los riesgos de incorrección material, el auditor tendrá en cuenta toda la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo, tanto si corrobora como si contradice las afirmaciones de la dirección. (Ref: Apartados A230-A232).
Tipos de transacciones, saldos contables e información a revelar que no son significativos pero si son materiales.
36. En el caso de tipos de transacciones, saldos contables o información a revelar materiales que no se han considerado tipos de transacciones, saldos contables o información a revelar significativos, el auditor evaluará si su determinación continúa siendo adecuada. (Ref: Apartados A233-A235).
Revisión de la valoración del riesgo.
37. Si el auditor obtiene nueva información que es incongruente con la evidencia de auditoría sobre la que el auditor basó inicialmente la identificación o las valoraciones de los riesgos de incorrección material, el auditor revisará la identificación o la valoración. (Ref: Apartados A236).
Documentación.
38. El auditor incluirá en la documentación de auditoría(13): (Ref: Apartados A237-A241).
(13) NIA 230, Documentación de auditoría, apartados 8-11 y A6–A7
(a) Los resultados de la discusión entre los miembros del equipo del encargo, así como las decisiones significativas que se tomaron;
(b) los elementos clave del conocimiento del auditor de conformidad con los apartados 19, 21, 22, 24 y 25; las fuentes de información de las que el auditor obtuvo ese conocimiento y los procedimientos de valoración del riesgo aplicados;
(c) la evaluación del diseño de los controles identificados y la determinación de si dichos controles han sido implementados, de conformidad con los requerimientos del apartado 26; y
(d) los riesgos de incorrección material en los estados financieros y en las afirmaciones identificados y valorados, incluidos los riesgos significativos y los riesgos para los cuales los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada, y el fundamento de los juicios significativos aplicados.
Guía de aplicación y otras anotaciones explicativas
Definiciones (Ref: Apartado 12).
Afirmaciones [Ref: Apartado 12(a)].
A1. Al identificar, valorar y responder a los riesgos de incorrección material, los auditores utilizan categorías de afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir. Algunos ejemplos de esas categorías de afirmaciones se describen en el apartado A190. Las afirmaciones son distintas de las manifestaciones escritas requeridas por la NIA 580(14) para confirmar determinadas cuestiones o sustentar otra evidencia de auditoría.
(14) NIA 580, Manifestaciones escritas.
Controles [Ref: Apartado 12(c)].
A2. Los controles están integrados en los componentes del sistema de control interno de la entidad.
A3. Las políticas son implementadas a través de las actuaciones del personal dentro de la entidad o a través de restricciones que impiden al personal llevar a cabo actuaciones que entrarían en conflicto con esas políticas.
A4. Los procedimientos pueden ser exigidos mediante documentación formal u otra comunicación de la dirección o de los responsables del gobierno de la entidad, o pueden ser el resultado de comportamientos que no se exigen, sino que están condicionados por la cultura de la entidad. Los procedimientos se pueden aplicar mediante actuaciones permitidas por las aplicaciones de TI utilizadas por la entidad o por otros aspectos de su entorno de TI.
A5. Los controles pueden ser directos o indirectos. Los controles directos son controles lo suficientemente precisos para responder a riesgos de incorrección material en las afirmaciones. Los controles indirectos son controles que sustentan los controles directos.
Controles de procesamiento de la información [Ref: Apartado 12(e)].
A6. Los riesgos para la integridad de la información se originan por la susceptibilidad a una implementación ineficaz de las políticas de información de la entidad, que son políticas que definen los flujos de información, los registros y los procesos de información del sistema de información de la entidad. Los controles de procesamiento de la información son procedimientos que sustentan la implementación eficaz de las políticas de información de la entidad. Los controles de procesamiento de la información pueden estar automatizados (es decir, incorporados en las aplicaciones de TI) o ser manuales (por ejemplo, controles de entrada o salida) y pueden depender de otros controles, incluidos otros controles de procesamiento de la información o en controles generales de TI.
Factores de riesgo inherente [Ref: Apartado 12(f)].
El Anexo 2 contiene consideraciones adicionales relativas a la obtención de conocimiento de los factores de riesgo inherente.
A7. Los factores de riesgo inherente pueden ser cualitativos o cuantitativos y afectar a la susceptibilidad de las afirmaciones a incorrección. Los factores de riesgo inherente cualitativos relativos a la preparación de información requerida por el marco de información financiera aplicable incluyen:
– Complejidad;
– Subjetividad;
– Cambio;
– Incertidumbre o
– Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afecten al riesgo inherente.
A8. Otros factores de riesgo inherente, que afectan a la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable o revelación de información a incorrección pueden incluir:
– La significatividad cuantitativa o cualitativa del tipo de transacción, del saldo contable o de la información a revelar;
– El volumen o la falta de uniformidad en la composición de los elementos que deben ser procesados a través del tipo de transacción o saldo contable, o reflejado en la información a revelar.
Afirmaciones relevantes [Ref: Apartado 12(h)].
A9. Un riesgo de incorrección material puede estar relacionado con más de una afirmación, en cuyo caso, todas las afirmaciones con las que se relaciona dicho riesgo son afirmaciones relevantes. Si una afirmación no tiene un riesgo identificado de incorrección material, no se trata de una afirmación relevante.
Riesgo significativo [Ref: Apartado 12(l)].
A10. La significatividad se puede describir como la importancia relativa de una cuestión y el auditor la juzga en el contexto en la que se está considerando. Para el riesgo inherente, la significatividad se puede considerar en el contexto de cómo y en qué grado los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección material y a la magnitud de la incorrección potencial si existe.
Procedimientos de valoración del riesgo y actividades relacionadas (Ref: Apartado 13-18).
A11. Los riesgos de incorrección material que deben ser identificados y valorados incluyen tanto los que se deben a fraude como los debidos a error, y ambos se tratan en la presente NIA. Sin embargo, la significatividad del fraude es tal, que la NIA 240 incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información con el fin de identificar y valorar los riesgos de incorrección material debida a fraude(15). Además, las siguientes NIA proporcionan requerimientos y orientaciones adicionales sobre la identificación y valoración de riesgos de incorrección material con respecto a cuestiones o circunstancias específicas:
(15) NIA 240, apartados 12-27.
– NIA 540 (Revisada)(16) en relación con las estimaciones contables;
(16) NIA 540 (Revisada), Auditoría de estimaciones contables y de la correspondiente información a revelar.
– NIA 550(17) en referencia con las relaciones y transacciones con partes vinculadas;
(17) NIA 550 Partes vinculadas.
– NIA 570 (Revisada)(18) en relación con la empresa en funcionamiento y
(18) NIA 570 (Revisada), Empresa en funcionamiento.
– NIA 600(19) en relación con los estados financieros de grupos.
(19) NIA 600, Consideraciones especiales – Auditorías de estados financieros de grupos (incluido el trabajo de los auditores de los componentes).
A12. El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría obtenida al aplicar los procedimientos de valoración del riesgo y ayuda al auditor a estar alerta a evidencia de auditoría que no esté sesgada hacia la corroboración de la existencia de riesgos o que pueda ser contradictoria a la existencia de riesgos. El escepticismo profesional es una actitud aplicada por el auditor en la formulación de juicios profesionales que, a continuación, proporciona una base para sus actuaciones. El auditor aplica el juicio profesional para determinar cuándo tiene evidencia de auditoría que proporciona un fundamento adecuado para la valoración del riesgo.
A13. La aplicación de escepticismo profesional por el auditor puede incluir:
– Cuestionar información contradictoria y la fiabilidad de los documentos;
– Considerar las respuestas a indagaciones, así como otra información, obtenidas de la dirección y de los responsables del gobierno de la entidad;
– Prestar una especial atención a las circunstancias que puedan ser indicativas de posible incorrección debida a fraude o error; y
– Considerar si la evidencia de auditoría obtenida sustenta la identificación y valoración de los riesgos de incorrección material teniendo en cuenta la naturaleza y las circunstancias de la entidad.
Por qué es importante obtener evidencia de auditoría de un modo libre de sesgo (Ref: Apartado 13).
A14. Diseñar y aplicar procedimientos de valoración del riesgo con el fin de obtener evidencia de auditoría para sustentar la identificación y valoración de los riesgos de incorrección material de un modo libre de sesgo puede ayudar al auditor en la identificación de información potencialmente contradictoria, lo cual le puede ayudar en la aplicación de escepticismo profesional al identificar y valorar los riesgos de incorrección material.
Fuentes de evidencia de auditoría (Ref: Apartado 13).
A15. Diseñar y aplicar procedimientos de valoración del riesgo para la obtención de evidencia de auditoría de un modo libre de sesgo puede implicar obtener evidencia de múltiples fuentes tanto internas como externas a la entidad. Sin embargo, no se exige que el auditor realice una búsqueda exhaustiva para identificar todas las posibles fuentes de evidencia de auditoría. Algunas fuentes de información para procedimientos de valoración del riesgo, además de la información procedente de otras fuentes(20), pueden incluir:
(20) Véanse los apartados A37 y A38.
– Interacciones con la dirección, con los responsables del gobierno de la entidad y con otro personal clave de la entidad, como los auditores internos.
– Algunos terceros como autoridades reguladoras, obtenida tanto directa como indirectamente.
– Información a disposición del público acerca de la entidad, por ejemplo, notas de prensa emitidas por la entidad, documentación para analistas o reuniones de grupos de inversores, informes de analistas o información sobre actividades comerciales.
Independientemente de la fuente de información, el auditor considera la relevancia y la fiabilidad de la información que se utilizará como evidencia de auditoría de conformidad con la NIA 500(21).
(21) NIA 500, Evidencia de auditoría, apartado 7.
Graduación (Ref: Apartado 13).
A16. La naturaleza y la extensión de los procedimientos de valoración del riesgo varían en función de la naturaleza y las circunstancias de la entidad (por ejemplo, el grado de formalización de sus políticas y procedimientos, así como de sus procesos y sistemas). El auditor aplica su juicio profesional para determinar la naturaleza y extensión de los procedimientos de valoración del riesgo que debe aplicar para cumplir los requerimientos de esta NIA.
A17. Aunque el grado de formalización de las políticas y procedimientos, así como de los procesos y sistemas de una entidad pueden variar, se requiere que el auditor obtenga el conocimiento de conformidad con los apartados 19, 21, 22, 24, 25 y 26.
Ejemplos:
Algunas entidades, incluidas las entidades menos complejas y, en especial, las entidades dirigidas por el propietario, pueden no haber establecido procesos y sistemas estructurados (por ejemplo, un proceso de valoración del riesgo o un proceso para el seguimiento del sistema de control interno) o pueden haber establecido procesos o sistemas con una documentación limitada o una falta de congruencia en el modo en que se realizan. Cuando dichos sistemas y procesos no están formalizados, el auditor puede todavía aplicar procedimientos de valoración del riesgo mediante la observación e indagación.
Se espera que otras entidades, habitualmente entidades más complejas, tengan políticas y procedimientos más formales y documentados. El auditor puede utilizar dicha documentación para la aplicación de procedimientos de valoración del riesgo.
A18. Es posible que la naturaleza y extensión de los procedimientos de valoración del riesgo a aplicar la primera vez que se realiza un encargo sea más extensa que los procedimientos para un encargo recurrente. En periodos subsiguientes, el auditor se puede centrar en cambios que han ocurrido desde el periodo anterior.
Tipos de procedimientos de valoración del riesgo (Ref: Apartado 14).
A19. La NIA 500(22) explica los tipos de procedimientos de auditoría que se pueden aplicar para la obtención de evidencia de auditoría de procedimientos de valoración del riesgo y de procedimientos posteriores de auditoría. La naturaleza, el momento de realización y la extensión de los procedimientos de auditoría pueden verse afectados por el hecho de que algunos de los datos contables y otra información estén disponibles sólo en formato electrónico o sólo en algunos momentos(23) determinados. El auditor puede aplicar procedimientos sustantivos o pruebas de controles, de conformidad con la NIA 330, junto con procedimientos de valoración del riesgo cuando resulte eficiente hacerlo. Es posible que la evidencia de auditoría que sustenta la identificación y valoración de riesgos de incorrección material sustente asimismo la detección de incorrecciones materiales en las afirmaciones o la evaluación de la eficacia operativa de los controles.
(22) NIA 500, apartados A14-A17 y A21-A25.
(23) NIA 500, apartado A12.
A20. Si bien se requiere que el auditor aplique todos los procedimientos de valoración del riesgo descritos en el apartado 14 para la obtención del conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (véanse los apartados 19-26), no se requiere que el auditor aplique todos ellos para cada aspecto de dicho conocimiento. Se pueden aplicar otros procedimientos cuando la información que se va a obtener pueda ser útil para la identificación de riesgos de incorrección material. Algunos ejemplos de esos procedimientos pueden incluir la realización de indagaciones ante los asesores jurídicos externos o los supervisores externos o ante los expertos en valoraciones a los que la entidad haya acudido.
Herramientas y técnicas automatizadas (Ref: Apartado 14).
A21. Mediante la utilización de herramientas y técnicas automatizadas, el auditor puede aplicar procedimientos de valoración del riesgo a un gran volumen de datos (del mayor, de los libros auxiliares o de otros datos operacionales) incluidos procedimientos de análisis, recálculos, reejecución o conciliaciones.
Indagaciones ante la dirección y ante otras personas de la entidad [Ref: Apartado 14(a)].
Por qué se realizan indagaciones ante la dirección y ante otras personas de la entidad.
A22. La información obtenida por el auditor para sustentar unas bases adecuadas para la identificación y valoración de riesgos y el diseño de procedimientos posteriores de auditoría se puede obtener mediante indagaciones ante la dirección y ante los responsables de la información financiera de la entidad.
A23. Las indagaciones ante la dirección y los responsables de la información financiera y ante las personas adecuadas de la entidad y otros empleados con diferentes niveles de autoridad pueden facilitar al auditor perspectivas diferentes cuando identifica y valora riesgos de incorrección material.
Ejemplos:
– Las indagaciones dirigidas a los responsables del gobierno de la entidad pueden ayudar al auditor a conocer la extensión de la supervisión por los responsables del gobierno de la entidad sobre la preparación de los estados financieros por la dirección. La NIA 260 (Revisada)(24) subraya la importancia de una comunicación recíproca eficaz que ayude al auditor en la obtención de información de los responsables del gobierno de la entidad a este respecto.
(24) NIA 260 (Revisada), Comunicación con los responsables del gobierno de la entidad, apartado 4(b)
– Las indagaciones ante empleados responsables de la puesta en marcha, procesamiento o registro de transacciones complejas o inusuales pueden ayudar al auditor a evaluar la adecuación de la selección y aplicación de ciertas políticas contables.
– Las indagaciones dirigidas a los asesores jurídicos internos pueden proporcionar información acerca de cuestiones tales como litigios, cumplimiento de las disposiciones legales y reglamentarias, conocimiento de fraude o de indicios de fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos (tales como negocios conjuntos) con socios comerciales y el significado de términos contractuales.
– Las indagaciones dirigidas al personal de los departamentos comerciales o de ventas pueden proporcionar información acerca de los cambios en las estrategias comerciales de la entidad, tendencias de las ventas, o acuerdos contractuales con los clientes.
– Las indagaciones dirigidas a la función de gestión del riesgo (o ante los que desempeñan esa función) pueden proporcionar información acerca de los riesgos operativos y normativos que pueden afectar a la información financiera.
– Las indagaciones dirigidas al personal de TI pueden proporcionar información acerca de cambios en sistemas, fallos de sistemas o de controles u otros riesgos relacionados con la TI.
Consideraciones específicas para entidades del sector público.
A24. Apartado suprimido.
Indagaciones ante la función de auditoría interna.
El Anexo 4 contiene consideraciones para el conocimiento de la función de auditoría interna de una entidad.
Por qué se realizan indagaciones ante la función de auditoría interna (si existe dicha función).
A25. En el caso de que la entidad disponga de una función de auditoría interna, las indagaciones ante las personas adecuadas pertenecientes a esa función pueden ayudar al auditor en el conocimiento de la entidad y su entorno y el sistema de control interno de la entidad para la identificación y valoración de riesgos.
Consideraciones específicas para entidades del sector público.
A26. Apartado suprimido.
Procedimientos analíticos [Ref: Apartado 14(b)].
Por qué se aplican procedimientos analíticos como procedimiento de valoración del riesgo.
A27. Los procedimientos analíticos ayudan a la identificación de incongruencias, transacciones o hechos inusuales, así como de cantidades, ratios y tendencias que pueden poner de manifiesto cuestiones que tengan implicaciones para la auditoría. Las relaciones inusuales o inesperadas que se identifiquen pueden ayudar al auditor en la identificación de riesgos de incorrección material, especialmente los debidos a fraude.
A28. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden, por tanto, ayudar en la identificación y valoración de los riesgos de incorrección material mediante la identificación de aspectos de la entidad que el auditor no conocía o el conocimiento del modo en que los factores de riesgo inherente, tal como el cambio, afectan a la susceptibilidad de las afirmaciones a incorrección.
Tipos de procedimientos analíticos.
A29. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden:
– Incluir información tanto financiera como no financiera, como, por ejemplo, la relación entre las ventas y la superficie destinada a las ventas o el volumen de los productos vendidos (no financiera).
– Utilizar datos con un elevado grado de agregación. En consecuencia, los resultados de esos procedimientos analíticos pueden proporcionar una indicación general inicial sobre la probabilidad de que exista una incorrección material.
Ejemplo:
En la auditoría de muchas entidades, incluidas aquellas con modelos de negocio y procesos menos complejos y un sistema de información menos complejo, el auditor puede realizar una sencilla comparación de información, como, por ejemplo, el cambio en saldos contables intermedios o mensuales con respecto a los saldos de periodos anteriores para obtener una indicación de áreas potencialmente de mayor riesgo.
A30. Esta NIA trata del uso por el auditor de procedimientos analíticos como procedimientos de valoración del riesgo. La NIA 520(25) trata del uso por el auditor de procedimientos analíticos como procedimientos sustantivos («procedimientos analíticos sustantivos») y de la responsabilidad del auditor de aplicar procedimientos analíticos en una fecha cercana a la finalización de la auditoría. En consecuencia, no se requiere que la aplicación de procedimientos analíticos empleados como procedimientos de valoración del riesgo se realice de conformidad con los requerimientos de la NIA 520. Sin embargo, los requerimientos y guía de aplicación adicionales de la NIA 520 pueden proporcionar al auditor una orientación útil en la aplicación de procedimientos analíticos empleados como procedimientos de valoración del riesgo.
(25) NIA 520, Procedimientos analíticos
Herramientas y técnicas automatizadas.
A31. Los procedimientos analíticos se pueden aplicar utilizando determinadas herramientas y técnicas que pueden ser automatizadas. La aplicación de procedimientos analíticos automatizados a los datos se puede denominar análisis de datos.
Ejemplo:
El auditor puede utilizar una hoja de cálculo para realizar una comparación de importes reales registrados con importes presupuestados, o puede aplicar un procedimiento más avanzado, extrayendo datos del sistema de información de la entidad y analizando posteriormente esos datos utilizando técnicas de visualización para identificar tipos de transacciones, saldos contables o información a revelar que pueden justificar procedimientos específicos de valoración del riesgo.
Observación e inspección [Ref: Apartado 14(c)].
Por qué se realizan la observación e inspección como procedimientos de valoración del riesgo.
A32. La observación y la inspección pueden sustentar, corroborar o contradecir las indagaciones ante la dirección y ante otras personas, y pueden asimismo proporcionar información acerca de la entidad y de su entorno.
Graduación.
A33. Cuando las políticas y procedimientos no están documentados, o la entidad tiene controles menos formales, es posible que el auditor aún pueda obtener alguna evidencia de auditoría que sustente la identificación y valoración de los riesgos de incorrección material mediante la observación o inspección de la realización del control.
Ejemplos:
– El auditor puede obtener conocimiento de los controles en un recuento de existencias, incluso si no han sido documentados por la entidad, mediante la observación directa.
– El auditor puede observar la segregación de funciones.
– El auditor puede observar cómo se introducen las contraseñas.
Observación e inspección como procedimientos de valoración del riesgo.
A34. Los procedimientos de valoración del riesgo pueden incluir la observación o inspección de:
– Las operaciones de la entidad.
– Documentos internos (como planes y estrategias de negocio), registros y manuales de control interno.
– Informes preparados por la dirección (como, por ejemplo, informes de gestión trimestrales y estados financieros intermedios) y por los responsables del gobierno de la entidad (como, por ejemplo, actas de las reuniones del consejo de administración).
– Los locales e instalaciones industriales de la entidad.
– La información obtenida de fuentes externas como revistas de negocios y económicas; informes de analistas, bancos o de agencias de calificación; publicaciones normativas o financieras; u otros documentos externos acerca de los resultados de la entidad (como los que se mencionan en el apartado A79).
– Los comportamientos y actuaciones de la dirección o de los responsables del gobierno de la entidad (como la observación de una reunión del comité de auditoría).
Herramientas y técnicas automatizadas.
A35. Las herramientas y técnicas automatizadas también se pueden utilizar para observar o inspeccionar, en especial activos, por ejemplo, mediante el uso de herramientas de observación remota (por ejemplo, un dron).
Consideraciones específicas para entidades del sector público.
A36. Apartado suprimido.
Información procedente de otras fuentes (Ref: Apartado 15).
Por qué el auditor tiene en cuenta información procedente de otras fuentes.
A37. La información obtenida de otras fuentes puede ser relevante para la identificación y valoración de los riesgos de incorrección material proporcionando información y perspectiva sobre:
– La naturaleza de la entidad y sus riesgos de negocio y los cambios que se pueden haber producido con respecto a periodos anteriores.
– La integridad y los valores éticos de la dirección y de los responsables del gobierno de la entidad, que también pueden ser relevantes para el conocimiento del entorno de control por el auditor.
– El marco de información financiera aplicable y su aplicación a la naturaleza y las circunstancias de la entidad.
Otras fuentes relevantes.
A38. Otras fuentes de información relevantes incluyen:
– Los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o el encargo de auditoría de conformidad con la NIA 220, incluidas las conclusiones alcanzadas al respecto(26).
(26) NIA 220, Control de calidad de la auditoría de estados financieros, apartado 12.
– Otros encargos realizados por el socio del encargo para la entidad. Es posible que el socio del encargo haya obtenido conocimiento relevante para la auditoría, incluido conocimiento sobre la entidad y su entorno, al realizar otros encargos para la entidad. Dichos encargos pueden incluir encargos de procedimientos acordados u otros encargos de auditoría o de aseguramiento, incluidos trabajos para responder a requerimientos adicionales de información en la jurisdicción.
Información obtenida de la experiencia anterior con la entidad y de auditorías anteriores (Ref: Apartado 16).
Por qué la información de auditorías anteriores es importante para la auditoría actual.
A39. La experiencia previa del auditor con la entidad y la de los procedimientos de auditoría aplicados en auditorías anteriores le pueden proporcionar información relevante para la determinación de la naturaleza y extensión de los procedimientos de valoración del riesgo y la identificación y valoración de los riesgos de incorrección material.
Naturaleza de la información de auditorías anteriores.
A40. La experiencia previa del auditor con la entidad y los procedimientos de auditoría aplicados en auditorías anteriores pueden proporcionar al auditor información sobre cuestiones como:
– Incorrecciones pasadas y si fueron oportunamente corregidas.
– La naturaleza de la entidad y su entorno, y el sistema de control interno de la entidad (incluidas las deficiencias de control).
– Cambios significativos que pueden haberse producido en la entidad o en sus operaciones desde el periodo anterior.
– Aquellos tipos específicos de transacciones y otros hechos o saldos contables (y la correspondiente información a revelar) para los que el auditor experimentó dificultades en la aplicación de los procedimientos de auditoría necesarios, por ejemplo, debido a su complejidad.
A41. Si el auditor tiene intención de utilizar esa información para los fines de la auditoría actual, se requiere que determine si la información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores sigue siendo relevante y fiable. Si han cambiado la naturaleza o las circunstanciad de la entidad, o se ha obtenido nueva información, es posible que la información de periodos anteriores no siga siendo relevante o fiable para la auditoría actual. Con el fin de determinar si se han producido cambios que puedan afectar a la relevancia y fiabilidad de dicha información, el auditor puede realizar indagaciones y aplicar otros procedimientos de auditoría adecuados, tales como la comprobación paso a paso de sistemas relevantes. Si la información no es fiable, el auditor puede considerar aplicar procedimientos adicionales que sean adecuados en función de las circunstancias.
Discusión por el equipo del encargo (Ref: Apartados 17-18).
Por qué se requiere que el equipo del encargo discuta la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material.
A42. La discusión entre los miembros del equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material:
– Proporciona una oportunidad a los miembros del equipo del encargo con más experiencia, incluido el socio del encargo, de compartir su información basada en su conocimiento de la entidad. Compartir información contribuye a mejorar el conocimiento de todos los miembros del equipo del encargo.
– Permite a los miembros del equipo del encargo intercambiar información sobre los riesgos de negocio a los que está sometida la entidad, sobre el modo en que los factores de riesgo inherente pueden afectar a la susceptibilidad de incorrección de los tipos de transacciones, saldos contables e información a revelar, así como sobre el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude o error y sobre su posible localización.
– Ayuda a los miembros del equipo del encargo en la obtención de un mejor conocimiento de la posibilidad de que los estados financieros contengan una incorrección material en el área específica que les ha sido asignada, así como la comprensión de la manera en que los resultados de los procedimientos de auditoría aplicados por ellos pueden afectar a otros aspectos de la auditoría, incluidas las decisiones sobre la naturaleza, el momento de realización y la extensión de procedimientos posteriores de auditoría. En especial, la discusión ayuda a los miembros del equipo del encargo a considerar en mayor medida información contradictoria basada en el conocimiento de cada uno de los miembros acerca de la naturaleza y las circunstancias de la entidad.
– Proporciona una base para que los miembros del equipo del encargo se comuniquen y compartan nueva información, obtenida en el curso de la auditoría, que puede afectar a la valoración del riesgo de incorrección material o a los procedimientos de auditoría realizados para responder a dichos riesgos.
La NIA 240 requiere que la discusión por el equipo del encargo ponga un énfasis especial en el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude y las partidas a las que puede afectar, incluida la forma en que podría producirse el fraude(27).
(27) NIA 240, apartado 16.
A43. El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría y una discusión por el equipo del encargo sólida y abierta, incluido para auditorías recurrentes, puede conducir a una mejor identificación y valoración de los riesgos de incorrección material. Otro resultado de la discusión puede ser que el auditor identifique áreas específicas de la auditoría para las que puede ser especialmente importante aplicar el escepticismo profesional y puede llevar a la participación de miembros del equipo del encargo con mayor experiencia y la cualificación adecuada para participar en la aplicación de procedimientos de auditoría relacionados con esas áreas.
Graduación.
A44. Cuando el encargo es realizado por una sola persona, como un profesional ejerciente individual (es decir, cuando no sería posible una discusión por el equipo del encargo), considerar las cuestiones mencionadas en los apartados A42 y A46 puede, sin embargo, ayudar al auditor a identificar dónde puede haber riesgos de incorrección material.
A45. Cuando el encargo es realizado por un equipo del encargo numeroso, como en el caso de la auditoría de los estados financieros de un grupo, no siempre es necesario o práctico que participen todos los miembros en una misma discusión (como, por ejemplo, en el caso de una auditoría en múltiples ubicaciones), ni es necesario que todos los miembros del equipo del encargo estén informados de todas las decisiones que se tomen en la discusión. El socio del encargo puede discutir las cuestiones con miembros clave del equipo del encargo, incluidos, si se considera adecuado, aquéllos con cualificaciones o conocimientos específicos y los responsables de las auditorías de los componentes, delegando la discusión con otros miembros, teniendo en cuenta la extensión de la comunicación a la totalidad del equipo del encargo que se considera necesaria. Puede ser útil un plan de comunicaciones acordado por el socio del encargo.
Discusión sobre la información a revelar del marco de información financiera aplicable.
A46. Como parte de la discusión entre los miembros del equipo del encargo, la consideración de los requerimientos de información a revelar del marco de información financiera aplicable ayuda en la identificación, al inicio de la auditoría, de dónde puede haber riesgos de incorrección material en relación con la información a revelar, incluso en casos en los que el marco de información financiera aplicable sólo requiere información a revelar simplificada. Algunas de las cuestiones que puede discutir el equipo del encargo incluyen:
– Cambios en los requerimientos de información financiera que pueden producir información a revelar significativa nueva o revisada;
– cambios en el entorno, en la situación financiera o en las actividades de la entidad que pueden tener como resultado información a revelar significativa nueva o revisada, por ejemplo, una combinación de negocios significativa en el periodo objeto de auditoría;
– información a revelar para la cual ha podido ser difícil en el pasado obtener evidencia de auditoría suficiente y adecuada;
– información a revelar sobre cuestiones complejas, incluidas las que requieren juicios significativos de la dirección acerca de la información a revelar.
Consideraciones específicas para entidades del sector público.
A47. Apartado suprimido.
Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (Ref: Apartados 19‒27).
Los Anexos 1 a 6 contienen consideraciones adicionales en relación con la obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad.
Obtención del conocimiento requerido (Ref: Apartados 19‒27).
A48. La obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno es un proceso dinámico e iterativo de recopilación, actualización y análisis de información durante toda la auditoría. En consecuencia, las expectativas del auditor pueden cambiar a medida que se obtiene nueva información.
A49. El conocimiento del auditor de la entidad y su entorno y del marco de información financiera aplicable también puede ayudarle en el desarrollo de expectativas iniciales sobre los tipos de transacciones, saldos contables e información a revelar que puedan ser tipos de transacciones, saldos contables e información a revelar significativos. Estos tipos de transacciones, saldos contables e información a revelar que se esperan significativos constituyen las bases del alcance del conocimiento del auditor del sistema de información de la entidad.
Por qué se requiere la obtención de conocimiento de la entidad y su entorno y del marco de información financiera aplicable (Ref: Apartados 19‒20).
A50. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable le ayuda en la comprensión de los hechos y condiciones que son relevantes para la entidad y en la identificación del modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros, de conformidad con el marco de información financiera aplicable, y el grado en que lo hacen. Dicha información constituye un marco de referencia dentro del cual el auditor identifica y valora los riesgos de incorrección material. Este marco de referencia también ayuda al auditor a planificar la auditoría y aplicar su juicio y escepticismo profesionales durante toda la auditoría, por ejemplo:
– En la identificación y valoración de los riesgos de incorrección material en los estados financieros de conformidad con la NIA 315 (Revisada 2019) u otras normas aplicables [por ejemplo, las relacionadas con los riesgos de fraude de conformidad con la NIA 240 o al identificar y valorar riesgos relacionados con estimaciones contables de conformidad con la NIA 540 (Revisada)];
– En la aplicación de procedimientos que ayuden a identificar casos de incumplimiento de disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros de conformidad con la NIA250(28);
(28) NIA 250 (Revisada), Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros, apartado 14.
– En la evaluación de si los estados financieros proporcionan información a revelar adecuada de conformidad con la NIA 700 (Revisada)(29);
(29) NIA 700 (Revisada), Formación de la opinión y emisión del informe de auditoría sobre los estados financieros, apartado 13 (e).
– En la determinación de la importancia relativa para los estados financieros y para la ejecución del trabajo, de conformidad con la NIA 320(30); o
(30) NIA 320, Importancia relativa o materialidad en la planificación y ejecución de la auditoría, apartados 10-11.
– Al considerar lo adecuado de la selección y aplicación de políticas contables, así como de las revelaciones de información en los estados financieros.
A51. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable también está presente en el modo en que el auditor planifica y aplica procedimientos posteriores de auditoría, por ejemplo:
– En el desarrollo de expectativas para su utilización en la aplicación de procedimientos analíticos de conformidad con la NIA 520(31);
(31) NIA 520, apartado 5.
– En el diseño y aplicación de los procedimientos posteriores de auditoría con el fin de obtener evidencia de auditoría suficiente y adecuada de conformidad con la NIA 330; y
– En la evaluación de la suficiencia y adecuación de la evidencia de auditoría obtenida (por ejemplo, relativa a las hipótesis o a las manifestaciones verbales y escritas de la dirección).
Graduación.
A52. La naturaleza y la extensión del conocimiento que se requiere es una cuestión de juicio profesional del auditor y varía de una entidad a otra en función de la naturaleza y las circunstancias de la entidad, incluido:
– La dimensión y la complejidad de la entidad, incluido su entorno de TI;
– La experiencia previa del auditor con la entidad;
– La naturaleza de los sistemas y procesos de la entidad, incluido si están o no formalizados, y
– La naturaleza y forma de la documentación de la entidad.
A53. Los procedimientos de valoración del riesgo del auditor para obtener el conocimiento requerido pueden ser menos extensos en auditorías de entidades menos complejas y más extensos en el caso de entidades más complejas. Se espera que el grado de conocimiento que debe tener el auditor sea inferior al poseído por la dirección para dirigir la entidad.
A54. Algunos marcos de información financiera permiten que las entidades de pequeña dimensión proporcionen información a revelar más sencilla y menos detallada en los estados financieros. Sin embargo, esto no exime al auditor de la responsabilidad de obtener un conocimiento de la entidad y de su entorno y del modo en que es aplicable a la entidad el marco de información financiera.
A55. La utilización de TI y la naturaleza y extensión de cambios en el entorno de las TI pueden afectar también a las cualificaciones especializadas necesarias para ayudar en la obtención del conocimiento requerido.
La entidad y su entorno [Ref: Apartado 19(a)].
La estructura organizativa, de propiedad y de gobierno de la entidad, y su modelo de negocio [Ref: Apartado 19(a)(i)].
La estructura organizativa y de propiedad de la entidad.
A56. El conocimiento de la estructura organizativa y de propiedad de la entidad puede permitir al auditor comprender cuestiones como:
– La complejidad de la estructura de la entidad.
Ejemplo:
La entidad puede ser una entidad aislada o su estructura puede incluir filiales, divisiones u otros componentes en múltiples ubicaciones. Además, la estructura legal puede ser diferente de la estructura operativa. Las estructuras complejas a menudo introducen factores que pueden dar lugar a una mayor susceptibilidad de riesgos de incorrección material. Entre esas cuestiones están, por ejemplo, las relativas a la adecuada contabilización del fondo de comercio, de los negocios conjuntos, de las inversiones o de las entidades con cometido especial y si se han revelado adecuadamente dichas cuestiones en los estados financieros.
– La propiedad y las relaciones entre los propietarios y otras personas o entidades, incluidas las partes vinculadas. Dicho conocimiento puede ayudar en la determinación de si las transacciones con partes vinculadas han sido adecuadamente identificadas, contabilizadas y reveladas en los estados financieros(32).
(32) La NIA 550 establece requerimientos y proporciona orientaciones para las consideraciones del auditor relativas a las partes vinculadas.
– La distinción entre los propietarios, los responsables del gobierno de la entidad y la dirección.
Ejemplo:
En entidades menos complejas, sus propietarios pueden participar en la dirección de la entidad por lo que hay poca o ninguna distinción. Por el contrario, como en el caso de algunas entidades cotizadas, puede haber una distinción clara entre la dirección, los propietarios de la entidad y los responsables del gobierno(33).
(33) La NIA 260 (Revisada), apartados A1 y A2, proporciona orientaciones sobre la identificación de los responsables del gobierno y explica que, en algunos casos, es posible que todos o algunos de los responsables del gobierno participen en la dirección de la entidad.
– La estructura y la complejidad del entorno de TI de la entidad.
Ejemplos:
Una entidad:
– Puede tener, para distintas empresas, múltiples sistemas de TI heredados que no están bien integrados, lo que da lugar a un entorno de TI complejo.
– Puede estar empleando proveedores de servicios externos o internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos de TI en un grupo).
Herramientas y técnicas automatizadas.
A57. El auditor puede utilizar herramientas y técnicas automatizadas para entender los flujos de transacciones y su procesamiento como parte de sus procedimientos para conocer el sistema de información. Un resultado de esos procedimientos puede ser que el auditor obtenga información sobre la estructura organizativa de la entidad o sobre las personas con las que hace negocios (por ejemplo, proveedores, clientes, partes vinculadas).
Consideraciones específicas para entidades del sector público.
A58. Apartado suprimido.
Ejemplo:
Ejemplo suprimido.
Gobierno de la entidad.
Por qué el auditor obtiene conocimiento del gobierno de la entidad.
A59. Tener conocimiento del gobierno de la entidad puede ayudar al auditor a conocer la capacidad de la entidad de proporcionar una supervisión adecuada de su sistema de control interno. Sin embargo, este conocimiento también puede proporcionar evidencia de deficiencias que pueden indicar una mayor susceptibilidad de los estados financieros de la entidad a riesgos de incorrección material.
Conocimiento del gobierno de la entidad.
A60. Algunas cuestiones que el auditor puede considerar para obtener conocimiento del gobierno de la entidad incluyen:
– Si alguno o todos los responsables del gobierno de la entidad participan en su dirección.
– La existencia de un consejo no ejecutivo y, en su caso, su separación de la dirección ejecutiva.
– Si los responsables del gobierno de la entidad ocupan puestos que son parte integrante de la estructura legal de una entidad, como, por ejemplo, puestos de administradores.
– La existencia de subgrupos de responsables del gobierno de la entidad, como, por ejemplo, un comité de auditoría, y las responsabilidades de esos grupos.
– Las responsabilidades de los responsables del gobierno de la entidad en la supervisión de la información financiera, incluida la aprobación de los estados financieros.
El modelo de negocio de la entidad.
El Anexo 1 contiene consideraciones adicionales para la obtención de conocimiento de la entidad y de su modelo de negocio, así como consideraciones adicionales relativas a la auditoría de entidades con cometido especial.
Por qué el auditor obtiene conocimiento del modelo de negocio de la entidad.
A61. Conocer los objetivos, estrategia y modelo de negocio de la entidad ayuda al auditor a comprender la entidad en el ámbito estratégico y a comprender los riesgos de negocio que toma y a los que se enfrenta. El conocimiento de los riesgos de negocio que tienen un efecto en los estados financieros ayuda al auditor en la identificación de los riesgos de incorrección material, puesto que la mayor parte de los riesgos de negocio acaban teniendo consecuencias financieras y, por lo tanto, un efecto en los estados financieros.
Ejemplos:
El modelo de negocio puede confiar en la utilización de TI de diferentes maneras:
– La entidad vende zapatos en una tienda física y utiliza un sistema avanzado de registro de inventario y de puntos de venta para registrar la venta de zapatos; o
– La entidad vende zapatos por Internet por lo que todas las transacciones de ventas son procesadas en un entorno de TI, incluida el inicio de las transacciones a través de una página web.
Para estas dos entidades, los riesgos de negocio derivados de modelos de negocio significativamente distintos serían sustancialmente diferentes, a pesar de que ambas vendan zapatos.
Conocimiento del modelo de negocio de la entidad.
A62. No todos los aspectos del modelo de negocio son relevantes para el conocimiento del auditor. Los riesgos de negocio son más amplios que el riesgo de incorrección material en los estados financieros, aunque lo engloba. El auditor no tiene la responsabilidad de conocer o identificar todos los riesgos de negocio ya que no todos ellos dan lugar a riesgos de incorrección material.
A63. Algunos riesgos de negocio que incrementan la susceptibilidad de riesgos de incorrección material se pueden derivar de:
– Objetivos y estrategias inadecuados, una ejecución ineficaz de las estrategias o cambios o complejidad.
– No reconocer la necesidad de cambio también puede dar lugar a un riesgo de negocio, por ejemplo, por:
• El desarrollo de nuevos productos o servicios que pueden resultar fallidos;
• Un mercado que, incluso si ha sido desarrollado con éxito, es inadecuado para sustentar un producto o servicio; o
• Defectos en un producto o servicio que pueden producir responsabilidades legales y poner en riesgo la reputación.
– Incentivos y presiones sobre la dirección que pueden producir un sesgo intencionado o no de la dirección y, como resultado, afectar a la razonabilidad de hipótesis significativas y a las expectativas de la dirección o de los responsables del gobierno de la entidad.
A64. Como ejemplos de cuestiones que el auditor puede tener en cuenta para obtener conocimiento del modelo de negocio, los objetivos, las estrategias y los correspondientes riesgos de negocio de la entidad que puedan producir un riesgo de incorrección material en los estados financieros cabe citar los siguientes:
– Desarrollos sectoriales como la falta de personal o de la especialización necesaria para hacer frente a los cambios en el sector;
– Nuevos productos y servicios, lo que puede llevar a un incremento de responsabilidades ligadas a los productos;
– Expansión del negocio y que la demanda no haya sido estimada correctamente;
– Nuevos requerimientos contables cuando se ha producido una implementación incompleta o incorrecta;
– Requerimientos normativos que dan lugar a una mayor vulnerabilidad desde un punto de vista jurídico;
– Requerimientos de financiación actuales y prospectivos, tales como la pérdida de financiación debido a la incapacidad de la entidad de cumplir los requerimientos;
– La utilización de TI, como la implementación de un nuevo sistema de TI que afectará tanto a las operaciones como a la información financiera; o
– Los efectos de implementar una estrategia, en especial cualquier efecto que pueda dar lugar a nuevos requerimientos contables.
A65. Normalmente, la dirección identifica los riesgos de negocio y desarrolla enfoques para darles respuesta. Dicho proceso de valoración del riesgo es un componente del sistema de control interno de la entidad y se trata en el apartado 22 y en los apartados A109-A113.
Consideraciones específicas para entidades del sector público.
A66. Apartado suprimido.
A67. Apartado suprimido.
Factores sectoriales, normativos y otros factores externos [Re.: Apartado 19(a)(ii)].
Factores sectoriales.
A68. Los factores sectoriales relevantes incluyen las condiciones relativas al sector, tales como el entorno competitivo, las relaciones con proveedores y clientes y los avances tecnológicos. Algunas cuestiones que el auditor puede considerar son:
– El mercado y la competencia, incluida la demanda, la capacidad y la competencia en precios.
– Actividad cíclica o estacional.
– Tecnología productiva relativa a los productos de la entidad.
– Disponibilidad y coste de la energía.
A69. El sector en el que la entidad desarrolla su actividad puede dar lugar a riesgos específicos de incorrección material debidos a la naturaleza de los negocios o al grado de regulación.
Ejemplo:
En el sector de la construcción, los contratos a largo plazo pueden implicar estimaciones significativas de ingresos y gastos que den lugar a riesgos de incorrección material. En estos casos, es importante que el equipo del encargo incluya miembros con el conocimiento y la experiencia suficientes(34).
(34) NIA 220, apartado 14.
Factores normativos.
A70. Los factores normativos relevantes incluyen el entorno normativo. El entorno normativo comprende, entre otros, el marco de información financiera aplicable y el entorno legal y político y cualquier cambio que se haya producido en ellos. Algunas cuestiones que el auditor puede considerar son:
– Marco normativo en el caso de un sector regulado, por ejemplo, requerimientos prudenciales, incluido la correspondiente información a revelar.
– La legislación y normativa que afecten significativamente a las operaciones de la entidad, por ejemplo, disposiciones legales y reglamentarias laborales.
– Legislación y disposiciones reglamentarias fiscales.
– Políticas gubernamentales que afecten en la actualidad al desarrollo de la actividad de la entidad, tales como política monetaria, incluidos los controles de cambio, política fiscal, incentivos financieros (por ejemplo, programas de ayuda públicos), y políticas arancelarias o de restricción al comercio.
– Requerimientos medioambientales que afecten al sector y a la actividad de la entidad.
A71. La NIA 250 (Revisada) incluye algunos requerimientos específicos en relación con el marco normativo aplicable a la entidad y al sector en el que opera(35).
(35) NIA 250 (Revisada), apartado 13.
Consideraciones específicas para entidades del sector público.
A72. Apartado suprimido.
Otros factores externos.
A73. Otros factores externos que afectan a la entidad y que el auditor puede considerar incluyen las condiciones económicas generales, los tipos de interés y la disponibilidad de financiación, así como la inflación o la revaluación de la moneda.
Mediciones utilizadas por la dirección para evaluar el resultado financiero de la entidad [Ref: Apartado 19(a)(iii)].
Por qué el auditor debe conocer las mediciones utilizadas por la dirección.
A74. El conocimiento de las mediciones utilizadas por la entidad ayuda al auditor en la consideración de si esas mediciones, utilizadas tanto externa como internamente, generan presiones a la entidad para alcanzar los resultados previstos. Esas presiones pueden motivar a la dirección para llevar a cabo actuaciones que incrementen la susceptibilidad de incorrección debida a sesgo de la dirección o fraude (por ejemplo, para mejorar los resultados o preparar a sabiendas estados financieros con incorrecciones) (véase la NIA 240 en relación con los requerimientos y orientaciones sobre los riesgos de fraude).
A75. Las mediciones también pueden indicar al auditor la probabilidad de riesgos de incorrección material de información financiera relacionada. Por ejemplo, las mediciones de resultados pueden indicar que la entidad experimenta un rápido crecimiento o una rentabilidad inusuales en comparación con otras entidades del mismo sector.
Mediciones utilizadas por la dirección.
A76. Normalmente, la dirección y otras personas miden y revisan las cuestiones que consideran importantes. Las indagaciones ante la dirección pueden revelar que esta confía en algunos indicadores clave, tanto a disposición del público como no, para evaluar el resultado financiero y adoptar medidas. En esos casos, el auditor puede identificar mediciones del resultado relevantes, tanto internas como externas, considerando la información que emplea la dirección para gestionar su empresa. Si dicha indagación indica la ausencia de medición o revisión de resultados, puede haber un mayor riesgo de que las incorrecciones no sean detectadas y corregidas.
A77. Los indicadores clave para evaluar el resultado financiero pueden incluir:
– Indicadores clave de resultados (financieros y no financieros), así como ratios y tendencias clave y estadísticas de operaciones claves.
– Análisis comparativo del resultado financiero entre periodos.
– Presupuestos, pronósticos, análisis de desviaciones, información por segmentos, así como informes de resultados por divisiones, departamentos u otros niveles.
– Mediciones del desempeño de los empleados y políticas de incentivos.
– Comparación del resultado de una entidad con los de la competencia.
Graduación [Ref: Apartado 19(a) (iii)].
A78. Los procedimientos que se apliquen para conocer las mediciones de la entidad pueden variar dependiendo del tamaño o de la complejidad de la entidad, así como de la participación de los propietarios o de los responsables del gobierno de la entidad en la dirección de esta.
Ejemplos:
– En el caso de algunas entidades menos complejas, las condiciones de la financiación bancaria (es decir, clausulas bancarias) pueden estar ligadas a mediciones de resultado específicas relacionadas con el resultado o la situación financiera de la entidad (por ejemplo, un fondo de maniobra máximo). El conocimiento por el auditor de las mediciones del resultado utilizadas por el banco puede ayudar a identificar áreas en las que existe una mayor susceptibilidad de riesgo de incorrección material.
– En el caso de algunas entidades cuya naturaleza y circunstancias son más complejas, como las que operan en el sector asegurador o bancario, el resultado o la situación financiera se pueden medir utilizando requerimientos normativos (por ejemplo, requerimientos normativos sobre ratios tales como de capitalización o de liquidez que se deben alcanzar). El conocimiento por el auditor de estas mediciones del resultado le puede ayudar a identificar áreas en las que existe una mayor susceptibilidad de riesgo de incorrección material.
Otras consideraciones.
A79. Es posible que terceros revisen y analicen también el resultado de la entidad, en especial, en el caso de entidades cuya información financiera está a disposición del público. El auditor también puede tener en cuenta información a disposición del público como ayuda para obtener un mayor conocimiento del negocio o identificar información contradictoria como la procedente de:
– Analistas o agencias de calificación crediticia.
– Noticias y otros medios de comunicación, incluidas las redes sociales.
– Autoridades fiscales.
– Autoridades reguladoras.
– Sindicatos.
– Proveedores de financiación.
Dicha información financiera se puede, a menudo, obtener de la entidad auditada.
A80. La medición y revisión del resultado financiero no es lo mismo que el seguimiento del sistema de control interno (que se trata como componente del sistema de control interno en los apartados A114–A122), aunque sus propósitos se pueden solapar:
– La medición y revisión del resultado financiero tiene como finalidad comprobar si los resultados de la entidad cumplen los objetivos fijados por la dirección (o por terceros).
– Por el contrario, el seguimiento del sistema de control interno se ocupa de hacer un seguimiento de la eficacia de los controles incluidos los que están relacionados con la medición y revisión por la dirección de los resultados financieros.
Sin embargo, en algunos casos, los indicadores de resultados pueden proporcionar también información que permite a la dirección identificar deficiencias de control.
Consideraciones específicas para entidades del sector público.
A81. Apartado suprimido.
El marco de información financiera aplicable [Ref: Apartado 19(b)].
Conocimiento del marco de información financiera aplicable y de las políticas contables de la entidad.
A82. Algunas cuestiones que el auditor puede considerar para obtener conocimiento del marco de información financiera aplicable de la entidad y el modo en que se aplica en el contexto de la naturaleza y las circunstancias de la entidad y su entorno incluyen:
– Las prácticas contables de la entidad en referencia al marco de información financiera aplicable, tales como:
• Principios contables y prácticas sectoriales específicas, incluidos los relativos a los tipos de transacciones, saldos contables e información a revelar en los estados financieros que sean significativos en el sector (por ejemplo, préstamos e inversiones, en el caso del sector bancario, o investigación y desarrollo en la industria farmacéutica).
• Reconocimiento de ingresos.
• Contabilización de instrumentos financieros, incluidas las correspondientes pérdidas por insolvencias.
• Activos, pasivos y transacciones en moneda extranjera.
• Contabilización de transacciones inusuales o complejas incluidas aquéllas en áreas controvertidas o novedosas (por ejemplo, contabilización de criptomonedas).
– El conocimiento de la selección y aplicación de políticas contables, incluido cualquier cambio en ellas, así como los motivos de esos cambios, puede comprender cuestiones como:
• Los métodos utilizados por la entidad para reconocer, medir, presentar y revelar transacciones significativas e inusuales.
• El efecto de políticas contables significativas en áreas emergentes o controvertidas para las que hay una falta de orientaciones autorizadas o de consenso.
• Cambios en el entorno, tales como cambios en el marco de información financiera aplicable o reformas fiscales que pueden hacer necesario un cambio en las políticas contables de la entidad.
• Normas de información financiera y disposiciones legales y reglamentarias que son nuevas para la entidad, así como el modo y momento en que la entidad adoptará o cumplirá dichos requerimientos.
A83. La obtención de conocimiento de la entidad y su entorno puede ayudar al auditor a considerar si se pueden esperar cambios en la información financiera de la entidad (por ejemplo, con respecto a otros periodos).
Ejemplo:
Si una entidad ha sido parte de una combinación de negocios significativa durante el ejercicio, es probable que el auditor espere cambios en los tipos de transacciones, saldos contables o información a revelar relativos a dicha combinación de negocios. Por el contrario, si no se produjeron cambios significativos en el marco de información financiera durante el periodo, el conocimiento del auditor puede ayudar a confirmar que sigue siendo aplicable el conocimiento obtenido en el periodo anterior.
Consideraciones específicas para entidades del sector público.
A84. Apartado suprimido.
Modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección [Ref: Apartado 19(c)].
En el Anexo 2 figuran ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material, clasificados por factor de riesgo inherente.
Por qué el auditor conoce los factores de riesgo inherente al conocer la entidad y su entorno y el marco de información financiera aplicable.
A85. El conocimiento de la entidad y de su entorno y del marco de información financiera aplicable ayuda al auditor en la identificación de hechos o condiciones cuyas características pueden afectar a la susceptibilidad de las afirmaciones sobre tipos de transacciones, saldos contables o información a revelar a incorrección. Estas características son factores de riesgo inherente. Los factores de riesgo inherente pueden afectar a la susceptibilidad de las afirmaciones a incorrección al influir en la probabilidad de que exista una incorrección o en la magnitud de la posible incorrección si existe. El conocimiento del modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección puede facilitar al auditor un conocimiento preliminar de la probabilidad o magnitud de las incorrecciones, lo que ayuda al auditor a identificar los riesgos de incorrección material en las afirmaciones de conformidad con el apartado 28(b). El conocimiento del grado en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección también ayuda al auditor en la valoración de la probabilidad y la magnitud de una posible incorrección cuando valora el riesgo inherente de conformidad con el apartado 31(a). En consecuencia, el conocimiento de los factores de riesgo inherente también puede ayudar al auditor en el diseño y aplicación de los procedimientos posteriores de auditoría de conformidad con la NIA 330.
A86. La identificación por el auditor de los riesgos de incorrección material en las afirmaciones y la valoración del riesgo inherente también pueden verse influidas por evidencia de auditoría obtenida por él en la aplicación de otros procedimientos de valoración del riesgo, de procedimientos posteriores de auditoría o en el cumplimiento de otros requerimientos de las NIA (véanse los apartados A95, A103, A111, A121, A124 y A151).
El efecto de los factores de riesgo inherente sobre un tipo de transacción, saldo contable o información a revelar.
A87. El grado de susceptibilidad de incorrección de un tipo de transacciones, saldo contable o información a revelar originada por la complejidad o la subjetividad, a menudo, está estrechamente vinculado al grado en el que está sujeto a cambios o incertidumbre.
Ejemplo:
Si la entidad tiene una estimación contable basada en hipótesis cuya selección está sujeta a juicio significativo, es probable que la medición de la estimación contable esté afectada tanto por subjetividad como por incertidumbre.
A88. Cuanto mayor sea el grado de susceptibilidad de incorrección material de un tipo de transacciones, saldo contable o información a revelar debida a complejidad o subjetividad, mayor será la necesidad del auditor de aplicar escepticismo profesional. Además, cuando un tipo de transacciones, saldo contable o información a revelar es susceptible de incorrección debido a complejidad, subjetividad, cambio o incertidumbre, estos factores de riesgo inherente pueden crear oportunidades para el sesgo de la dirección, intencionado o no, y afectar a la susceptibilidad de incorrección debida a sesgo de la dirección. La identificación por el auditor de los riesgos de incorrección material y la valoración del riesgo inherente en las afirmaciones también pueden verse afectadas por las interrelaciones entre los factores de riesgo inherente.
A89. Hechos o condiciones que pueden afectar a la susceptibilidad de incorrección debida a sesgo de la dirección también pueden afectar a la susceptibilidad de incorrección debida a otros factores de riesgo de fraude. En consecuencia, esta puede ser información relevante para su uso de conformidad con el apartado 24 de la NIA 240, que requiere que el auditor evalúe si la información obtenida mediante otros procedimientos de valoración del riesgo y actividades relacionadas indica la presencia de uno o varios factores de riesgo de fraude.
Obtención de conocimiento del sistema de control interno de la entidad (Ref: Apartados 21‒27).
En el Anexo 3 se describen con mayor detalle la naturaleza del sistema de control interno de la entidad y limitaciones inherentes al control interno, respectivamente. En el anexo 3 también se proporciona una explicación adicional de los componentes de un sistema de control interno a efectos de las NIA.
A90. El conocimiento del auditor del sistema de control interno de la entidad se obtiene mediante los procedimientos de valoración del riesgo aplicados para conocer y evaluar cada uno de los componentes del sistema de control interno como se explica en los apartados 21 a 27.
A91. Los componentes del sistema de control interno a efectos de esta NIA pueden no reflejar necesariamente el modo en que una entidad diseña, implementa y mantiene su sistema de control interno, o el modo en que clasifica un determinado componente. Las entidades pueden utilizar una terminología o marcos distintos para describir los diversos aspectos del sistema de control interno. A efectos de una auditoría, los auditores también pueden utilizar una terminología o marcos distintos siempre que se traten todos los componentes descritos en esta NIA.
Graduación.
A92. La manera en que se diseña, implementa y mantiene el sistema de control interno de la entidad varía según la dimensión y la complejidad de esta. Por ejemplo, las entidades menos complejas pueden utilizar controles (es decir, políticas y procedimientos) menos estructurados o más sencillos para alcanzar sus objetivos.
Consideraciones específicas para entidades del sector público.
A93. Apartado suprimido.
Tecnologías de la información en los componentes del sistema de control interno de la entidad
En el Anexo 5 se proporcionan orientaciones adicionales en relación con el conocimiento de la utilización por la entidad de las TI en los componentes del sistema de control interno.
A94. El objetivo global y el alcance de una auditoría no son diferentes si una entidad opera en un entorno mayoritariamente manual, un entorno totalmente automatizado o un entorno en el que se combinan elementos manuales y automatizados (es decir, controles manuales y automatizados y otros recursos utilizados en el sistema de control interno de la entidad).
Conocimiento de la naturaleza de los componentes del sistema de control interno de la entidad.
A95. En la evaluación de la eficacia del diseño de los controles y de si han sido implementados (véanse los apartados A175 a A181), el conocimiento por el auditor de cada uno de los componentes del sistema de control interno de la entidad proporciona un conocimiento preliminar del modo en que la entidad identifica los riesgos de negocio y del modo en que responde a estos. También puede influir en la identificación y valoración por el auditor de los riesgos de incorrección material de diferentes formas (véase el apartado A86). Esto ayuda al auditor en el diseño y la aplicación de procedimientos posteriores de auditoría, incluida cualquier previsión de comprobar la eficacia operativa de los controles. Por ejemplo:
– Es más probable que el conocimiento por el auditor del entorno de control de la entidad, el proceso de valoración del riesgo por la entidad y el proceso de la entidad para el seguimiento de los componentes de los controles afecten a la identificación y valoración de los riesgos de incorrección material en los estados financieros.
– Es más probable que el conocimiento por el auditor del sistema de información y de comunicación de la entidad y del componente de actividades de control de la entidad afecten a la identificación y valoración de los riesgos de incorrección material en las afirmaciones.
Entorno de control, proceso de valoración del riesgo por la entidad y proceso para el seguimiento del sistema de control interno de la entidad (Ref: Apartados 21-24).
A96. Los controles en el entorno de control, el proceso de valoración del riesgo por la entidad y el proceso para el seguimiento del sistema de control interno de la entidad son principalmente controles indirectos (es decir, controles que no son suficientemente precisos para prevenir, detectar o corregir incorrecciones en las afirmaciones, pero que sustentan a otros controles y pueden, por lo tanto, tener un efecto indirecto en la probabilidad de que se detecte o prevenga una incorrección oportunamente). No obstante, algunos controles de estos componentes también pueden ser controles directos.
Por qué se requiere que el auditor tenga conocimiento del entorno de control, del proceso de valoración del riesgo por la entidad y del proceso para el seguimiento del sistema de control interno de la entidad
A97. El entorno de control proporciona un fundamento global para el funcionamiento de los demás componentes del sistema control interno. El entorno de control no previene ni detecta y corrige incorrecciones directamente. Puede, sin embargo, influir en la eficacia de controles en otros componentes del sistema de control interno. Del mismo modo, el proceso de valoración del riesgo por la entidad y su proceso de seguimiento del sistema de control interno están diseñados para funcionar de un modo que también sustenta la totalidad del sistema de control interno.
A98. Debido a que esos componentes son el fundamento de todo el sistema de control interno de la entidad, cualquier deficiencia en su funcionamiento podría tener efectos generalizados en la preparación de los estados financieros. En consecuencia, el conocimiento y evaluación de esos componentes por el auditor afectan a su identificación y valoración de los riesgos de incorrección material en los estados financieros y también pueden afectar a la identificación y valoración de los riesgos de incorrección material en las afirmaciones. Los riesgos de incorrección material en los estados financieros afectan al diseño por el auditor de respuestas globales, que incluyen, como se explica en la NIA 330, una influencia sobre la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría(36).
(36) NIA 330, apartados A1–A3.
Obtención de conocimiento del entorno de control (Ref: Apartado 21).
Graduación.
A99. Es probable que la naturaleza del entorno de control en una entidad menos compleja sea diferente del entorno de control den una entidad más compleja. Por ejemplo, puede ocurrir que entre los responsables del gobierno de una entidad menos compleja no haya un miembro independiente o externo, y la función de gobierno pueda ser desempeñada directamente por el propietario-gerente cuando no existen otros propietarios. En consecuencia, algunas consideraciones sobre el entorno de control de la entidad pueden ser menos relevantes o no ser aplicables.
A100. Además, es posible que en entidades menos complejas no esté disponible en forma documentada la evidencia de auditoría relativa a los elementos del entorno de control, en especial cuando la comunicación entre la dirección y el resto del personal es informal, pero la evidencia aún puede ser adecuadamente relevante y fiable en función de las circunstancias.
Ejemplos:
– La estructura organizativa en una entidad menos compleja probablemente sea más sencilla y pueda incluir un reducido número de empleados que participen en funciones relacionadas con la información financiera.
– Si la función de gobierno es desempeñada directamente por el propietario-gerente, el auditor puede determinar que no es relevante la independencia de los responsables del gobierno de la entidad.
– Es posible que las entidades menos complejas no tengan un código de conducta escrito pero que, en su lugar, hayan desarrollado una cultura que resalte la importancia de un comportamiento íntegro y ético a través de la comunicación verbal y del ejemplo de la dirección. En consecuencia, las actitudes, compromisos y actuaciones de la dirección o del propietario-gerente son de especial importancia para el conocimiento por el auditor del entorno de control de una entidad menos compleja.
Conocimiento del entorno de control [Ref: Apartado 21(a)].
A101. Se puede obtener evidencia de auditoría para el conocimiento del entorno de control mediante una combinación de indagaciones y otros procedimientos de valoración del riesgo (por ejemplo, la corroboración de la información resultante de indagaciones mediante la observación o la inspección de documentos).
A102. En la consideración del grado en que la dirección demuestra un compromiso con la integridad y los valores éticos, el auditor puede obtener conocimiento mediante indagaciones ante la dirección y los empleados y considerando información de fuentes externas acerca de:
– El modo en que la dirección comunica a los empleados su opinión relativa a las prácticas empresariales y al comportamiento ético; e
– Inspeccionando el código de conducta escrito de la dirección y observando si actúa de un modo acorde con dicho código.
Evaluación del entorno de control [Ref: Apartado 21(b)].
Por qué el auditor evalúa el entorno de control.
A103. La evaluación por el auditor del modo en que la entidad demuestra un comportamiento congruente con su compromiso con la integridad y los valores éticos; de si el entorno de control proporciona un fundamento adecuado para los demás componentes del sistema control interno de la entidad y de si alguna deficiencia de control identificada menoscaba los demás componentes del sistema de control interno de la entidad ayuda al auditor en la identificación de posibles asuntos en otros componentes del sistema de control interno. Esto es así porque el entorno de control es el fundamento de los demás componentes del sistema de control interno de la entidad. Esta evaluación también puede ayudar al auditor a conocer los riesgos a los que se enfrenta la entidad y, en consecuencia, a identificar y valorar los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).
La evaluación por el auditor del entorno de control.
A104. La evaluación por el auditor del entorno de control se basa en el conocimiento obtenido de conformidad con el apartado 21(a).
A105. Es posible que algunas entidades sean dominadas por una única persona que puede actuar con mucha discrecionalidad. Las actuaciones y actitudes de esa persona pueden tener un efecto generalizado sobre el entorno de control. Dicho efecto puede ser positivo o negativo.
Ejemplo:
Es posible que la participación directa de una única persona sea clave para permitir a la entidad alcanzar su objetivo de crecimiento y otros y también puede contribuir de modo significativo a un sistema de control interno eficaz. Por otra parte, esa concentración de conocimiento y autoridad también puede llevar a una mayor susceptibilidad de incorrección a través de la elusión de los controles por la dirección.
A106. El auditor puede considerar el modo en que los diferentes elementos del entorno de control pueden verse influenciados por la filosofía y el estilo operativo de la alta dirección teniendo en cuenta la participación de los miembros independientes de los responsables del gobierno de la entidad.
A107. A pesar de que el entorno de control puede proporcionar un fundamento adecuado para el sistema de control interno y puede ayudar a reducir el riesgo de fraude, un entorno de control adecuado no es necesariamente un elemento disuasorio del fraude.
Ejemplo:
Unas políticas y procedimientos de recursos humanos dirigidas a contratar personal competente para las áreas financiera, contable y de TI pueden mitigar los riesgos de que se produzcan errores en el procesamiento y el registro. de la información financiera. Sin embargo, es posible que esas políticas y procedimientos no mitiguen la elusión de los controles por la alta dirección (por ejemplo, para sobrevalorar los beneficios).
A108. La evaluación por el auditor del entorno de control en relación con la utilización de TI por la entidad puede incluir cuestiones tales como:
– Si la gobernanza sobre las TI es acorde con la naturaleza y complejidad de la entidad y de sus operaciones de negocio realizadas a través de TI, incluida la complejidad o madurez de la plataforma o arquitectura tecnológicas de la entidad y hasta qué punto confía la entidad en aplicaciones de TI para sustentar su información financiera.
– La estructura organizativa de la dirección en relación con las TI y los recursos asignados [por ejemplo, si la entidad ha invertido en un entorno de TI adecuado y en las mejoras necesarias, o si se ha contratado al suficiente número de personas con la cualificación adecuada incluso cuando la entidad utiliza software comercial (con pocas o ninguna modificación)].
Obtención de conocimiento del proceso de valoración del riesgo por la entidad (Ref: Apartados 22-23).
Conocimiento del proceso de valoración del riesgo por la entidad [Ref: Apartado 22(a)].
A109. Como se explica en el apartado A62, no todos los riesgos de negocio dan lugar a riesgos de incorrección material. Para conocer el modo en que la dirección y los responsables del gobierno de la entidad han identificado los riesgos de negocio relevantes para la preparación de los estados financieros, y han tomado decisiones con respecto a las actuaciones para responder a dichos riesgos, las cuestiones que el auditor puede considerar incluyen el modo en que la dirección o, en su caso, los responsables del gobierno de la entidad:
– Han especificado los objetivos de la entidad con la suficiente precisión y claridad para permitir la identificación y valoración de los riesgos relacionados con esos objetivos;
– Han identificado los riesgos para alcanzar los objetivos de la entidad y han analizado los riesgos como base para determinar el modo en que se deberían gestionar y
– Han considerado la posibilidad de fraude al considerar los riesgos para alcanzar los objetivos de la entidad(37).
(37) NIA 240, apartado 19.
A110. El auditor puede considerar las implicaciones de dichos riesgos de negocio para la preparación de los estados financieros de la entidad y otros aspectos de su sistema de control interno.
Evaluación del proceso de valoración del riesgo por la entidad [Ref: Apartado 22(b)].
Por qué el auditor evalúa si el proceso de valoración del riesgo por la entidad es adecuado.
A111. La evaluación por el auditor del proceso de valoración del riesgo por la entidad le puede ayudar a comprender dónde ha identificado la entidad riesgos que pueden existir y cómo ha respondido a esos riesgos. La evaluación por el auditor del modo en que la entidad identifica los riesgos de negocio y del modo en que los valora y responde ayuda al auditor a conocer si los riesgos a los que se enfrenta la entidad han sido identificados, valorados y resueltos como corresponde a la naturaleza y complejidad de la entidad. Esta evaluación también puede ayudar al auditor en la identificación y valoración de los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).
Evaluación de si el proceso de valoración del riesgo por la entidad es adecuado [Ref: Apartado 22(b)].
A112. La evaluación por el auditor de lo adecuado que es el proceso de valoración del riesgo por la entidad se basa en el conocimiento obtenido de conformidad con el apartado 22(a).
Graduación.
A113. La consideración de que el proceso de valoración del riesgo por la entidad sea adecuado a las circunstancias de la entidad teniendo en cuenta la naturaleza y complejidad de esta es una cuestión de juicio profesional del auditor.
Ejemplo:
En algunas entidades menos complejas, y en especial las entidades dirigidas por el propietario, se puede realizar una valoración del riesgo adecuada a través de la participación directa de la dirección o del propietario (por ejemplo, el director o el propietario puede dedicar tiempo de manera rutinaria al seguimiento de las actividades de la competencia y otros desarrollos en el mercado para identificar riesgos de negocio emergentes). A menudo, la evidencia de que existe esta valoración del riesgo en este tipo de entidades no está formalmente documentada, pero a través de las discusiones que mantiene el auditor con la dirección puede poner en evidencia que, de hecho, la dirección está realizando procedimientos de valoración del riesgo.
Obtención de conocimiento del proceso de la entidad para el seguimiento del sistema de control interno (Ref: Apartado 24).
Graduación.
A114. En entidades menos complejas, y en especial en las entidades dirigidas por el propietario, el conocimiento por el auditor del proceso de la entidad para el seguimiento del sistema de control interno a menudo se centra en el modo en que la dirección o el propietario participan directamente en las operaciones dado que puede que no existan otras actividades de seguimiento.
Ejemplo:
Puede ocurrir que la dirección reciba quejas de los clientes relativas a inexactitudes en su declaración mensual que alerten al propietario de la existencia de cuestiones relacionadas con el momento en que se reconocen los pagos de los clientes en los registros contables.
A115. En el caso de entidades en las que no existe un proceso formal para el seguimiento del sistema de control interno, el conocimiento del proceso para el seguimiento del sistema de control interno puede incluir conocer las revisiones periódicas de información de la contabilidad de gestión diseñadas para contribuir al modo en que la entidad previene o detecta incorrecciones.
Conocimiento del proceso de la entidad para el seguimiento del sistema de control interno [Ref: Apartado 24(a)].
A116. Cuestiones que el auditor puede considerar para obtener conocimiento del modo en que la entidad realiza el seguimiento de su sistema de control interno incluyen:
– El diseño de las actividades de seguimiento, por ejemplo, si el seguimiento es periódico o continuo;
– La realización y frecuencia con la que se realizan las actividades de seguimiento;
– La evaluación de los resultados de las actividades de seguimiento, de manera oportuna, para determinar si los controles han sido eficaces; y
– El modo en que se ha respondido a las deficiencias identificadas a través de medidas correctoras adecuadas, incluida la comunicación oportuna de dichas deficiencias a los responsables de ejecutarlas.
A117. El auditor también puede considerar el modo en que el proceso de la entidad para el seguimiento del sistema de control interno trata el seguimiento de controles de procesamiento de la información en el que interviene la utilización de TI. Esto puede incluir, por ejemplo:
– Controles para el seguimiento de entornos de TI complejos que:
• Evalúan la continuidad de la eficacia del diseño de los controles de procesamiento de la información y los modifican, según corresponda, ante cambios en las condiciones; o
• Evalúan la eficacia operativa de los controles de procesamiento de la información.
– Controles que realizan el seguimiento de las autorizaciones que se aplican en los controles de procesamiento de la información automatizados que aplican la segregación de funciones.
– Controles que realizan el seguimiento del modo en que se identifican y resuelven los errores o las deficiencias de controles relacionados con la automatización de la información financiera.
Conocimiento de la función de auditoría interna de la entidad [Ref: Apartado 24(a)(ii)].
El Anexo 4 contiene consideraciones adicionales para el conocimiento de la función de auditoría interna de una entidad.
A118. Las indagaciones del auditor ante las personas adecuadas dentro de la función de auditoría interna le ayudan a obtener conocimiento sobre la naturaleza de las responsabilidades de la función de auditoría interna. Si el auditor determina que las responsabilidades de la función de auditoría interna están relacionadas con la información financiera de la entidad, puede obtener un mayor conocimiento de las actividades realizadas, o que serán realizadas, por la función de auditoría interna mediante la revisión, en su caso, del plan de auditoría de la función de auditoría interna para el periodo, así como la discusión de dicho plan con las personas adecuadas dentro de la función. Este conocimiento, junto con la información obtenida de las indagaciones del auditor pueden también proporcionar información directamente relevante para la identificación y valoración de los riesgos de incorrección material por parte del auditor. Si sobre la base de su conocimiento preliminar de la función de auditoría interna, el auditor tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar, o bien para reducir su extensión es de aplicación la NIA 610 (Revisada 2013)(38).
(38) NIA 610 (Revisada 2013) Utilización del trabajo de los auditores internos.
Otras fuentes de información utilizadas en el proceso de la entidad para el seguimiento del sistema de control interno.
Conocimiento de las fuentes de información [Ref: Apartado 24(b)].
A119. Las actividades de seguimiento por la dirección pueden utilizar información contenida en comunicaciones de terceros tales como quejas de clientes o comentarios de las autoridades reguladoras, que pueden ser indicativos de problemas o resaltar áreas en las que se necesitan mejoras.
Por qué se requiere que el auditor tenga conocimiento de las fuentes de información utilizadas por la entidad para el seguimiento del sistema de control interno.
A120. El conocimiento por parte del auditor de las fuentes de información utilizadas por la entidad para el seguimiento del sistema de control interno, incluido si la información que se utiliza es relevante y fiable, le ayuda a evaluar si el proceso para el seguimiento del sistema de control interno es adecuado. Si la dirección asume que la información utilizada para el seguimiento es relevante y fiable sin disponer de una base para dicha hipótesis, los errores que pueden existir en la información podrían llevar a la dirección a alcanzar conclusiones erróneas derivadas de sus actividades de seguimiento.
Evaluación del proceso de la entidad para el seguimiento del sistema de control interno [Ref: Apartado 24(c)].
Por qué el auditor evalúa si el proceso de la entidad para el seguimiento del sistema de control interno es adecuado.
A121. La evaluación por el auditor del modo en que la entidad realiza evaluaciones continuas y puntuales para el seguimiento de la eficacia de los controles le ayuda a conocer si los demás componentes del sistema control interno de la entidad existen y funcionan y, en consecuencia, le ayuda en el conocimiento de los demás componentes del sistema de control interno de la entidad. Esta evaluación también puede ayudar al auditor en la identificación y valoración de los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).
Evaluación de si el proceso de la entidad para el seguimiento del sistema de control interno es adecuado [Ref: Apartado 24(c)].
A122. La evaluación por el auditor de lo adecuado del proceso de la entidad para el seguimiento del sistema de control interno se basa en su conocimiento de dicho proceso.
Sistema de información y comunicación y actividades de control (Ref: Apartado 25‒26).
A123. Los controles en el sistema de información y comunicación y en los componentes de actividades de control son principalmente controles directos (es decir, controles lo suficientemente precisos para prevenir, detectar o corregir errores en las afirmaciones).
Por qué se requiere que el auditor tenga conocimiento del sistema de información y comunicación y de los controles en el componente de actividades de control.
A124. Se requiere que el auditor tenga conocimiento del sistema de información y comunicación porque el conocimiento de las políticas de la entidad que definen los flujos de transacciones y otros aspectos de las actividades de proceso de la información de la entidad relevantes para la preparación de los estados financieros, y la evaluación de si el componente proporciona un soporte adecuado para la preparación de los estados financieros de la entidad, sustentan la identificación y valoración de los riesgos de incorrección material en las afirmaciones por el auditor. Este conocimiento y esta evaluación también pueden tener como resultado la identificación de riesgos de incorrección material en los estados financieros cuando los resultados de los procedimientos del auditor son incongruentes con las expectativas sobre el sistema de control interno de la entidad que se pueden haber formado sobre la base de información obtenida durante el proceso de aceptación o continuidad del encargo (véase el apartado A86).
A125. Se requiere que el auditor identifique controles específicos en el componente de actividades de control y que evalúe su diseño y determine si los controles han sido implementados, ya que ello le ayuda en el conocimiento del enfoque de la dirección para responder a determinados riesgos y, por lo tanto, le proporciona una base para el diseño y aplicación de procedimientos posteriores de auditoría que respondan a esos riesgos como requiere la NIA 330. Cuanto más alto se valore un riesgo dentro del espectro de riesgo inherente, más convincente tendrá que ser la evidencia de auditoría. Incluso cuando el auditor no prevé comprobar la eficacia operativa de los controles identificados, el conocimiento del auditor aún puede afectar al diseño de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos de auditoría que respondan a los correspondientes riesgos de incorrección material.
La naturaleza iterativa del conocimiento del auditor y la evaluación del sistema de información y comunicación, y de las actividades de control.
A126. Como se explica en el apartado A49, el conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable le puede ayudar en el desarrollo de expectativas iniciales sobre los tipos de transacciones, saldos contables e información a revelar que puedan ser tipos de transacciones, saldos contables e información a revelar significativos. En la obtención de conocimiento del componente del sistema de información y comunicación de conformidad con el apartado 25(a), el auditor puede utilizar esas expectativas iniciales con el fin de determinar la extensión del conocimiento de las actividades de procesamiento de la información que debe obtener.
A127. El conocimiento del sistema de información por el auditor incluye conocer las políticas que definen los flujos de información relativos a los tipos de transacciones, saldos contables e información a revelar significativos y otros aspectos relacionados de las actividades de la entidad de procesamiento de la información. Esta información y la que se obtenga de la evaluación por el auditor del sistema de información pueden confirmar o influir más en sus expectativas sobre los tipos de transacciones, saldos contables e información a revelar significativos inicialmente identificados (véase el apartado A126).
A128. En la obtención de conocimiento del modo en que la información relativa a los tipos de transacciones, saldos contables e información a revelar significativos entra, fluye y sale del sistema de información de la entidad, es posible que el auditor identifique también controles en el componente de actividades de control que deben ser identificados de conformidad con el apartado 26(a). En la identificación y evaluación de controles en el componente de actividades de control al diseñar la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos, el auditor se puede centrar en primer lugar en los controles sobre asientos en el diario y en los controles cuya eficacia operativa tiene previsto comprobar.
A129. La valoración por el auditor del riesgo inherente también puede influir en la identificación de controles en el componente de actividades de control. Por ejemplo, es posible que la identificación por el auditor de controles relacionados con riesgos significativos solo se pueda realizar cuando el auditor haya valorado el riesgo inherente en las afirmaciones de conformidad con el apartado 31. Además, es posible que solo se puedan identificar los controles que responden a riesgos para los cuales el auditor ha determinado que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada (de conformidad con el apartado 33) una vez que el auditor haya realizado sus valoraciones de riesgo inherente.
A130. La identificación y valoración por el auditor de los riesgos de incorrección material en las afirmaciones depende tanto:
– Del conocimiento por el auditor de las políticas de la entidad para sus actividades de procesamiento de la información en el sistema de información y en el componente de comunicación, como
– De la identificación y evaluación de controles en el componente de actividades de control.
Obtención de conocimiento del sistema de información y comunicación (Ref: Apartado 25).
Los apartados 15–19 del Anexo 3 contienen consideraciones adicionales en relación con el sistema de información y comunicación.
Graduación.
A131. Es probable que en entidades menos complejas el sistema de información y los procesos de negocio relacionados sean menos sofisticados que en las entidades más complejas, y es probable que el entorno de TI sea menos complejo. No obstante, la función del sistema de información es igual de importante. Las entidades menos complejas que cuenten con una participación directa de la dirección puede que no necesiten descripciones detalladas de procedimientos contables, registros contables sofisticados o políticas escritas. En consecuencia, es posible que conocer los aspectos relevantes del sistema de información de la entidad requiera menos esfuerzo en la auditoría de una entidad menos compleja y necesitar más indagación que la observación o la inspección de documentación. Sin embargo, la necesidad de obtener conocimiento sigue siendo importante para proporcionar una base para el diseño de procedimientos posteriores de auditoría de conformidad con la NIA 330 y puede ayudar al auditor en la identificación y valoración de riesgos de incorrección material en mayor medida (véase apartado A86).
Obtención de conocimiento del sistema de información [Ref: Apartado 25(a)].
A132. El sistema de control interno de la entidad incluye aspectos relacionados con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero puede también incluir aspectos relacionados con sus objetivos operativos o de cumplimiento cuando dichos aspectos son relevantes para la información financiera. Conocer el modo en que la entidad inicia las transacciones y captura la información como parte del conocimiento del auditor del sistema de información puede incluir información acerca de los sistemas (sus políticas) diseñados para tratar los objetivos de cumplimiento y operativos porque esa información es relevante para la preparación de los estados financieros. Además, algunas entidades pueden tener sistemas de información que están altamente integrados de tal forma que los controles pueden estar diseñados de modo que se alcancen de manera simultánea objetivos de información financiera, de cumplimiento y operativos, y combinaciones de estos.
A133. Conocer el sistema de información de la entidad también incluye conocer los recursos que la entidad va a utilizar en las actividades de procesamiento de la información. La información acerca de los recursos humanos que participan que puede ser relevante para el conocimiento de los riesgos para la integridad del sistema de información incluye:
– La competencia profesional de las personas que realizan el trabajo;
– Si se dispone de los recursos adecuados y
– Si hay una adecuada segregación de funciones.
A134. Las cuestiones que el auditor puede considerar para el conocimiento de las políticas que definen los flujos de información relativos a los tipos de transacciones, saldos contables e información a revelar significativos en el sistema de información y en el componente de comunicación incluyen la naturaleza de:
(a) Los datos o la información relativa a las transacciones, otros hechos y condiciones que deban ser procesados;
(b) El procesamiento de la información para mantener la integridad de dichos datos o información y
(c) Los procesos de la información, el personal y otros recursos que se utilizan en el proceso de procesamiento de la información.
A135. La obtención de conocimiento de los procesos de negocio de la entidad, que incluye el modo en que se originan las transacciones, ayuda al auditor en la obtención de conocimiento del sistema de información de la entidad de un modo adecuado a las circunstancias de la entidad.
A136. El conocimiento del auditor del sistema de información se puede obtener de varias maneras que pueden incluir:
– Indagaciones ante el personal relevante acerca de los procedimientos utilizados para iniciar, registrar, procesar las transacciones e informar sobre ellas o sobre el proceso de información financiera de la entidad;
– La inspección de manuales de políticas o procesos u otra documentación del sistema de información de la entidad;
– La observación de la ejecución de las políticas o procedimientos por el personal de la entidad; o
– La selección de transacciones y su seguimiento a través del correspondiente proceso en el sistema de información (es decir, ejecutando una comprobación paso a paso).
Herramientas y técnicas automatizadas.
A137. El auditor también puede utilizar técnicas automatizadas para obtener un acceso directo o una descarga de las bases de datos del sistema de información de la entidad en las que se encuentran los registros contables de las transacciones. Mediante la aplicación de herramientas o técnicas automatizadas a esta información, el auditor puede confirmar el conocimiento obtenido acerca del modo en que las transacciones fluyen a través del sistema de información realizando el seguimiento de asientos en el diario u otros registros digitales relacionados con una determinada transacción o toda una población de transacciones, desde el inicio en los registros contables hasta el registro en el mayor. El análisis de conjuntos completos o amplios de transacciones también puede producir la identificación de variaciones con respecto a los procedimientos de procesamiento normales o esperados para estas transacciones, lo que, a su vez, puede tener como resultado la identificación de riesgos de incorrección material.
Información obtenida al margen del mayor y de los auxiliares.
A138. Los estados financieros pueden contener información que se obtiene al margen del mayor y de los auxiliares. Algunos ejemplos de información de ese tipo que el auditor puede considerar son:
– Información obtenida de acuerdos de arrendamiento relevantes para la información a revelar en los estados financieros.
– Información revelada en los estados financieros generada por un sistema de gestión de riesgos de la entidad.
– Información sobre valor razonable generada por expertos de la dirección y revelada en los estados financieros.
– Información revelada en los estados financieros obtenida de modelos u otros cálculos utilizados para desarrollar estimaciones contables reconocidas o reveladas en los estados financieros, incluida la información relacionada con los datos subyacentes y las hipótesis utilizadas en esos modelos, tales como:
• Hipótesis desarrolladas internamente que pueden afectar a la vida útil de un activo; o
• Datos, tales como tipos de interés, afectados por factores fuera del control de la entidad.
– Información revelada en los estados financieros sobre análisis de sensibilidad derivados de modelos financieros que demuestra que la dirección ha considerado hipótesis alternativas.
– Información reconocida o revelada en los estados financieros obtenida de las declaraciones de impuestos de la entidad o de sus registros fiscales.
– Información revelada en los estados financieros obtenida de análisis preparados para apoyar la valoración de la dirección de la capacidad de la entidad para continuar como empresa en funcionamiento, tal como información a revelar, en su caso, relacionada con hechos o con condiciones que pueden generar dudas significativas sobre la capacidad de la entidad para continuar como empresa en funcionamiento(39).
(39) NIA 570 (Revisada), apartados 19-20.
A139. Algunas cantidades o información a revelar en los estados financieros de la entidad (tales como información a revelar sobre riesgo crediticio, riesgo de liquidez y riesgo de mercado) pueden provenir del sistema de gestión del riesgo de la entidad. Sin embargo, no se requiere que el auditor conozca todos los aspectos del sistema de gestión del riesgo, y debe recurrir a su juicio profesional para determinar el conocimiento necesario.
La utilización de tecnologías de la información en el sistema de información.
Por qué conoce el auditor el entorno de TI relevante para el sistema de información.
A140. El conocimiento por el auditor del sistema de información incluye el entorno de TI relevante para los flujos de transacciones y el procesamiento de la información en el sistema de información de la entidad porque la utilización de aplicaciones de TI u otros aspectos del entorno de TI pueden dar lugar a riesgos derivados de la utilización de TI.
A141. El conocimiento del modelo de negocio de la entidad y del modo en que integra la utilización de TI también pueden proporcionar un contexto útil a la naturaleza y extensión de las TI esperadas en el sistema de información.
Conocimiento de la utilización de TI por la entidad.
A142. La obtención por el auditor de conocimiento del entorno de TI se puede centrar en identificar y comprender la naturaleza y el número de las aplicaciones específicas de TI y otros aspectos del entorno de TI que son relevantes para los flujos de transacciones y el procesamiento de la información en el sistema de información. Los cambios en los flujos de transacciones o en la información dentro del sistema de información pueden ser el resultado de cambios en los programas de las aplicaciones de TI o de cambios directos en los datos de las bases de datos que intervienen en el procesamiento o en el almacenamiento de esas transacciones o información.
A143. El auditor puede identificar las aplicaciones de TI y la infraestructura de TI en las que se apoyan a la vez que obtiene conocimiento del modo en que la información relativa a los tipos de transacciones, saldos contables e información a revelar significativos entra, fluye y sale del sistema de información de la entidad.
Obtención de conocimiento de la comunicación de la entidad [Ref: Apartado 25(b)].
Graduación.
A144. En las entidades de mayor tamaño y más complejas, la información que el auditor puede considerar para el conocimiento de la comunicación de la entidad puede provenir de manuales de políticas y de información financiera.
A145. En entidades menos complejas, la comunicación puede estar menos estructurada (por ejemplo, es posible que no se utilicen manuales formales) debido a la existencia de un menor número de niveles de responsabilidad y a la mayor cercanía y disponibilidad de la dirección. Independientemente de la dimensión de la entidad, la existencia de canales de comunicación abiertos ayuda a que se informe sobre las excepciones y se actúe sobre ellas.
Evaluación de si los aspectos relevantes del sistema de información sustentan la preparación de los estados financieros [Ref: Apartado 25(c)].
A146. La evaluación por el auditor de si el sistema de información y comunicación de la entidad sustenta adecuadamente la preparación de los estados financieros se basa en el conocimiento obtenido en los apartados 25(a) y (b).
Actividades de control (Ref: Apartado 26).
Controles en el componente de actividades de control.
Los apartados 20 y 21 del Anexo 3 contienen consideraciones adicionales en relación con las actividades de control.
A147. El componente de actividades de control incluye controles diseñados para asegurar la adecuada aplicación de las políticas (que también son controles) en todos los demás componentes del sistema de control e incluye controles tanto directos como indirectos.
Ejemplo:
Los controles que una entidad ha establecido para asegurar que su personal cuenta y registra correctamente el recuento físico anual de existencias se relacionan directamente con los riesgos de incorrección material en las afirmaciones de realidad e integridad relativas al saldo contable de las existencias.
A148. La identificación y evaluación por el auditor de controles en el componente de actividades de control se centra en controles de procesamiento de la información, que son controles aplicados durante el procesamiento de la información en el sistema de información de la entidad y responden directamente a los riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y otra información). Sin embargo, no se requiere que el auditor identifique y evalúe todos los controles de procesamiento de la información relacionados con las políticas de la entidad que definen los flujos de transacciones y otros aspectos de las actividades de procesamiento de la información para los tipos de transacciones, saldos contables e información a revelar significativos.
A149. También pueden existir controles directos en el entorno de control, en el proceso de valoración del riesgo por la entidad o en el proceso para el seguimiento del sistema de control interno de la entidad, los cuales pueden ser identificados de conformidad con el apartado 26. No obstante, cuanto más indirecta sea la relación entre los controles que sustentan a otros controles y el control objeto de consideración, menos eficaz será el control para prevenir, o detectar y corregir, las correspondientes incorrecciones.
Ejemplo:
La revisión por el director de ventas de un resumen de las ventas de determinadas tiendas por región normalmente sólo está indirectamente relacionada con los riesgos de incorrección material relevantes para la afirmación de integridad de los ingresos por ventas. En consecuencia, puede ser menos eficaz para responder a esos riesgos que los controles más directamente relacionados con ella, como la conciliación de documentos de envío con documentos de facturación.
A150. En el apartado 26 también se requiere que el auditor identifique y evalúe controles generales de TI para aplicaciones de TI y otros aspectos del entorno de TI que el auditor haya determinado que están sujetos a riesgos derivados de la utilización de TI porque los controles generales de TI sustentan el funcionamiento continuo y eficaz de los controles de procesamiento de la información. Un solo control general de TI no es habitualmente suficiente para responder a un riesgo de incorrección material en las afirmaciones.
A151. Los controles que se requiere que el auditor identifique, cuyo diseño debe evaluar y cuya implementación debe determinar, de conformidad con el apartado 26, son:
– Controles cuya eficacia operativa tiene previsto comprobar para determinar la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos. La evaluación de dichos controles proporciona al auditor la base para el diseño de procedimientos de pruebas de controles de conformidad con la NIA 330. Esos controles también incluyen controles que responden a riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada.
– Controles que incluyen controles para responder a riesgos significativos y controles sobre asientos en el diario. La identificación y evaluación de esos controles por el auditor también puede influir en su conocimiento de los riesgos de incorrección material, incluida la identificación de riesgos de incorrección material adicionales (véase apartado A95). Este conocimiento también proporciona la base para el diseño por el auditor de la naturaleza, el momento de realización y la extensión de procedimientos sustantivos que respondan a los correspondientes riesgos de incorrección material valorados.
– Otros controles que el auditor considere adecuados para permitirle cumplir los objetivos del apartado 13 con respecto a los riesgos en las afirmaciones, basándose en su juicio profesional.
A152. Se requiere que se identifiquen controles en el componente de actividades de control cuando dichos controles cumplan uno o varios de los criterios expuestos en el apartado 26(a). Sin embargo, cuando múltiples controles alcancen individualmente el mismo objetivo, no es necesario identificar cada uno de los controles relacionados con dicho objetivo.
Tipos de controles en el componente de actividades de control (Ref: Apartado 26).
A153. Algunos ejemplos de controles en el componente de actividades de control incluyen autorizaciones y aprobaciones, conciliaciones, verificaciones (tales como filtros de edición y de validación o cálculos automatizados), segregación de funciones y controles físicos o lógicos, incluidos los que tratan la salvaguarda de activos.
A154. Los controles en el componente de actividades de control pueden incluir controles establecidos por la dirección que responden a riesgos de incorrección material relacionados con información a revelar que no se haya preparado de conformidad con el marco de información financiera aplicable. Dichos controles pueden estar relacionadas con información incluida en los estados financieros obtenida fuera del mayor y de los auxiliares.
A155. Independientemente de si están dentro del entorno de TI o de si son sistemas manuales, los controles pueden tener varios objetivos y aplicarse a diferentes niveles organizativos y funcionales.
Graduación (Ref: Apartado 26).
A156. Los controles en el componente de actividades de control de las entidades menos complejas probablemente sean similares a los de entidades de mayor dimensión, pero pueden diferir en cuanto al grado de formalización con el que funcionan. Además, en entidades menos complejas es posible que un mayor número de controles sea aplicado directamente por la dirección.
Ejemplo:
El hecho de que únicamente la dirección esté autorizada a conceder créditos a clientes o a aprobar compras significativas puede proporcionar un control fuerte sobre saldos contables y transacciones importantes.
A157. Las entidades menos complejas suelen tener menos empleados, lo que puede limitar en la práctica la posibilidad de segregación de funciones. Sin embargo, en una entidad dirigida por un propietario-gerente, es posible que este pueda realizar una supervisión más eficaz a través de su participación directa que en una entidad de mayor dimensión, lo que puede compensar las menores oportunidades de establecer una segregación de funciones. Si bien, como también se explica en la NIA 240, el hecho de que una sola persona ejerza la dirección puede conllevar una posible deficiencia de control, ya que ofrece a la dirección la posibilidad de eludir los controles(40).
(40) NIA 240, apartado A28.
Controles que responden a los riesgos de incorrección material en las afirmaciones [Ref: Apartado 26(a)].
Controles que responden a riesgos que se consideran riesgo significativo [Ref: Apartado 26(a)(i)].
A158. Independientemente de si el auditor tiene previsto comprobar la eficacia operativa de los controles que responden a riesgos significativos, el conocimiento obtenido acerca del enfoque de la dirección para responder a esos riesgos puede proporcionar una base para el diseño y aplicación de procedimientos sustantivos que respondan a riesgos significativos como lo requiere la NIA 330(41). Si bien a menudo es menos probable que los riesgos relacionados con cuestiones significativas no rutinarias o que requieren la aplicación de juicio estén sujetos a controles rutinarios, la dirección puede tener otras respuestas cuya finalidad es tratar dichos riesgos. En consecuencia, el conocimiento por el auditor de si la entidad ha diseñado e implementado controles para los riesgos significativos derivados de cuestiones no rutinarias o que requieren la aplicación de juicio puede incluir conocer si la dirección responde a dichos riesgos y el modo en que lo hace. Dichas respuestas pueden incluir lo siguiente:
(41) NIA 330, apartado 21.
– Controles tales como la revisión de hipótesis por la alta dirección o por expertos.
– Procesos documentados para las estimaciones contables.
– Aprobación por los responsables del gobierno de la entidad.
Ejemplo:
Cuando se producen hechos únicos como la recepción de la notificación de una demanda significativa, la consideración de la respuesta de la entidad puede incluir cuestiones tales como si se ha remitido a los expertos adecuados (como los asesores jurídicos internos o externos), si se ha realizado una valoración de su efecto potencial, y el modo en que se propone que las circunstancias se revelen en los estados financieros.
A159. La NIA 240(42) requiere que el auditor tenga conocimiento de los controles relacionados con los riesgos valorados de incorrección material debida a fraude (que se tratan como riesgos significativos) y explica que es importante que el auditor obtenga conocimiento de los controles que la dirección ha diseñado, implementado y mantenido para prevenir y detectar el fraude.
(42) NIA 240, apartados 28 y A33.
Controles sobre asientos en el diario [Ref: Apartado 26(a)(ii)].
A160. Entre los controles que responden a los riesgos de incorrección material en las afirmaciones que se espera que se identifiquen en todas las auditorías están los controles sobre asientos en el diario, puesto que, generalmente, el modo en que una entidad incorpora información del procesamiento de transacciones en el mayor es mediante la utilización de asientos en el diario, tanto estándar como no, o automatizados o manuales. El grado en que se identifican otros controles puede variar dependiendo de la naturaleza de la entidad y del enfoque previsto por el auditor en relación con procedimientos posteriores de auditoría.
Ejemplo:
En una auditoría de una entidad menos compleja, el sistema de información de la entidad puede no ser complejo y es posible que el auditor no tenga previsto confiar en la eficacia operativa de los controles. Además, es posible que el auditor no haya identificado ningún riesgo significativo o cualquier otro riesgo de incorrección material de los que sea necesario que evalúe su diseño y determine si han sido implementados. En este caso, es posible que el auditor determine que no hay controles identificados aparte de los controles de la entidad sobre los asientos en el diario.
Herramientas y técnicas automatizadas.
A161. En los sistemas de mayores manuales, los asientos no estándar en el diario pueden ser identificados mediante la inspección de los mayores, diarios y documentación de soporte. Cuando se utilizan procesos automatizados para la llevanza de los libros y la preparación de los estados financieros, es posible que dichas anotaciones existan sólo en formato electrónico y puedan ser por tanto más fácilmente identificadas mediante el uso de técnicas de auditoría automatizadas.
Ejemplo:
En la auditoría de una entidad menos compleja, es posible que el auditor pueda extraer una relación completa de todas las anotaciones en el diario a una hoja de cálculo. A partir de allí, es posible que el auditor pueda clasificar las anotaciones en el diario aplicando varios filtros como divisa, nombre del preparador o del revisor, anotaciones en el diario que se elevan al bruto sólo en el balance y en la cuenta de resultados, o examinar el listado por la fecha en que el asiento se registró en el mayor, para ayudarle en el diseño de respuestas a los riesgos identificados relativos a asientos en el diario.
Controles cuya eficacia operativa tiene previsto probar el auditor [Ref: Apartado 26(a)(iii)].
A162. El auditor determina si existen algunos riesgos de incorrección material en las afirmaciones para los cuales los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada. Se requiere que el auditor, de conformidad con la NIA 330(43), diseñe y aplique pruebas de controles que responden a dichos riesgos de incorrección material cuando los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada en las afirmaciones. Como resultado, cuando existan controles que responden a esos riesgos, se requiere que se identifiquen y evalúen.
(43) NIA 330, apartado 8(b).
A163. En otros casos, cuando el auditor tiene previsto tener en cuenta la eficacia operativa de los controles en la determinación de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos de conformidad con la NIA 330, también se requiere que se identifiquen porque la NIA 330(44) requiere que el auditor diseñe y aplique pruebas de los mismos.
(44) NIA 330, apartado 8(a).
Ejemplos:
El auditor puede tener previsto probar la eficacia operativa de los controles:
– Sobre transacciones rutinarias ya que tales pruebas pueden resultar más eficaces o eficientes para grandes volúmenes de transacciones homogéneas.
– Sobre la integridad y la exactitud de la información producida por la entidad (por ejemplo, controles sobre la preparación de informes generados por el sistema), para determinar la fiabilidad de esa información, cuando el auditor tiene intención de tener en cuenta la eficacia operativa de los controles en el diseño y la aplicación de los procedimientos posteriores de auditoría.
– Relativos a los objetivos operativos y de cumplimiento si están relacionados con datos que el auditor evalúa o utiliza en la aplicación de procedimientos de auditoría.
A164. Los planes del auditor de probar la eficacia operativa de los controles también pueden verse influidos por los riesgos identificados de incorrección material en los estados financieros. Por ejemplo, si se identifican deficiencias en el entorno de control, esto puede afectar a las expectativas globales acerca de la eficacia operativa de los controles directos.
Otros controles que el auditor considera adecuados [Ref: Apartado 26(a)(iv)].
A165. Otros controles que el auditor puede considerar adecuado identificar, cuyo diseño puede considerar adecuado evaluar y determinar su implementación, pueden incluir:
– Controles que responden a riesgos valorados como más alto dentro del espectro de riesgo inherente pero que no han sido considerados riesgos significativos;
– Controles relacionados con conciliaciones de registros detallados con el mayor o,
– En el caso de utilizar una organización de servicios, controles complementarios de la entidad usuaria(45).
(45) NIA 402, Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios.
Identificación de aplicaciones de TI y otros aspectos del entorno de TI, riesgos derivados de la utilización de TI y controles generales de TI [Ref: Apartados 26(b)‒(c)].
El Anexo 5 incluye ejemplos de características de aplicaciones de TI y otros aspectos del entorno de TI, y orientaciones relacionadas con dichas características que pueden ser relevantes en la identificación de aplicaciones de TI y otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI.
Identificación de aplicaciones de TI y otros aspectos del entorno de TI Apartado 26(b).
Por qué el auditor identifica los riesgos derivados de la utilización de TI y en los controles generales relacionados con aplicaciones de TI identificadas y otros aspectos del entorno de TI.
A166. El conocimiento de los riesgos derivados de la utilización de TI y de los controles implementados por la entidad para responder a esos riesgos puede afectar a:
– La decisión del auditor sobre si probar la eficacia operativa de los controles para responder a los riesgos identificados de incorrección material en los estados financieros;
Ejemplo:
Cuando los controles generales de TI no están diseñados de un modo eficaz o no están debidamente implementados para responder a los riesgos derivados de la utilización de TI (por ejemplo, los controles no previenen o detectan cambios no autorizados en los programas o accesos no autorizados a aplicaciones de TI), esto puede influir en la decisión del auditor de confiar en controles automatizados en la aplicación de TI afectada.
– La valoración por el auditor del riesgo de control en las afirmaciones;
Ejemplo:
La continuidad de la eficacia operativa de un control de procesamiento de la información puede depender de determinados controles generales de TI que previenen o detectan cambios no autorizados en el programa de TI de control de procesamiento de la información (es decir, controles sobre cambios en los programas de la correspondiente aplicación de TI). En tales circunstancias, la esperada eficacia operativa del control general de TI (o su ausencia) puede influir en la valoración por el auditor del riesgo de control (por ejemplo, el riesgo de control puede ser más elevado cuando se espera que dichos controles generales de TI sean ineficaces o si el auditor no tiene previsto probar los controles generales de TI).
– La estrategia del auditor para probar la información producida por la entidad generada por las aplicaciones de TI de la entidad o que involucra información originada por las mismas;
Ejemplo:
Cuando la información producida por la entidad que vaya a ser utilizada como evidencia de auditoría sea generada por aplicaciones de TI, el auditor puede determinar probar controles sobre informes generados por el sistema, incluida la identificación y comprobación de los controles generales de TI que responden a los riesgos de cambios inapropiados o no autorizados en los programas o cambios directos de datos en los informes.
– La valoración por el auditor del riesgo inherente en las afirmaciones; o
Ejemplo:
Cuando hay cambios significativos y extensos en los programas de una aplicación de TI para tratar requerimientos de información nuevos o revisados del marco de información financiera aplicable, puede ser un indicio de la complejidad de los nuevos requerimientos y de su efecto estados financieros de la entidad. Cuando se producen tales cambios en los programas o en los datos, es probable que la aplicación de TI esté sujeta a riesgos derivados de la utilización de TI.
– El diseño de procedimientos posteriores de auditoría.
Ejemplo:
Si los controles de procesamiento de la información dependen de los controles generales de TI, es posible que el auditor determine comprobar la eficacia operativa de los controles generales de TI, para lo que será necesario diseñar pruebas de controles para esos controles generales. Si, en las mismas circunstancias, el auditor determina no comprobar la eficacia operativa de los controles generales de TI o se espera que dichos controles generales sean ineficaces, los riesgos relacionados derivados de la utilización de TI probablemente tengan que ser tratados mediante el diseño de procedimientos sustantivos. No obstante, es posible que los riesgos derivados de la utilización de TI no puedan ser tratados cuando están relacionadas con riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada. En esas circunstancias, es posible que el auditor deba considerar las implicaciones en la opinión del auditor.
Identificación de las aplicaciones sujetas a riesgos derivados de la utilización de TI.
A167. Para las aplicaciones de TI relevantes para el sistema de información, el conocimiento de la naturaleza y de la complejidad de los procesos específicos de TI y de los controles generales de TI establecidos por la entidad puede ayudar al auditor en la determinación de cuáles son las aplicaciones de TI en las que confía la entidad para procesar adecuadamente la información en el sistema de información de la entidad y para mantener la integridad de esta. Es posible que esas aplicaciones estén sujetas a riesgos derivados de la utilización de TI.
A168. La identificación de las aplicaciones sujetas a riesgos derivados de la utilización de TI implica tener en cuenta los controles identificados por el auditor puesto que tales controles pueden suponer la utilización de TI o confiar en las TI. El auditor se puede centrar en si una aplicación de TI incluye controles automatizados en los que confía la dirección identificados por él, incluidos los controles que responden a riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada. El auditor también puede considerar el modo en que la información relativa a los tipos de transacciones, saldos contables e información a revelar se almacena y procesa en el sistema de información y si la dirección confía en controles generales de TI para mantener la integridad de esta.
A169. Los controles identificados por el auditor pueden depender de informes generados por el sistema, en cuyo caso, las aplicaciones que producen dichos informes pueden estar sujetas a riesgos derivados de la utilización de TI. En otros casos, es posible que el auditor no tenga previsto confiar en los controles sobre los informes generados por el sistema y prevea comprobar directamente los datos de entrada y de salida de dichos informes, en cuyo caso, puede no identificar las correspondientes aplicaciones de TI como sujetas a riesgos por TI.
Graduación.
A170. La amplitud del conocimiento del auditor de los procesos de TI, incluido el grado en que la entidad ha establecido controles generales de TI, variará según la naturaleza y las circunstancias de la entidad y de su entorno de TI, así como según la naturaleza y extensión de los controles identificados por el auditor. El número de aplicaciones de TI sujetas a riesgos derivados de la utilización de TI también variará en base a estos factores.
Ejemplos:
– Es poco probable que una entidad que utiliza un software comercial y no tiene acceso al código fuente para realizar ningún cambio en los programas tenga un proceso relativo a cambios en los programas, pero sí puede tener un proceso o procedimientos para configurar el software (por ejemplo, el cuadro de cuentas, parámetros o niveles). Además, es posible que la entidad tenga un proceso o procedimientos para gestionar el acceso a la aplicación (por ejemplo, haber nombrado una persona para que tenga acceso al software comercial). En esas circunstancias, es poco probable que la entidad tenga o necesite controles generales de TI formales.
– Por el contrario, es posible que una entidad de gran dimensión confíe en mayor grado en las TI y el entorno de TI puede involucrar múltiples aplicaciones de TI y los procesos de TI para la gestión del entorno de TI pueden ser complejos (por ejemplo, existe un departamento separado de TI que desarrolla e implementa los cambios en los programas y gestiona los derechos de acceso), incluido el que la entidad haya implementado controles generales de TI formales sobre sus procesos de TI.
– Cuando la dirección no confíe en controles automatizados o en controles generales de TI para el procesamiento de transacciones o el mantenimiento de los datos, y el auditor no haya identificado ningún control automatizado u otros controles de procesamiento de la información (o ninguno que dependa de los controles generales de TI), el auditor puede planificar comprobar directamente cualquier información generada por la entidad que implique TI y puede no identificar ninguna aplicación de TI sujeta a riesgos por la utilización de TI.
– Cuando la dirección confíe en una aplicación de TI para el procesamiento o el mantenimiento de los datos y el volumen de datos sea significativo, y la dirección confíe en la aplicación de TI para ejecutar controles automatizados que el auditor también ha identificado, es probable que la aplicación de TI esté sujeta a riesgos por la utilización de TI.
A171. Cuando el entorno de TI de una entidad es más complejo, es probable que la identificación de las aplicaciones de TI y otros aspectos del entorno de TI, la determinación de los riesgos relacionados derivados de la utilización de TI y la identificación de controles generales de TI requiera la participación de miembros del equipo con cualificaciones especializadas en TI. Es posible que esa participación sea esencial y tenga que ser extensa en el caso de entornos de TI complejos.
Identificación de otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI.
A172. Los demás aspectos del entorno de TI que pueden estar sujetos a riesgos derivados de la utilización de TI incluyen la red, los sistemas operativos y bases de datos y, en determinadas circunstancias, las comunicaciones (interfaces) entre aplicaciones de TI. Por lo general, no se identifican otros aspectos del entorno de TI cuando el auditor no identifica aplicaciones sujetas a riesgos derivados de la utilización de TI. Cuando el auditor haya identificado aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, es probable que se identifiquen otros aspectos del entorno de TI (por ejemplo, bases de datos, sistema operativo, red) porque esos aspectos dan apoyo e interactúan con las aplicaciones de TI identificadas.
Identificación de riesgos derivados de la utilización de TI y controles generales de TI [Ref: Apartado 26(c)].
El Anexo 6 contiene consideraciones para la obtención de conocimiento de los controles generales de TI.
A173. En la identificación de riesgos derivados de la utilización de TI, el auditor puede considerar la naturaleza de la aplicación de TI identificada u otro aspecto del entorno de TI y los motivos por los que están sujetos a riesgos derivados de la utilización de TI. En el caso de algunas aplicaciones de TI u otros aspectos del entorno de TI identificados, es posible que el auditor identifique riesgos aplicables derivados de la utilización de TI relacionados principalmente con accesos no autorizados o con cambios no autorizados en los programas, o que tratan los riesgos de cambios inapropiados en los datos (por ejemplo, el riesgos de cambios inapropiados en los datos mediante el acceso directo a las bases de datos o la capacidad de manipular directamente la información).
A174. La extensión y la naturaleza de los riesgos aplicables identificados derivados de la utilización de TI varían según la naturaleza y las características de las aplicaciones de TI identificadas y otros aspectos del entorno de TI. Se pueden producir riesgos de TI aplicables cuando la entidad emplea proveedores de servicios externos o internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos de TI en un grupo). Riesgos aplicables derivados de la utilización de TI también se pueden identificar en relación con la ciberseguridad. Es más probable que haya más riesgos derivados de la utilización de TI cuanto mayor sea el volumen o la complejidad de los controles de aplicaciones automatizados y la dirección otorgue una mayor confianza a dichos controles para un procesamiento eficaz de las transacciones o el mantenimiento eficaz de la integridad de la información subyacente.
Evaluación del diseño e implementación de controles identificados en el componente de actividades de control [Ref: Apartado 26(d)].
A175. La evaluación del diseño de un control identificado implica la consideración por el auditor de si el control, de manera individual o en combinación con otros controles, es capaz de prevenir de modo eficaz, o de detectar y corregir, incorrecciones materiales (es decir, el objetivo de control).
A176. El auditor determina la implementación de un control estableciendo que el control existe y que la entidad lo está utilizando. No tiene mucho sentido que el auditor evalúe la implementación de un control que no tenga un diseño eficaz. En consecuencia, el auditor evalúa en primer lugar el diseño del control. Un control incorrectamente diseñado puede representar una deficiencia de control.
A177. Los procedimientos de valoración del riesgo para la obtención de evidencia de auditoría sobre el diseño e implementación de controles identificados en el componente de actividades de control pueden incluir:
– La indagación ante los empleados de la entidad.
– La observación de la aplicación de controles específicos.
– La inspección de documentos e informes.
Sin embargo, la indagación como único procedimiento no es suficiente para dichos fines.
A178. El auditor puede esperar, basándose en la experiencia de la auditoría anterior o en los procedimientos de valoración del riesgo del periodo actual, que la dirección no haya diseñado o implementado los controles de un modo eficaz para responder a un riesgo significativo. En esos casos, los procedimientos aplicados para cumplir el requerimiento del apartado 26(d) pueden consistir en determinar que dichos controles no han sido diseñados o implementados de un modo eficaz. Si los resultados de los procedimientos indican que los controles han sido diseñados o implementados recientemente, se requiere que el auditor aplique los procedimientos del apartado 26(b)–(d) a los controles diseñados o implementados recientemente.
A179. Es posible que el auditor concluya que es adecuado comprobar un control eficazmente diseñado e implementado para tener en cuenta su eficacia operativa en el diseño de procedimientos sustantivos. Sin embargo, cuando un control no está diseñado o implementado de un modo eficaz, no tiene ninguna utilidad comprobarlo. Cuando el auditor prevé comprobar un control, la información que obtenga sobre el grado en que el control responde al riesgo o los riesgos de incorrección material es un dato para su valoración del riesgo en las afirmaciones.
A180. Evaluar el diseño y determinar la implementación de controles identificados en el componente de actividades de control no es suficiente para comprobar su eficacia operativa. Sin embargo, en el caso de controles automatizados, el auditor puede planificar comprobar la eficacia operativa de los controles automatizados mediante la identificación y comprobación de controles generales de TI que aseguran el funcionamiento congruente de un control automatizado en vez de aplicar pruebas de eficacia operativa directamente sobre los controles automatizados. La obtención de evidencia de auditoría sobre la implementación de un control manual en un determinado momento no proporciona evidencia de auditoría sobre la eficacia operativa del control en otros momentos del periodo que comprende la auditoría. En la NIA 330(46) se describen con más detalle las pruebas sobre la eficacia operativa de los controles, incluidas las pruebas de controles indirectos.
(46) NIA 330, apartados 8-11.
A181. Cuando el auditor no tiene previsto comprobar la eficacia operativa de los controles identificados, el conocimiento del auditor aún le puede ayudar en el diseño de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos de auditoría que respondan a los correspondientes riesgos de incorrección material.
Ejemplo:
Los resultados de esos procedimientos de valoración del riesgo pueden proporcionar una base para la consideración por el auditor de posibles desviaciones en una población cuando diseñe muestras de auditoría.
Deficiencias de control en el sistema de control interno de la entidad (Ref: Apartado 27).
A182. En la realización de las evaluaciones de cada uno de los componentes del sistema de control interno de la entidad(47), es posible que el auditor determine que algunas de las políticas de la entidad en un componente no son adecuadas a la naturaleza y las circunstancias de la entidad. Esta determinación puede ser un indicador que ayude al auditor en la identificación de deficiencias de control. Si el auditor ha identificado una o varias deficiencias de control, puede tener en cuenta el efecto de esas deficiencias para el diseño de procedimientos posteriores de auditoría de conformidad con la NIA 330.
(47) Apartados 21(b), 22(b), 24(c), 25(c) y 26(d).
A183. Si el auditor ha identificado una o más deficiencias de control, la NIA 265(48) requiere que determine si, individualmente o su combinación, constituyen una deficiencia significativa. El auditor aplicará su juicio profesional para determinar si una deficiencia representa una deficiencia de control significativa(49).
(48) NIA 265, Comunicación a los responsables del gobierno y a la dirección de la entidad de las deficiencias en el control interno, apartado 8.
(49) En los apartados A6‒A7 de la NIA 265 se exponen indicadores de deficiencias significativas y de cuestiones que se deben considerar en la determinación de si una deficiencia, o una combinación de deficiencias, en el control interno constituye una deficiencia significativa.
Ejemplos:
Las circunstancias que pueden ser indicativas de que existe una deficiencia de control significativa incluyen cuestiones como:
– La identificación de fraude, cualquiera que sea su magnitud, en el que participe la alta dirección;
– Procesos internos identificados que son inadecuados relacionados con las deficiencias de información y comunicación observadas por la auditoría interna;
– Deficiencias comunicadas con anterioridad que no hayan sido corregidas por la dirección de modo oportuno;
– Que la dirección no haya respondido a riesgos significativos, por ejemplo, no implementando controles sobre riesgos significativos; y
– La reexpresión de estados financieros emitidos con anterioridad.
Identificación y valoración del riesgo de incorrección material (Ref: Apartados 28‒37).
Por qué el auditor identifica y valora los riesgos de incorrección material.
A184. Los riesgos de incorrección material son identificados y valorados por el auditor con el fin de determinar la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría necesarios para obtener evidencia de auditoría suficiente y adecuada. Dicha evidencia permite al auditor expresar una opinión sobre los estados financieros con un nivel de riesgo de auditoría aceptablemente bajo.
A185. La información obtenida de la aplicación de procedimientos de valoración del riesgo se utiliza como evidencia de auditoría para sustentar la identificación y la valoración de los riesgos de incorrección material. Por ejemplo, la evidencia de auditoría obtenida en la evaluación del diseño de controles identificados y en la determinación de si se han implementado en el componente de actividades de control se utiliza como evidencia de auditoría justificativa de la valoración del riesgo. Esta evidencia también proporciona una base para el diseño por el auditor de respuestas de carácter global para responder a los riesgos valorados de incorrección material en los estados financieros, así como para el diseño y aplicación de procedimientos posteriores de auditoría cuya naturaleza, momento de realización y extensión respondan a los riesgos valorados de incorrección material en las afirmaciones, de conformidad con la NIA 330.
Identificación de los riesgos de incorrección material (Ref: Apartado 28).
A186. La identificación de los riesgos de incorrección material se realiza antes de considerar cualquiera de los correspondientes controles (es decir, el riesgo inherente) y se basa en la consideración preliminar del auditor de las incorrecciones que tienen una probabilidad razonable tanto de existir como de ser materiales en caso de que existan(50).
(50) NIA 200, apartado A15a.
A187. La identificación de los riesgos de incorrección material también proporciona al auditor una base para la determinación de las afirmaciones relevantes, lo que le ayuda a determinar los tipos de transacciones, saldos contables e información a revelar significativos.
Afirmaciones.
Por qué el auditor utiliza afirmaciones.
A188. En la identificación y valoración de los riesgos de incorrección material, el auditor utiliza afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir. Las afirmaciones para las que el auditor ha identificado riesgos relacionados de incorrección material son afirmaciones relevantes.
La utilización de afirmaciones.
A189. En la identificación y valoración de los riesgos de incorrección material, el auditor puede utilizar las categorías de afirmaciones que se describen en el apartado A190(a)-(b) más adelante o puede expresarlas de una manera diferente siempre que todos los aspectos descritos más adelante hayan sido cubiertos. El auditor puede elegir combinar las afirmaciones sobre tipos de transacciones y hechos y la correspondiente información a revelar, con las afirmaciones sobre saldos contables y la correspondiente información a revelar.
A190. Las afirmaciones utilizadas por el auditor al considerar los distintos tipos de incorrecciones potenciales que pueden existir se pueden clasificar en las categorías siguientes:
(a) Afirmaciones sobre tipos de transacciones y hechos, y la correspondiente información a revelar, durante el periodo objeto de auditoría:
(i) Ocurrencia: las transacciones y hechos registrados o revelados han ocurrido y dichas transacciones y hechos corresponden a la entidad.
(ii) Integridad: se han registrado todos los hechos y transacciones que tenían que registrarse y se ha incluido toda la información a revelar relacionada que se tenía que incluir en los estados financieros.
(iii) Exactitud: las cantidades y otros datos relativos a las transacciones y hechos se han registrado adecuadamente y la correspondiente información a revelar ha sido adecuadamente medida y descrita.
(iv) Corte de operaciones: las transacciones y los hechos se han registrado en el periodo correcto.
(v) Clasificación: las transacciones y los hechos se han registrado en las cuentas apropiadas.
(vi) Presentación: las transacciones y hechos han sido adecuadamente agregados o desagregados y están descritos con claridad y la correspondiente información a revelar es pertinente y comprensible en el contexto de los requerimientos del marco de información financiera aplicable.
(b) Afirmaciones sobre saldos contables, y la correspondiente información a revelar, al cierre del periodo:
(i) Existencia: los activos, pasivos y el patrimonio neto existen.
(ii) Derechos y obligaciones: la entidad posee o controla los derechos de los activos, y los pasivos son obligaciones de la entidad.
(iii) Integridad: se han registrado todos los activos, pasivos y patrimonio neto que tenían que registrarse y se ha incluido toda la información a revelar relacionada que se tenía que incluir en los estados financieros.
(iv) Exactitud, valoración e imputación: los activos, pasivos y el patrimonio neto figuran en los estados financieros por los importes adecuados y cualquier ajuste resultante a la valoración o imputación ha sido adecuadamente registrado, y la correspondiente información a revelar ha sido adecuadamente medida y descrita.
(v) Clasificación: los activos, pasivos y el patrimonio neto se han registrado en las cuentas apropiadas.
(vi) Presentación: los activos, pasivos y el patrimonio neto han sido adecuadamente agregados o desagregados y están descritos con claridad y la correspondiente información a revelar es pertinente y comprensible en el contexto de los requerimientos del marco de información financiera aplicable.
A191. Las afirmaciones descritas en el apartado A190(a)–(b) anterior, adaptadas según corresponda, también pueden ser utilizadas por el auditor al considerar los diferentes tipos de incorrecciones que pueden darse en la información a revelar que no está directamente relacionada con tipos de transacciones, hechos o saldos contables registrados.
Ejemplo:
Un ejemplo de esa información a revelar incluye cuando es posible que la entidad esté obligada por el marco de información financiera aplicable a describir su exposición a riesgos originados por instrumentos financieros, incluido cómo surgen dichos riesgos; los objetivos, políticas y procedimientos para gestionar los riesgos y los métodos utilizados para medir los riesgos.
Consideraciones específicas para entidades del sector público.
A192. Apartado suprimido.
Riesgos de incorrección material en los estados financieros [Ref: Apartados 28 (a) y 30].
Por qué el auditor identifica y valora los riesgos de incorrección material en los estados financieros
A193. El auditor identifica y valora los riesgos de incorrección material en los estados financieros con el fin de determinar si estos tienen un efecto generalizado sobre los estados financieros y, en consecuencia, requerirían una respuesta global de conformidad con la NIA 330(51).
(51) NIA 330, apartado 5.
A194. Además, los riesgos de incorrección material en los estados financieros también pueden afectar a afirmaciones concretas y la identificación de estos riesgos puede ayudar al auditor en la identificación de riesgos de incorrección material en las afirmaciones y en el diseño de procedimientos posteriores de auditoría para tratar riesgos identificados.
Identificación y valoración de los riesgos de incorrección material en los estados financieros.
A195. Los riesgos de incorrección material en los estados financieros se refieren a los que se relacionan de manera generalizada con los estados financieros en su conjunto y, potencialmente, afectan a varias afirmaciones. Los riesgos de esta clase no son necesariamente riesgos que se puedan identificar con afirmaciones específicas sobre los tipos de transacciones, saldos contables o información a revelar (por ejemplo, riesgo de elusión de controles por la dirección). Representan, más bien, circunstancias que pueden incrementar los riesgos de incorrección material en las afirmaciones de manera generalizada. La evaluación por el auditor de si los riesgos identificados se relacionan de manera generalizada con los estados financieros sustenta su valoración de los riesgos de incorrección material en los estados financieros. En otros casos, se pueden identificar también determinadas afirmaciones susceptibles de ese riesgo y pueden, por lo tanto, afectar a la identificación y valoración por parte del auditor de los riesgos de incorrección material en las afirmaciones.
Ejemplo:
La entidad se enfrenta a pérdidas de explotación y problemas de liquidez y depende de financiación que aún no se ha obtenido. En dicha circunstancia, el auditor puede determinar que el principio contable de empresa en funcionamiento da lugar a un riesgo de incorrección material en los estados financieros. En esta situación, quizás resulte necesario que el marco contable se aplique utilizando bases de liquidación lo que afectaría a todas las afirmaciones de manera generalizada.
A196. La identificación y valoración por el auditor de los riesgos de incorrección material en los estados financieros se ven influenciadas por su conocimiento del sistema de control interno de la entidad, en especial por su conocimiento del entorno de control, del proceso de valoración del riesgo por la entidad y del proceso para el seguimiento del sistema de control interno de la entidad; y:
– Por el resultado de las correspondientes evaluaciones requeridas por los apartados 21(b), 22(b), 24(c) y 25(c); y
– por cualquier deficiencia identificada en los controles de conformidad con el apartado 27.
En concreto, los riesgos en los estados financieros pueden originarse por deficiencias en el entorno de control o por hechos o condiciones externos, como condiciones económicas en declive.
A197. Los riesgos de incorrección material debidos a fraude pueden ser de especial relevancia para la consideración por el auditor de los riesgos de incorrección material en los estados financieros.
Ejemplo:
El auditor conoce por indagaciones ante la dirección que los estados financieros de la entidad van a ser utilizados en discusiones con prestamistas con el fin de obtener financiación adicional para mantener el fondo de maniobra. El auditor puede, en consecuencia, determinar que existe una mayor susceptibilidad de incorrección debida a factores de riesgo de fraude que afectan al riesgo inherente (es decir, la susceptibilidad de los estados financieros a incorrección material debida al riesgo de información financiera fraudulenta, como una sobrevaloración de activos e ingresos y una infravaloración de pasivos y gastos para asegurar que se obtendrá la financiación).
A198. El conocimiento del auditor, incluidas las correspondientes evaluaciones, del entorno de control y de otros componentes del sistema de control interno puede generar dudas sobre la capacidad del auditor para obtener evidencia de auditoría en la que basar la opinión de auditoría o ser causa de renuncia al encargo, si las disposiciones legales o reglamentarias así lo permiten.
Nota aclaratoria de la adaptación a NIA-ES.–A efectos de lo dispuesto en este apartado, en relación con la renuncia al encargo, se debe atender a lo establecido en los artículos 5.2 y 22 de la LAC y en su normativa de desarrollo.
Ejemplos:
– Como resultado de su evaluación del entorno de control de la entidad, el auditor tiene reservas acerca de la integridad de la dirección de la entidad, las cuales pueden ser tan graves, que le lleven a la conclusión de que el riesgo de que la dirección presente intencionadamente unos estados financieros incorrectos es tal, que no se puede realizar una auditoría.
– Como resultado de su evaluación del sistema de información y comunicación de la entidad, el auditor determina que se han gestionado de manera deficiente cambios significativos en el entorno de las TI, con una escasa supervisión por parte de la dirección y de los responsables del gobierno de la entidad. El auditor concluye que tiene reservas significativas acerca del estado y la fiabilidad de los registros contables de la entidad. En esas circunstancias, el auditor puede determinar que es poco probable que se disponga de evidencia de auditoría suficiente y adecuada que sirva de base para una opinión de auditoría no modificada sobre los estados financieros.
A199. La NIA 705 (Revisada)(52) establece los requerimientos y proporciona orientaciones para determinar si es necesario que el auditor exprese una opinión con salvedades o deniegue la opinión o, como puede ser necesario en algunos casos, renuncie al encargo si las disposiciones legales o reglamentarias aplicables así lo permiten.
(52) NIA 705 (Revisada), Opinión modificada en el informe de auditoría emitido por un auditor independiente.
Nota aclaratoria de la adaptación a NIA-ES.–Véase nota aclaratoria al apartado A198 de esta Norma.
Consideraciones específicas para entidades del sector público.
A200. Apartado suprimido.
Riesgos de incorrección material en las afirmaciones [Ref: Apartado 28(b)].
El Anexo 2 contiene ejemplos, en el contexto de los factores de riesgo inherente, de hechos o condiciones que pueden indicar una susceptibilidad a incorrecciones que pueden ser materiales.
A201. Los riesgos de incorrección material que no se relacionan de manera generalizada con los estados financieros son riesgos de incorrección material en las afirmaciones.
Afirmaciones relevantes y tipos de transacciones, saldos contables e información a revelar significativos (Ref: Apartado 29).
Por qué se determinan las afirmaciones relevantes y los tipos de transacciones, saldos contables e información a revelar significativos.
A202. La determinación de las afirmaciones relevantes y de los tipos de transacciones, saldos contables e información a revelar significativos proporciona la base para el alcance del conocimiento del auditor del sistema de información de la entidad que debe obtener de conformidad con el apartado 25(a). Este conocimiento también puede ayudar al auditor en la identificación y valoración de los riesgos de incorrección material (véase el apartado A86).
Herramientas y técnicas automatizadas.
A203. El auditor puede utilizar técnicas automatizadas para ayudarle en la identificación de los tipos de transacciones, saldos contables e información a revelar significativos.
Ejemplos:
– Se puede analizar la totalidad de una población de transacciones utilizando herramientas y técnicas automatizadas para conocer su naturaleza, fuente, dimensión y volumen. Mediante la aplicación de técnicas automatizadas, el auditor puede, por ejemplo, detectar que una cuenta con saldo cero al final del periodo está formada por numerosas transacciones y anotaciones en el diario registradas a lo largo del tiempo que se compensan, lo que indica que el saldo contable o el tipo de transacciones puede ser significativo (por ejemplo, una cuenta relacionada con el pago de nóminas). Esa misma cuenta puede permitir detectar también reembolsos de gastos a la dirección (y a otros empleados), lo que podría dar lugar a información a revelar significativa debido a que estos pagos se realizan a partes vinculadas.
– El auditor puede detectar con más facilidad un tipo significativo de transacciones que no había sido previamente identificada analizando los flujos de toda una población de transacciones de ingresos.
Información a revelar que puede ser significativa.
A204. La información a revelar significativa incluye información a revelar tanto cuantitativa como cualitativa para la que existe una o varias afirmaciones relevantes. Algunos ejemplos de información a revelar que tiene aspectos cualitativos y que puede contener afirmaciones relevantes, por lo es posible que sea considerada significativa por el auditor, incluyen información a revelar sobre:
– Liquidez y cláusulas del contrato de deuda en el caso de una entidad con una situación financiera delicada.
– Hechos o circunstancias que han originado el reconocimiento de una pérdida por deterioro de valor de activos.
– Principales fuentes de incertidumbre en la estimación, incluidas las hipótesis sobre el futuro.
– La naturaleza de un cambio de política contable y otra información a revelar relevante requerida por el marco de información financiera aplicable cuando, por ejemplo, se espera que nuevos requerimientos de información financiera tengan un impacto significativo sobre la situación financiera y el resultado de la entidad.
– Acuerdos de remuneración con pagos basados en acciones, incluida la información sobre el modo en que se determinaron las cantidades registradas, y otra información a revelar relevante.
– Partes vinculadas y transacciones entre partes vinculadas.
– Análisis de sensibilidad, incluidos los efectos de los cambios en las hipótesis utilizadas por la entidad en sus técnicas de valoración con el fin de permitir a los usuarios entender la incertidumbre subyacente en la medición de un importe registrado o revelado.
Valoración de los riesgos de incorrección material en las afirmaciones.
Valoración del riesgo inherente (Ref: Apartados 31‒33).
Valoración de la probabilidad de que ocurra una incorrección y de su magnitud (Ref: Apartado 31).
Por qué el auditor valora la probabilidad de que ocurra una incorrección y su magnitud.
A205. El auditor valora la probabilidad de que exista una incorrección y su magnitud en el caso de riesgos identificados de incorrección material porque la significatividad de la combinación de la probabilidad de que exista y de la magnitud de la incorrección potencial si existe determina el punto en el espectro de riesgo inherente en el que se sitúa el riesgo inherente identificado, lo que proporciona información para el diseño por el auditor de procedimientos posteriores de auditoría para responder al riesgo.
A206. La valoración del riesgo inherente de los riesgos identificados de incorrección material también ayuda al auditor a determinar los riesgos significativos. El auditor determina los riesgos significativos porque la NIA 330 y otras NIA requieren respuestas específicas a riesgos significativos.
A207. Los factores de riesgo inherente influyen en la valoración por el auditor de la probabilidad de que exista una incorrección y su magnitud para los riesgos identificados de incorrección material en las afirmaciones. Cuanto mayor sea el grado de susceptibilidad de incorrección material de un tipo de transacciones, saldo contable o información a revelar, mayor será, probablemente, la valoración del riesgo inherente. Considerar el grado en que los factores de riesgo inherente afectan a la susceptibilidad de una afirmación a incorrección ayuda al auditor a responder adecuadamente al riesgo inherente para riesgos de incorrección material en las afirmaciones y a diseñar una respuesta más precisa a dicho riesgo.
Espectro de riesgo inherente.
A208. En la valoración del riesgo inherente, el auditor aplica su juicio profesional para determinar la significatividad de la combinación de la probabilidad de que exista una incorrección y de su magnitud.
A209. El riesgo inherente valorado relacionado con un determinado riesgo de incorrección material en las afirmaciones supone un juicio dentro de un rango, de menor a mayor, en el espectro de riesgo inherente. El juicio acerca de la valoración del punto del rango de riesgo inherente en el que se encuentra el riesgo puede variar según la naturaleza, dimensión y complejidad de la entidad y tiene en cuenta la valoración de la probabilidad de que ocurra una incorrección y de su magnitud, así como de los factores de riesgo inherente.
A210. En la consideración de la probabilidad de que exista una incorrección, el auditor tiene en cuenta la posibilidad de que exista una incorrección basándose en la consideración de los factores de riesgo inherente.
A211. En la consideración de la magnitud de una incorrección, el auditor tiene en cuenta los aspectos cualitativos y cuantitativos de la posible incorrección (es decir, se pueden considerar materiales las incorrecciones en las afirmaciones sobre tipos de transacciones, saldos contables o información a revelar en base a su dimensión, naturaleza o circunstancias).
A212. El auditor utiliza la significatividad de la combinación de la probabilidad de que ocurra una incorrección material y la magnitud de la posible incorrección para determinar en qué punto del espectro de riesgo inherente (es decir, el rango) valora que se sitúa el riesgo inherente. Cuanto mayor sea la combinación de la probabilidad de que exista y la magnitud, mayor será la valoración del riesgo inherente; cuanto menor sea la combinación de probabilidad y magnitud, menor será la valoración del riesgo inherente.
A213. Si la valoración de un riesgo le sitúa en el extremo más alto del espectro de riesgo inherente, no significa que tanto la magnitud como la probabilidad de que exista tengan que ser valoradas como altas. Es más bien el punto de intersección de la magnitud y de la probabilidad de la incorrección material en el espectro de riesgo inherente lo que determinará si el riesgo inherente valorado se sitúa en un punto alto o bajo del espectro de riesgo inherente. La valoración de un riesgo inherente como más alto también puede tener su origen en diferentes combinaciones de probabilidad y magnitud, por ejemplo, una valoración del riesgo inherente como más alto puede ser el resultado de una baja probabilidad y de una magnitud muy alta.
A214. Con el fin de desarrollar estrategias adecuadas para responder a los riesgos de incorrección material, el auditor puede clasificar los riesgos de incorrección material en categorías dentro del espectro de riesgo inherente en base a la valoración de su riesgo inherente. Estas categorías se pueden describir de varias maneras. Independientemente del método de clasificación que se utilice, la valoración por el auditor del riesgo inherente es adecuada cuando el diseño y la implementación de procedimientos posteriores de auditoría para tratar los riesgos identificados de incorrección material en las afirmaciones dan una respuesta adecuada a la valoración del riesgo inherente y a los motivos para dicha valoración.
Riesgos generalizados de incorrección material en las afirmaciones [Ref: Apartado 31(b)].
A215. Al valorar los riesgos identificados de incorrección material en las afirmaciones, es posible que el auditor concluya que algunos riesgos de incorrección material están relacionados de un modo más generalizado con los estados financieros en su conjunto y afectan potencialmente a muchas afirmaciones, en cuyo caso es posible que el auditor actualice la identificación de los riesgos de incorrección material en los estados financieros.
A216. En circunstancias en las que ciertos riesgos de incorrección material son identificados como riesgos en los estados financieros debido a su efecto generalizado en varias afirmaciones y se pueden identificar con afirmaciones específicas, se requiere que el auditor tenga en cuenta esos riesgos al valorar el riesgo inherente para los riesgos de incorrección material en las afirmaciones.
Consideraciones específicas para entidades del sector público.
A217. Apartado suprimido.
Riesgos significativos (Ref: Apartado 32).
Por qué se determinan los riesgos significativos y las implicaciones para la auditoría.
A218. La determinación de los riesgos significativos permite al auditor centrar más su atención en los riesgos que están en la parte más alta del espectro de riesgo inherente, realizando determinadas actuaciones que constituyen respuestas requeridas, que incluyen:
– Se requiere que se identifiquen controles que responden a riesgos significativos de conformidad con el apartado 26(a)(i), con un requerimiento de evaluar si el control ha sido diseñado de modo eficaz y ha sido implementado de conformidad con el apartado 26(d).
– La NIA 330 requiere que los controles que responden a riesgos significativos se comprueben en el periodo actual (cuando el auditor tiene intención de confiar en la eficacia operativa de esos controles) y que se planifiquen y apliquen procedimientos sustantivos que respondan de forma específica a dicho riesgo identificado(53).
(53) NIA 330, apartados 15 y 21.
– La NIA 330 requiere que el auditor obtenga evidencia de auditoría más convincente cuanto mayor sea la valoración del riesgo realizada por el auditor(54).
(54) NIA 330, apartado 7(b).
– La NIA 260 (Revisada) requiere que exista comunicación con los responsables del gobierno de la entidad acerca de los riesgos significativos identificados por el auditor(55).
(55) NIA 260 (Revisada), apartado 15.
– La NIA 701 requiere que el auditor tenga en cuenta los riesgos significativos cuando determine las cuestiones que han requerido atención significativa por su parte, las cuales pueden ser cuestiones clave de la auditoría(56).
(56) NIA 701, Comunicación de las cuestiones clave de la auditoría en el informe de auditoría emitido por un auditor independiente, apartado 9.
– La revisión oportuna por el socio del encargo de la documentación de auditoría, en las etapas adecuadas del desarrollo del encargo, permite que las cuestiones significativas, incluidos los riesgos significativos, se resuelvan oportuna y satisfactoriamente para el socio del encargo, en la fecha del informe de auditoría o con anterioridad a ella(57).
(57) NIA 220, apartados 17 y A19.
– La NIA 600 requiere una mayor participación del socio del encargo del grupo si el riesgo significativo está relacionado con un componente en una auditoría del grupo y que el equipo del encargo del grupo dirija el trabajo que se requiere en el componente que realice el auditor del componente(58).
(58) NIA 600, apartados 30 y 31.
Determinación de los riesgos significativos.
A219. En la determinación de los riesgos significativos, el auditor puede identificar en primer lugar los riesgos de incorrección material valorados cuyo riesgo inherente se haya valorado como más alto dentro del espectro de riesgo inherente para sustentar su consideración de qué riesgos se pueden encontrar próximos al límite superior. Encontrarse próximo al límite superior en el espectro de riesgo inherente será distinto según la entidad y no significará necesariamente lo mismo para una entidad de un periodo a otro. Puede depender de la naturaleza y las circunstancias de la entidad para la que se está valorando el riesgo.
A220. La determinación de cuáles de los riesgos de incorrección material valorados se encuentran próximos al límite superior dentro del espectro de riesgo inherente y constituyen, por lo tanto, riesgos significativos es una cuestión de juicio profesional, salvo si el riesgo es de un tipo de riesgo que debe ser tratado como riesgo significativo de conformidad con los requerimientos de otra NIA. La NIA 240 proporciona requerimientos y orientaciones adicionales sobre la identificación y valoración de los riesgos de incorrección material debida a fraude(59).
(59) NIA 240, apartados 26-28.
Ejemplo:
– Normalmente se determinaría que el dinero en efectivo en un supermercado tiene una elevada probabilidad de posible incorrección (debido al riesgo de apropiación indebida del efectivo), sin embargo, la magnitud sería habitualmente muy reducida (debido al pequeño volumen de efectivo que se maneja en las tiendas). La combinación de estos dos factores en el espectro de riesgo inherente probablemente no tendría como resultado que se determine que la existencia de efectivo sea un riesgo significativo.
– Una entidad está negociando vender un segmento de negocio. El auditor considera el efecto en el deterioro del fondo de comercio y puede determinar que hay una probabilidad más alta de posible incorrección y una magnitud más alta debido al impacto de los factores de riesgo inherente de subjetividad, incertidumbre y susceptibilidad de sesgo de la dirección y otros factores de riesgo de fraude. Esto puede tener como resultado que se determine que el deterioro del fondo de comercio sea un riesgo significativo.
A221. El auditor también tiene en cuenta los efectos relativos de los factores de riesgo inherente al valorar el riesgo inherente. Es probable que el riesgo valorado sea menor cuanto menor sea el efecto de los factores de riesgo inherente. Los riesgos de incorrección material cuyo riesgo inherente haya sido valorado como más alto y que pueden, en consecuencia, determinarse como riesgos significativos, pueden ser originados por cuestiones como las siguientes:
– Transacciones para las que existen múltiples tratamientos contables aceptables por lo que interviene la subjetividad.
– Estimaciones contables con una elevada incertidumbre en la estimación o modelos complejos.
– Complejidad en la recogida y procesamiento de datos para sustentar saldos contables.
– Saldos contables o información a revelar cuantitativa en la que intervienen cálculos complejos.
– Principios contables que pueden estar sujetos a diferentes interpretaciones.
– Cambios en los negocios de la entidad que suponen cambios contables, por ejemplo, fusiones y adquisiciones.
Riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada (Ref: Apartado 33).
Por qué se requiere que se identifiquen los riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada.
A222. Debido a la naturaleza de un riesgo de incorrección material y a las actividades de control que tratan ese riesgo, en algunas circunstancias, la única forma de obtener evidencia de auditoría suficiente y adecuada es comprobar la eficacia operativa de los controles. En consecuencia, se requiere que el auditor identifique cualquier riesgo de ese tipo por las implicaciones para el diseño y aplicación de procedimientos posteriores de auditoría de conformidad con la NIA 330 para responder a los riesgos de incorrección material en las afirmaciones.
A223. El apartado 26(a)(iii) también requiere la identificación de controles que responden a riesgos para los que los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada porque se requiere que el auditor, de conformidad con la NIA 330(60), diseñe y realice pruebas de esos controles.
(60) NIA 330, apartado 8.
Determinación de riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada.
A224. Cuando transacciones rutinarias estén sujetas a un procesamiento muy automatizado con escasa o nula intervención manual, puede que no resulte posible aplicar únicamente procedimientos sustantivos en relación con el riesgo. Este puede ser el caso en aquellas circunstancias en las que una cantidad significativa de la información de la entidad se inicia, registra, procesa o notifica solo de manera electrónica, como en un sistema de información que implica un alto grado de integración a través de sus aplicaciones de TI. En estos casos:
– Es posible que la evidencia de auditoría únicamente esté disponible en formato electrónico, y que su suficiencia y adecuación normalmente dependan de la eficacia de los controles sobre su exactitud e integridad.
– La posibilidad de que la información se inicie o altere de manera incorrecta y de que este hecho no se detecte puede ser mayor si los correspondientes controles no están funcionando de manera eficaz.
Ejemplo:
Por lo general, no es posible obtener evidencia de auditoría suficiente y adecuada en relación con los ingresos de una entidad de telecomunicaciones basándose sólo en procedimientos sustantivos. Esto es así porque la evidencia sobre llamadas o tráfico de datos no existe en un formato observable. En su lugar, por lo general, se realizan pruebas de controles sustanciales para determinar que el origen y finalización de llamadas y el tráfico de datos se capturan correctamente (por ejemplo, minutos de una llamada o volumen de una descarga) y se registran correctamente en el sistema de facturación de la entidad.
A225. La NIA 540 (Revisada) proporciona orientaciones adicionales relacionadas con las estimaciones contables acerca de riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada(61). En relación con las estimaciones contables esto puede no estar limitado al procesamiento automatizado, sino que puede ser también aplicable a modelos complejos.
(61) NIA 540 (Revisada), apartados A87–A89.
Valoración del riesgo de control (Ref: Apartado 34).
A226. Los planes del auditor de comprobar la eficacia operativa de los controles se basan en la expectativa de que los controles funcionan eficazmente, y esto será la base de la valoración por el auditor del riesgo de control. La expectativa inicial de la eficacia operativa de los controles se basa en la evaluación por el auditor del diseño de los controles identificados en el componente de actividades de control y en la determinación de su implementación. Una vez que el auditor haya comprobado la eficacia operativa de los controles de conformidad con la NIA 330, podrá confirmar su expectativa inicial acerca de la eficacia operativa de los controles. Si los controles no están funcionando eficazmente según lo esperado, el auditor tendrá que revisar la valoración del riesgo de control de conformidad con el apartado 37.
A227. La valoración por el auditor del riesgo de control se puede realizar de diferentes maneras dependiendo de las técnicas o metodologías de auditoría que prefiera, y se puede expresar de diferentes formas.
A228. Si el auditor prevé comprobar la eficacia operativa de los controles, puede resultar necesario probar una combinación de controles para confirmar sus expectativas de que los controles están funcionando eficazmente. El auditor puede tener previsto probar tanto controles directos como indirectos, incluidos controles generales de TI y, en ese caso, tener en cuenta el efecto combinado esperado de los controles al valorar el riesgo de control. En la medida en que el control que vaya a ser probado no trate totalmente el riesgo inherente valorado, el auditor determinará las implicaciones para el diseño de procedimientos posteriores de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo.
A229. Cuando el auditor tenga previsto comprobar la eficacia operativa de un control automatizado, puede también planificar comprobar la eficacia operativa de los correspondientes controles generales de TI que sustentan el funcionamiento continuo de dicho control automatizado para responder a los riesgos derivados de la utilización de TI y para proporcionar una base para la expectativa del auditor de que el control automatizado funcionó eficazmente durante todo el periodo. Si el auditor espera que los correspondientes controles de TI sean ineficaces, esta determinación puede afectar a su valoración del riesgo de control en las afirmaciones y sus procedimientos posteriores de auditoría quizás tengan que incluir procedimientos sustantivos para responder a los riesgos aplicables derivados de la utilización de TI. En la NIA 330(62) se proporcionan orientaciones adicionales sobre los procedimientos que el auditor puede aplicar en estas circunstancias.
(62) NIA 330, apartados A29–A30.
Evaluación de la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo (Ref: Apartado 35).
Por qué el auditor evalúa la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo.
A230. La evidencia obtenida de la aplicación de procedimientos de valoración del riesgo proporciona la base para la identificación y valoración de los riesgos de incorrección material. Esto proporciona una base para el diseño de la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría que responden a los riesgos valorados de incorrección material en las afirmaciones, de conformidad con la NIA 330. En consecuencia, la evidencia de auditoría obtenida de la aplicación de procedimientos de valoración del riesgo proporciona la base para la identificación y valoración de los riesgos de incorrección material debida a fraude o error en los estados financieros y en las afirmaciones.
La evaluación de la evidencia de auditoría.
A231. La evidencia de auditoría obtenida de la aplicación de procedimientos de valoración del riesgo comprende tanto la información que sustenta y corrobora las afirmaciones de la dirección como cualquier información que contradiga dichas afirmaciones(63).
(63) NIA 500, apartado A1.
Escepticismo profesional
A232. Al evaluar la evidencia de auditoría obtenida de la aplicación de procedimientos de valoración del riesgo, el auditor considera si ha obtenido suficiente conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad para poder identificar los riesgos de incorrección material, así como si existe cualquier evidencia contradictoria que pueda indicar un riesgo de incorrección material.
Tipos de transacciones, saldos contables e información a revelar que no son significativos pero si son materiales (Ref: Apartado 36).
A233. Como se explica en la NIA 320(64), la materialidad y el riesgo de auditoría se consideran al identificar y valorar los riesgos de incorrección material en tipos de transacciones, saldos contables e información a revelar. La determinación por el auditor de la importancia relativa viene dada por el ejercicio de su juicio profesional, y se ve afectada por su percepción de las necesidades de información financiera de los usuarios de los estados financieros(65). A los efectos de esta NIA y del apartado 18 de la NIA 330, los tipos de transacciones, saldos contables e información a revelar son materiales si podría esperarse razonablemente que omitiendo, revelando con incorrecciones u ocultando información sobre ellos, se influiría en las decisiones económicas que los usuarios toman basándose en los estados financieros en su conjunto.
(64) NIA 320, apartado A1.
(65) NIA 320, apartado 4.
A234. Es posible que existan tipos de transacciones, saldos contables o información a revelar que sean materiales pero que no se haya determinado que sean tipos de transacciones, saldos contables o información a revelar significativos (es decir, no se han identificado afirmaciones relevantes).
Ejemplo:
La entidad puede disponer de información revelada sobre remuneración a directivos para la que el auditor no haya identificado un riesgo de incorrección material. Sin embargo, el auditor puede determinar que esta información revelada es material en base a las consideraciones del apartado A233.
A235. Los procedimientos de auditoría para tratar tipos de transacciones, saldos contables o información a revelar que son materiales pero que no se consideran significativos se tratan en la NIA 330(66). Cuando se determina que un tipo de transacción, saldo contable o información a revelar es significativo como lo requiere el apartado 29, dicho tipo de transacción, saldo contable o información a revelar es también un tipo de transacción, saldo contable o información a revelar material a los efectos del apartado 18 de la NIA 330.
(66) NIA 330, apartado 18.
Revisión de la valoración del riesgo (Ref: Apartado 37).
A236. Durante la realización de la auditoría puede llegar a conocimiento del auditor nueva información u otra información que difiera significativamente de la información sobre la que se basó la valoración del riesgo.
Ejemplo:
La valoración del riesgo por la entidad puede estar basada en la suposición de que ciertos controles están funcionando de manera eficaz. Al realizar las pruebas sobre dichos controles, el auditor puede obtener evidencia de auditoría de que no funcionaron de manera eficaz en momentos importantes durante la realización de la auditoría. Del mismo modo, al aplicar procedimientos sustantivos, el auditor puede detectar incorrecciones por cantidades superiores o con mayor frecuencia de lo que corresponde a las valoraciones del riesgo realizadas por el auditor. En tales circunstancias, puede ocurrir que la valoración del riesgo no refleje adecuadamente las verdaderas circunstancias de la entidad y los procedimientos posteriores de auditoría planificados pueden no ser eficaces para detectar incorrecciones materiales. Los apartados 16 y 17 de la NIA 330 proporcionan orientaciones adicionales para la evaluación de la eficacia operativa de los controles.
Documentación (Ref: Apartado 38).
A237. En el caso de auditorías recurrentes, puede utilizarse cierta documentación de periodos anteriores, actualizada según resulte necesario para reflejar los cambios en los negocios o procesos de la entidad.
A238. La NIA 230 señala que, entre otras consideraciones, aunque puede no existir una única forma de documentar la aplicación de escepticismo profesional por parte del auditor, la documentación de auditoría puede, sin embargo, proporcionar evidencia de la aplicación de escepticismo profesional por el auditor(67). Por ejemplo, cuando la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo comprende tanto información que corrobora como información que contradice las afirmaciones de la dirección, la documentación puede incluir el modo en que el auditor evaluó esa evidencia, incluidos los juicios profesionales aplicados al evaluar si la evidencia de auditoría proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material. Entre los ejemplos de otros requerimientos de esta NIA para los que la documentación puede proporcionar evidencia de la aplicación de escepticismo profesional por el auditor se incluyen:
(67) NIA 230, apartado A7.
– El apartado 13, que requiere que el auditor diseñe y aplique procedimientos de valoración del riesgo de un modo que no esté sesgado hacia la obtención de evidencia de auditoría que pueda corroborar la existencia de riesgos o hacia la eliminación de evidencia de auditoría que pueda contradecir la existencia de riesgos;
– El apartado 17, que requiere una discusión entre los miembros clave del equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material;
– Los apartados 19(b) y 20, que requieren que el auditor obtenga un conocimiento de los motivos de cualquier cambio en las políticas contables de la entidad y que evalúe si las políticas contables de la entidad son adecuadas y congruentes con el marco de información financiera aplicable;
– Los apartados 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) y 27, que requieren que el auditor evalúe, en base al conocimiento obtenido, si los componentes del sistema de control interno de la entidad son adecuados a las circunstancias de la entidad, considerando la naturaleza y complejidad de la entidad, y que determine si se han identificado una o más deficiencias de control;
– El apartado 35, que requiere que el auditor tenga en cuenta toda la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo, tanto si corrobora como si contradice las afirmaciones de la dirección y que evalúe si esa evidencia de auditoría obtenida de los procedimientos de valoración del riesgo proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material; y
– El apartado 36, que requiere que el auditor evalúe, cuando sea aplicable, si la determinación por el auditor de que no existen riesgos de incorrección material para un tipo de transacciones, saldo contable o información a revelar materiales continúa siendo adecuada.
Graduación.
A239. El modo en que se deben documentar los requerimientos del apartado 38 debe determinarlo el auditor de acuerdo con su juicio profesional.
A240. Es posible que sea necesaria documentación más detallada, que sea suficiente para permitir a un auditor experimentado, que no haya tenido contacto previo con la auditoría, la comprensión de la naturaleza, el momento de realización y la extensión de los procedimientos de auditoría aplicados, para sustentar el fundamento de los juicios difíciles aplicados.
A241. En el caso de auditorías de entidades menos complejas, la forma y extensión de la documentación pueden ser sencillas y relativamente breves. La forma y extensión de la documentación del auditor depende de la naturaleza, dimensión y complejidad de la entidad, así como de su sistema de control interno, de la disponibilidad de información por parte de la entidad y de la metodología y tecnología de auditoría utilizadas en el transcurso de la auditoría. No es necesario documentar la totalidad del conocimiento del auditor sobre la entidad y las cuestiones relacionadas con dicho conocimiento. Los elementos clave(68) del conocimiento documentados por el auditor pueden incluir aquellos que sirvieron de base al auditor para valorar los riesgos de incorrección material. Sin embargo, no se requiere que el auditor documente cada uno de los factores de riesgo inherente que se tuvo en cuenta al identificar y valorar los riesgos de incorrección material en las afirmaciones.
(68) NIA 230, apartado 8.
Ejemplo:
En las auditorías de entidades menos complejas, la documentación de auditoría puede incluirse en la del auditor relativa a la estrategia global de auditoría y plan de auditoría(69). Del mismo modo, por ejemplo, los resultados de la valoración del riesgo se pueden documentar por separado o se pueden incluir en la documentación del auditor sobre los procedimientos posteriores de auditoría(70).
(69) NIA 300, Planificación de la auditoría de estados financieros, apartados 7, 9 y A11.
(70) NIA 330, apartado 28.
Consideraciones para el conocimiento de la entidad y su modelo de negocio.
En este anexo se explican los objetivos y el alcance del modelo de negocio de la entidad y se proporcionan ejemplos de cuestiones que el auditor puede considerar para el conocimiento de las actividades de la entidad que pueden formar parte del modelo de negocio. El conocimiento por el auditor del modelo de negocio de la entidad, y del modo en que se ve afectado por su estrategia y objetivos de negocio, puede ayudar al auditor en la identificación de los riesgos de negocio que pueden tener un efecto sobre los estados financieros. Además, esto puede ayudar al auditor en la identificación de riesgos de incorrección material.
Objetivos y alcance de un modelo de negocio de una entidad.
1. El modelo de negocio de una entidad describe el modo en que la entidad considera, por ejemplo, su estructura organizativa, sus operaciones o el alcance de sus actividades, sus líneas de negocio (incluidos los competidores y los clientes de estos), sus procesos, sus oportunidades de crecimiento, su globalización, los requerimientos normativos y las tecnologías. El modelo de negocio de una entidad describe el modo en que la entidad crea, preserva y capta valor económico o más amplio, para sus grupos de interés.
2. Las estrategias son los enfoques que la dirección prevé utilizar para alcanzar los objetivos de la entidad, incluido el modo en que piensa responder a los riesgos y oportunidades a los que se enfrenta. La dirección cambia las estrategias de la entidad en el transcurso del tiempo para responder a los cambios en sus objetivos y en las circunstancias internas y externas en las que opera.
3. La descripción de un modelo de negocio habitualmente incluye:
– El alcance de las actividades de la entidad y el motivo para realizarlas.
– La estructura de la entidad y la magnitud de sus operaciones.
– Los mercados o los círculos geográficos o demográficos, y partes de la cadena de valor, en los que opera, el modo en que interactúa con esos mercados o círculos (principales productos, segmentos de clientela y métodos de distribución) y la base sobre la que compite.
– Los procesos de negocio o los procesos operativos de la entidad (por ejemplo, los procesos de inversión, de financiación y de explotación) empleados en la realización de sus actividades, centrándose en las partes de los procesos de negocio que son importantes para la creación, preservación o captación de valor.
– Los recursos (por ejemplo, financieros, humanos, intelectuales, medioambientales y tecnológicos) y otros datos y relaciones (por ejemplo, clientes, competidores, proveedores y empleados) que son necesarios o importantes para su éxito.
– El modo en que el modelo de negocio de la entidad integra la utilización de TI en sus interacciones con clientes, proveedores, fuentes de financiación y otros interesados mediante intercomunicaciones de TI y otras tecnologías.
4. Un riesgo de negocio puede tener una consecuencia inmediata sobre el riesgo de incorrección material para tipos de transacciones, saldos contables e información a revelar en las afirmaciones o en los estados financieros. Por ejemplo, el riesgo de negocio originado por una caída significativa de los valores en el mercado inmobiliario puede incrementar el riesgo de incorrección material asociado con la afirmación de valoración en el caso de un prestamista de préstamos a medio plazo con garantía inmobiliaria. No obstante, el mismo riesgo, especialmente si se combina con un empeoramiento importante de la situación económica que incrementa a la vez el riesgo subyacente de pérdidas por insolvencias en sus préstamos, puede tener también una consecuencia a más largo plazo, La exposición neta a pérdidas por insolvencias resultante puede generar dudas significativas sobre la capacidad de la entidad de continuar como empresa en funcionamiento. De ser así, ello podría tener implicaciones en la conclusión de la dirección y del auditor sobre lo adecuado de la utilización por la entidad del principio contable de empresa en funcionamiento y de la determinación de si existe una incertidumbre material. En consecuencia, el considerar si un riesgo de negocio puede producir un riesgo de incorrección material es una cuestión que se valora teniendo en cuenta las circunstancias de la entidad. En el Anexo 2 se enumeran ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material.
Actividades de la entidad.
5. Algunos ejemplos de cuestiones que el auditor puede considerar para obtener conocimiento de las actividades de la entidad (incluido su modelo de negocio) incluyen:
(a) Operaciones de negocio, tales como:
– Naturaleza de las fuentes de ingresos, productos o servicios, y mercados, incluida la participación en el comercio electrónico, como las ventas por internet y las actividades de marketing.
– Desarrollo de las operaciones (por ejemplo, etapas y métodos de producción, o actividades expuestas a riesgos medioambientales).
– Alianzas, negocios conjuntos y externalización de actividades.
– Dispersión geográfica y segmentación sectorial.
– Ubicación de las instalaciones de producción, almacenes y oficinas, así como ubicación y cantidades de existencias.
– Clientes clave y proveedores importantes de bienes y servicios, acuerdos laborales (incluida la existencia de convenios colectivos, compromisos por pensiones u otros beneficios posteriores a la jubilación, acuerdos de opciones sobre acciones y de bonos de incentivos, así como la regulación gubernamental en relación con las cuestiones laborales).
– Actividades y gastos en investigación y desarrollo.
– Transacciones con partes vinculadas.
(b) Inversiones y actividades de inversión, tales como:
– Adquisiciones o desinversiones previstas o recientemente realizadas.
– Inversiones y disposiciones de valores y préstamos.
– Actividades de inversión en capital.
– Inversiones en entidades que no consolidan, incluidas asociaciones no controladas, negocios conjuntos y entidades con cometido especial no controladas.
(c) Financiación y actividades de financiación, tales como:
– Estructura de propiedad de entidades dependientes y asociadas, incluidas estructuras consolidadas y no consolidadas.
– Estructura de la deuda y sus condiciones, incluidos los acuerdos de financiación fuera de balance y los acuerdos de arrendamiento.
– Beneficiarios efectivos (por ejemplo, nacionales, extranjeros, reputación comercial y experiencia) y partes vinculadas.
– Uso de instrumentos financieros derivados.
Naturaleza de las entidades con cometido especial.
Nota aclaratoria de la adaptación a NIA-ES.–Las entidades con cometido especial son conocidas también como entidades de propósito especial.
6. Una entidad con cometido especial (denominada en algunos casos vehículo con cometido especial) es una entidad generalmente constituida con un propósito limitado y bien definido, como, por ejemplo, llevar a cabo un arrendamiento o una titulización de activos financieros, o desarrollar actividades de investigación y desarrollo. Puede adoptar la forma de una sociedad anónima, fideicomiso, sociedad, cualquiera que sea su forma jurídica, o una entidad no constituida con forma jurídica de sociedad. La entidad por cuenta de la que se ha constituido la entidad con cometido especial puede a menudo transferirle activos (por ejemplo, como parte de una transacción para dar de baja activos financieros), obtener el derecho a utilizar sus activos, o prestarle servicios, a la vez que la entidad con cometido especial puede obtener financiación de otras partes. Como se indica en la NIA 550, en algunas circunstancias, una entidad con cometido especial puede ser una parte vinculada de la entidad(71).
(71) NIA 550, apartado A7.
7. Los marcos de información financiera a menudo establecen condiciones detalladas para delimitar lo que se entiende por control, o circunstancias en las cuales la entidad con cometido especial debería ser tenida en cuenta para la consolidación. La interpretación de los requerimientos de dichos marcos a menudo exige un conocimiento detallado de los acuerdos relevantes en los que participa la entidad con cometido especial.
Conocimiento de los factores de riesgo inherente.
En este anexo se proporciona una explicación más detallada de los factores de riesgo inherente, así como cuestiones que el auditor puede considerar para el conocimiento y aplicación de los factores de riesgo inherente para la identificación y valoración de riesgos de incorrección material en las afirmaciones.
Los factores de riesgo inherente.
1. Los factores de riesgo inherente son características de hechos o condiciones que afectan la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable o información a revelar a incorrección, debida a fraude o error, antes de considerar los controles. Dichos factores pueden ser cualitativos o cuantitativos e incluyen complejidad, subjetividad, cambio, incertidumbre o susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude(72) en la medida en la que afectan al riesgo inherente. En la obtención de conocimiento de la entidad y su entorno, y del marco de información financiera aplicable y de las políticas contables de la entidad de conformidad con los apartados 19(a)–(b), el auditor también comprende el modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros.
(72) NIA 240, apartados A24–A27.
2. Algunos de los factores de riesgo inherente relativos a la preparación de información requerida por el marco de información financiera aplicable (denominados en este apartado «información requerida») incluyen:
– Complejidad: se origina, bien por la naturaleza de la información, bien por el modo en que se prepara la información requerida, incluido cuando dichos procesos de preparación son inherentemente más difíciles de aplicar. Por ejemplo, la complejidad puede surgir:
• En el cálculo de provisiones para descuentos de proveedores porque puede ser necesario tener en cuenta distintos términos comerciales con muchos proveedores distintos, o muchos términos contractuales interrelacionados que son, todos ellos, aplicables en el cálculo de los descuentos a abonar; o
• cuando existen muchas fuentes posibles de datos, con diferentes características que se utilizan en la realización de una estimación contable, el procesamiento de esos datos implica muchos pasos interrelacionados y los datos, en consecuencia, son inherentemente más difíciles de identificar, capturar, acceder, comprender o procesar.
– Subjetividad: se origina por limitaciones inherentes en la capacidad de preparar la información requerida de un modo objetivo, debido a limitaciones en la disponibilidad de conocimiento o de información, de tal modo que la dirección puede tener que elegir o aplicar un juicio subjetivo acerca del enfoque más adecuado y acerca de la información resultante que se debe incluir en los estados financieros. Debido a distintos enfoques en la preparación de la información requerida, se podrían producir diferentes resultados de una adecuada aplicación del marco de información financiera aplicable. A medida que aumentan las limitaciones en el conocimiento o en los datos, aumenta la subjetividad de los juicios que podrían aplicar personas razonablemente conocedoras e independientes, así como la diversidad de los posibles resultados de esos juicios.
– Cambio: es el resultado de hechos o condiciones que, a lo largo del tiempo, afectan al negocio de la entidad o a los aspectos económicos, contables, normativos, sectoriales u otros del entorno en el que opera, cuando se reflejan los efectos de esos hechos o condiciones en la información requerida. Dichos hechos o condiciones pueden ocurrir durante el periodo de información financiera o entre periodos. Por ejemplo, el cambio puede ser el resultado de desarrollos en los requerimientos del marco de información financiera aplicable, en la entidad y su modelo de negocio o en el entorno en el que opera la entidad. Dicho cambio puede afectar a las hipótesis y juicios de la dirección, incluido cuando está relacionado con la elección de políticas contables por la dirección o el modo en que se realizan las estimaciones contables o se determina la correspondiente información a revelar.
– Incertidumbre: surge cuando la información requerida no se puede preparar solo sobre la base de datos suficientemente precisos y completos que se pueden verificar mediante observación directa. En estas circunstancias, es posible que se tenga que adoptar un enfoque que aplica el conocimiento disponible para preparar información utilizando datos observables suficientemente precisos y completos, siempre que estén disponibles y, cuando no lo estén, hipótesis sustentadas por los datos más adecuados de que se disponga. Las restricciones sobre la disponibilidad de conocimiento o datos, que no se encuentran bajo control de la dirección (sujetas, en su caso, a restricciones de coste) son fuentes de incertidumbre y su efecto en la preparación de la información requerida no se puede eliminar. Por ejemplo, la incertidumbre en la estimación surge cuando el importe monetario requerido no se puede determinar con precisión y el resultado de la estimación no se conoce antes de la fecha en que se finalizan los estados financieros.
– Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afectan al riesgo inherente: la susceptibilidad de sesgo de la dirección es el resultado de condiciones que originan susceptibilidad de que la dirección no mantenga, intencionadamente o no, la neutralidad en la preparación de la información. El sesgo de la dirección se asocia con frecuencia a determinadas condiciones que tienen la posibilidad de dar lugar a que la dirección no mantenga la neutralidad al aplicar el juicio (indicadores de sesgo potencial de la dirección), lo que podría dar lugar a una incorrección material en la información que, si fuera intencionada, sería fraudulenta. Dichos indicadores incluyen incentivos o presiones en la medida en que afectan al riesgo inherente (por ejemplo, como resultado de una motivación para alcanzar un determinado resultado, tal como un objetivo de beneficio o un ratio de capital) y la oportunidad de no mantener la neutralidad. En los apartados A1 a A5 de la NIA 240 se describen factores relevantes para la susceptibilidad de incorrección debida a fraude bajo la forma de información financiera fraudulenta o de apropiación indebida de activos.
3. Cuando la complejidad es un factor de riesgo inherente, puede existir una necesidad inherente de procesos más complejos para la preparación de la información, y esos procesos pueden ser inherentemente más difíciles de aplicar. Como resultado, su aplicación puede requerir cualificaciones o conocimientos especializados y la utilización de un experto de la dirección.
4. Cuando el juicio de la dirección es más subjetivo, la susceptibilidad de incorrección debida a sesgo de la dirección, intencionado o no, también puede ser mayor. Por ejemplo, puede ser necesaria la aplicación de juicios significativos por la dirección para la realización de estimaciones contables que se han identificado como estimaciones con una elevada incertidumbre en la estimación, y las conclusiones relativas a los métodos, datos e hipótesis pueden reflejar sesgo de la dirección, intencionado o no.
Ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material.
5. A continuación, figuran ejemplos de hechos (incluidas transacciones) y de condiciones que pueden indicar la existencia de riesgos de incorrección material en los estados financieros, con respecto a los estados financieros o a las afirmaciones. Los ejemplos mencionados, clasificados por factor de riesgo inherente, abarcan un amplio espectro de hechos y condiciones; sin embargo, no todos son relevantes para todo encargo de auditoría y la lista de ejemplos no es necesariamente exhaustiva. Los hechos y condiciones se han clasificado por el factor de riesgo inherente cuyo efecto puede ser mayor dadas las circunstancias. Es importante tener en cuenta que, debido a las interrelaciones entre los factores de riesgo inherente, los hechos y las condiciones del ejemplo también pueden estar sujetos a otros factores de riesgo inherente en distinto grado o ser afectados por ellos.
Factores de riesgo inherente relevantes: |
Ejemplos de hechos o condiciones que pueden indicar la existencia de riesgos de incorrección material en las afirmaciones: |
---|---|
Complejidad. |
Normativa: – Operaciones sujetas a un alto grado de regulación compleja. Modelo de negocio: – Existencia de alianzas y de negocios conjuntos complejos. Marco de información financiera aplicable: – Mediciones contables que conllevan procesos complejos. Transacciones: – Utilización de financiación fuera de balance, entidades con cometido especial y otros acuerdos de financiación complejos. |
Subjetividad. |
Marco de información financiera aplicable: – Una amplia variedad de posibles criterios de medición de una estimación contable. Por ejemplo, el reconocimiento por la dirección de la amortización o de los ingresos y gastos de construcción. – La elección por la dirección de una técnica o modelo de valoración para un activo no corriente, como inversiones inmobiliarias. |
Cambio. |
Condiciones económicas: – Operaciones en regiones económicamente inestables; por ejemplo, en países con significativa devaluación de la moneda o con economías muy inflacionistas. Mercados: – Operaciones expuestas a mercados volátiles; por ejemplo, comercio con futuros. Pérdida de clientes: – Problemas de empresa en funcionamiento y de liquidez, incluida la pérdida de clientes significativos. Modelo sectorial: – Cambios en el sector en el que opera la entidad. Modelo de negocio: – Cambios en la cadena de suministros. – Desarrollo u oferta de nuevos productos o servicios, o cambios a nuevas líneas de negocio. Geografía: – Expansión a nuevas ubicaciones. Estructura de la entidad: – Cambios en la entidad, como importantes adquisiciones o reorganizaciones u otros hechos inusuales. – Probabilidades de venta de entidades o de segmentos de negocio. Competencia de los recursos humanos: – Cambios en personal clave, incluida la salida de ejecutivos clave. TI: – Cambios en el entorno de las TI. – Instalación de nuevos y significativos sistemas de TI relacionados con la información financiera. Marco de información financiera aplicable: – Aplicación de nuevos pronunciamientos contables. Capital: – Nuevas restricciones en la disponibilidad de capital y de créditos. Normativa: – Inicio de investigaciones sobre las operaciones de la entidad o sobre sus resultados realizadas por organismos reguladores o gubernamentales. – Impacto de nueva legislación relacionada con la protección del medioambiente. |
Incertidumbre. |
Preparación de información: – Hechos o transacciones que implican una incertidumbre significativa de medición, incluidas las estimaciones contables, y la correspondiente información a revelar. – Litigios y pasivos contingentes pendientes; por ejemplo, garantías post-venta, garantías financieras y reparación medioambiental. |
Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afectan al riesgo inherente. |
Preparación de información: – Oportunidades para que la dirección y los empleados produzcan información financiera fraudulenta, incluida la omisión o la ocultación de información significativa en la información a revelar. Transacciones: – Transacciones significativas con partes vinculadas. – Número significativo de transacciones no rutinarias o no sistemáticas, incluidas transacciones intragrupo e importantes transacciones generadoras de ingresos al cierre del periodo. – Transacciones registradas sobre la base de las intenciones de la dirección; por ejemplo, refinanciación de la deuda, activos mantenidos para la venta y clasificación de los valores negociables. |
Otros hechos o condiciones que pueden ser indicativas de la existencia de riesgos de incorrección material en los estados financieros.
– Falta de personal con las cualificaciones necesarias en el área contable y de información financiera.
– Deficiencias de control, en particular en entorno de control, en el proceso de valoración del riesgo y en el proceso de seguimiento y, especialmente, en las no tratadas por la dirección.
– Incorrecciones anteriores, historial de errores o un elevado número de ajustes al cierre del periodo.
Conocimiento del sistema de control interno de la entidad.
1. El sistema de control interno de la entidad puede estar reflejado en manuales de políticas y procedimientos, en sistemas y formularios, y en la información que contienen, y lo realizan personas. El sistema de control interno de la entidad es implementado por la dirección, por los responsables del gobierno de la entidad y por otro personal en función de la estructura de la entidad. El sistema de control interno de la entidad se puede aplicar, en base a las decisiones de la dirección, de los responsables del gobierno de la entidad o de otro personal, y en el contexto de requerimientos legales y reglamentarios, al modelo operativo de la entidad, a su estructura legal o a una combinación de ambos.
2. En el presente anexo se proporcionan explicaciones más detalladas sobre los componentes del sistema de control interno y sus limitaciones, tal y como se establecen en los apartados 12(m), 21-26 y A90-A181, en la medida que tienen relación con una auditoría de estados financieros.
3. El sistema de control interno de la entidad incluye aspectos relacionados con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero puede también incluir aspectos relacionados con sus objetivos operativos o de cumplimiento, cuando dichos aspectos son relevantes para la información financiera.
Ejemplo:
Los controles sobre el cumplimiento de las disposiciones legales y reglamentarias pueden ser relevantes para la información financiera cuando dichos controles son relevantes para la preparación por la entidad de información a revelar en los estados financieros sobre contingencias.
Componentes del sistema de control interno de la entidad.
Entorno de control.
4. El entorno de control incluye las funciones de gobierno y de dirección, así como las actitudes, grado de percepción y actuaciones de los responsables del gobierno de la entidad y de la dirección en relación con el sistema de control interno de la entidad y su importancia para ella. El entorno de control establece el tono de una organización, influyendo en la conciencia de control de sus miembros y proporciona un fundamento general para el funcionamiento de los demás componentes del sistema control interno de la entidad.
5. Los responsables del gobierno de la entidad ejercen una influencia sobre la conciencia de control de una entidad, ya que una de sus funciones es la de contrarrestar las presiones a las que está sometida la dirección en relación con la información financiera, las cuales pueden tener su origen en la demanda del mercado o en planes de remuneración. En consecuencia, las siguientes cuestiones influyen en la eficacia del diseño del entorno de control relativo a la participación de los responsables del gobierno de la entidad:
– Su independencia con respecto a la dirección y su capacidad para evaluar las acciones de la dirección.
– Si comprenden las transacciones comerciales de la entidad.
– La medida en que evalúan si los estados financieros se preparan de conformidad con el marco de información financiera aplicable, así como si los estados financieros incluyen la información a revelar adecuada.
6. El entorno de control engloba los siguientes elementos:
(a) Modo en que se ejercen las responsabilidades de la dirección, tales como la creación y el mantenimiento de la cultura de la entidad y la manifestación del compromiso de la dirección con la integridad y los valores éticos La eficacia de los controles no puede situarse por encima de la integridad y los valores éticos de las personas que los crean, administran y realizan su seguimiento. La integridad y el comportamiento ético son el producto de las normas de ética y de comportamiento de la entidad, del modo en que son comunicados (por ejemplo, a través de declaraciones de políticas) y de la manera en que son reforzados en la práctica (por ejemplo, a través de actuaciones de la dirección para eliminar o reducir los incentivos o las tentaciones que pueden llevar al personal a cometer actos deshonestos, ilegales o faltos de ética). La comunicación de las políticas de la entidad relativas a la integridad y a los valores éticos puede incluir la comunicación al personal de normas de comportamiento mediante declaraciones de políticas y de códigos de conducta, así como a través del ejemplo.
(b) Modo en que los responsables del gobierno demuestran su independencia de la dirección y ejercen la supervisión del sistema de control interno de la entidad cuando los responsables del gobierno de la entidad son distintos de la dirección. Los responsables del gobierno de la entidad influyen en la conciencia de control de la entidad. Las consideraciones pueden incluir si hay suficientes personas que sean independientes de la dirección y que sean objetivas en sus evaluaciones y en la toma de decisiones; el modo en que los responsables del gobierno de la entidad identifican y aceptan responsabilidades de supervisión y si los responsables del gobierno de la entidad retienen responsabilidades de supervisión del diseño, implementación y funcionamiento del sistema de control interno de la entidad. La importancia de las responsabilidades de los responsables del gobierno de la entidad se reconoce en códigos de conducta y otras disposiciones legales o reglamentarias, u orientaciones creadas en beneficio de los responsables del gobierno de la entidad. Otras responsabilidades de los responsables del gobierno de la entidad incluyen la supervisión del diseño y de la eficacia operativa de los procedimientos de denuncia.
Nota aclaratoria de la adaptación a NIA-ES.–En todo caso, las referencias realizadas en las diferentes NIA-ES a las afirmaciones o manifestaciones de la dirección incluidas en los estados financieros o a las directrices de la dirección sobre las actividades de control interno de la entidad se entenderán sin perjuicio de las que realicen los órganos de administración u órganos equivalentes de la entidad auditada que tengan atribuidas las competencias para la formulación, suscripción o emisión de dichos estados financieros, así como de la responsabilidad de estos órganos en relación con el sistema de control interno a estos efectos. En este sentido, de acuerdo con lo establecido en el artículo 25.2 del Código de Comercio, la responsabilidad sobre el resultado final de las cuentas anuales, atribuida a los administradores, conlleva la asunción de responsabilidad sobre todo el proceso seguido para su elaboración, quedando excluida cualquier exención de responsabilidad sobre el resultado final basada en la actuación de un tercero que ha intervenido en el proceso con la autorización o aquiescencia del responsable, de conformidad con los principios generales que rigen la responsabilidad civil. En particular, y a estos efectos, ese proceso incluye expresamente la responsabilidad de los administradores sobre el sistema de control interno necesario para permitir la preparación de dichas cuentas anuales libres de incorrecciones materiales debidas a fraude o error.
(c) Modo en que la entidad asigna autoridad y responsabilidad para la consecución de sus objetivos. Esto puede incluir consideraciones sobre:
– Áreas clave de autoridad y responsabilidad, así como las líneas de información adecuadas;
– Políticas relativas a prácticas empresariales adecuadas, conocimiento y experiencia del personal clave, así como los recursos disponibles para el desarrollo de las tareas; y
– Políticas y comunicaciones cuyo fin es asegurar que todo el personal comprende los objetivos de la entidad, sabe el modo en que sus actuaciones individuales se interrelacionan y contribuyen a dichos objetivos, y es consciente del modo en que se le exigirá su responsabilidad y su contenido.
(d) Modo en que la entidad atrae, desarrolla y retiene personas competentes en línea con sus objetivos. Esto incluye el modo en que la entidad se asegura de que las personas tienen el conocimiento y las cualificaciones necesarias para realizar las tareas que definen su trabajo, como:
– Las normas de selección de las personas más cualificadas –resaltando la formación, la experiencia laboral anterior, los logros anteriores y la acreditación de integridad y de comportamiento ético.
– Las políticas de formación que comunican las funciones y responsabilidades prospectivas incluidas prácticas, tales como escuelas y seminarios que ilustran los niveles esperados de desempeño y comportamiento; y
– las evaluaciones periódicas del desempeño que dirigen las promociones demuestran el compromiso de la entidad con el ascenso de personal cualificado a niveles más altos de responsabilidad.
(e) Modo en que la entidad exige las responsabilidades de las personas para el logro de los objetivos del sistema de control interno. Ello se puede cumplir, por ejemplo, a través de:
– Mecanismos para comunicar y exigir a las personas responsables de la ejecución de controles sus responsabilidades y para implementar las medidas correctoras que se requieran;
– El establecimiento de mediciones de desempeño, incentivos y recompensas para los responsables del sistema de control interno de la entidad, incluido el modo en que se evalúan las mediciones y se mantiene su relevancia;
– El modo en que las presiones asociadas con el logro de los objetivos de control tienen un impacto en las responsabilidades de cada persona y en las mediciones de resultados; y
– El modo en que se penaliza a las personas en caso necesario.
Lo adecuado de las cuestiones arriba mencionadas será diferente para cada entidad dependiendo de su tamaño, de la complejidad de su estructura y de la naturaleza de sus actividades.
El proceso de valoración del riesgo por la entidad.
7. El proceso de valoración del riesgo por la entidad es un proceso iterativo para la identificación y el análisis de riesgos para alcanzar los objetivos de la entidad y es el fundamento del modo en que la dirección o los responsables del gobierno de la entidad determinan que se gestionen los riesgos.
8. Para los fines de la información financiera, el proceso de valoración del riesgo por la entidad incluye el modo en que la dirección identifica los riesgos de negocio relevantes para la preparación de los estados financieros de conformidad con el marco de información financiera aplicable a la entidad, estima su significatividad, valora la probabilidad de que existan y toma decisiones con respecto a las actuaciones necesarias para gestionarlos, así como los resultados de todo ello. Por ejemplo, el proceso de valoración del riesgo por la entidad puede tratar el modo en que la entidad considera la posibilidad de que existan transacciones no registradas o identifica y analiza estimaciones significativas registradas en los estados financieros.
9. Los riesgos relevantes para una información financiera fiable incluyen hechos externos e internos, transacciones o circunstancias que pueden tener lugar y afectar negativamente a la capacidad de la entidad de iniciar, registrar, procesar e informar sobre información financiera congruente con las afirmaciones de la dirección incluidas en los estados financieros. La dirección puede iniciar planes, programas o actuaciones para responder a riesgos específicos o puede decidir asumir un riesgo debido al coste o a otras consideraciones. Los riesgos pueden surgir o variar debido a circunstancias como las siguientes:
– Cambios en el entorno operativo. Los cambios en el entorno normativo, económico u operativo pueden tener como resultado cambios en las presiones competitivas y riesgos significativamente distintos.
– Nuevo personal. El nuevo personal puede tener una concepción o interpretación diferente del sistema de control interno de la entidad.
– Sistema de información nuevo o actualizado. Los cambios rápidos y significativos en el sistema de información pueden modificar el riesgo relativo al sistema de control interno de la entidad.
– Crecimiento rápido. Una expansión significativa y rápida de las operaciones puede poner a prueba los controles e incrementar el riesgo de que estos dejen de funcionar.
– Nueva tecnología. La incorporación de nuevas tecnologías a los procesos productivos o al sistema de información puede cambiar el riesgo asociado al sistema de control interno de la entidad.
– Nuevos modelos de negocio, productos o actividades. Iniciar áreas de negocio o transacciones con las que la entidad tiene poca experiencia puede introducir nuevos riesgos asociados al sistema de control interno de la entidad.
– Reestructuraciones corporativas. Las reestructuraciones pueden venir acompañadas de reducciones de plantilla y de cambios en la supervisión y en la segregación de funciones que pueden cambiar el riesgo asociado al sistema de control interno de la entidad.
– Expansión de las operaciones en el extranjero. La expansión o la realización de operaciones en el extranjero trae consigo nuevos riesgos, a menudo excepcionales, que pueden afectar al control interno: por ejemplo, riesgos adicionales o diferentes en relación con transacciones en moneda extranjera.
– Nuevos pronunciamientos contables. La adopción de nuevos principios contables o la modificación de los principios contables puede tener un efecto en los riesgos de la preparación de estados financieros.
– Utilización de TI. Los riesgos relacionados con:
• El mantenimiento de la integridad de los datos y del procesamiento de la información;
• Los riesgos para la estrategia de negocio de la entidad que se originan si la estrategia de TI de la entidad no sustenta eficazmente la estrategia de negocio de la entidad; o
• Cambios o interrupciones en el entorno de TI de la entidad, cambios de personal de TI o cuando la entidad no realiza las necesarias actualizaciones del entorno de TI o dichas actualizaciones no se realizan oportunamente.
El proceso de la entidad para el seguimiento del sistema de control interno.
10. El proceso de la entidad para el seguimiento del sistema de control interno es un proceso continuo para evaluar la eficacia del sistema de control interno de la entidad y adoptar las medidas correctoras necesarias de modo oportuno. El proceso de la entidad para el seguimiento del sistema de control interno puede consistir en actividades continuas, evaluaciones puntuales (realizadas periódicamente) o una combinación de ambas. Las actividades de seguimiento continuas a menudo forman parte de las actividades recurrentes normales de una entidad y pueden incluir actividades de gestión y supervisión habituales. Es probable que varíen el alcance y la frecuencia del proceso de la entidad dependiendo de la valoración de los riesgos por la entidad.
11. Los objetivos y el alcance de las funciones de auditoría interna incluyen habitualmente actividades diseñadas para la evaluación o el seguimiento de la eficacia del sistema de control interno de la entidad(73). El proceso de la entidad para el seguimiento de su sistema de control puede incluir actividades como la revisión por la dirección de si las conciliaciones bancarias se preparan oportunamente, la evaluación por los auditores internos del cumplimiento por el personal de ventas de las políticas de la entidad sobre condiciones de los contratos de venta y la supervisión por el departamento jurídico del cumplimiento de las políticas de la entidad en materia de ética o de práctica empresarial. El seguimiento se realiza también para asegurarse de que los controles siguen funcionando de manera eficaz con el transcurso del tiempo. Por ejemplo, si la puntualidad y la exactitud de las conciliaciones bancarias no son objeto de seguimiento, es probable que el personal deje de prepararlas.
(73) La NIA 610 (Revisada 2013) y el Anexo 4 de esta NIA proporcionan orientaciones adicionales con respecto a la auditoría interna.
12. Los controles relacionados con el proceso de la entidad para el seguimiento del sistema de control interno, incluidos los que efectúan el seguimiento de los controles automatizados subyacentes, pueden ser automatizados, manuales o una combinación de ambos. Por ejemplo, la entidad puede utilizar controles automatizados de seguimiento en relación con el acceso a determinada tecnología que genera informes de actividades inadecuadas para la dirección, que investiga manualmente las anomalías detectadas.
13. Para distinguir una actividad de seguimiento de un control relacionado con el sistema de información, se consideran los detalles subyacentes de la actividad, especialmente cuando implica algún grado de revisión de supervisión. Las revisiones de supervisión no se clasifican automáticamente como actividades de seguimiento y si una revisión se clasifica como control relacionado con el sistema de información o como una actividad de seguimiento puede ser una cuestión de juicio. Por ejemplo, la finalidad de un control mensual de integridad sería detectar y corregir errores, mientras que una actividad de seguimiento sería preguntar por qué ocurren errores y asignar a la dirección la responsabilidad de arreglar el proceso para prevenir futuros errores. Dicho de manera sencilla, un control relacionado con el sistema de información responde a un riesgo específico, mientras que una actividad de seguimiento evalúa si los controles de cada uno de los componentes del sistema de control interno de la entidad están funcionando como se espera.
14. Las actividades de seguimiento pueden incluir la utilización de información de comunicaciones de terceros que pueden indicar problemas o resaltar áreas que necesitan mejoras. Los clientes implícitamente corroboran los datos de facturación al pagar sus facturas o al reclamar por sus cargos. Además, las autoridades reguladoras se pueden comunicar con la entidad en relación con cuestiones que afectan al funcionamiento del sistema de control interno de la entidad; por ejemplo, comunicaciones relativas a inspecciones por autoridades de supervisión bancaria. Asimismo, la dirección puede considerar que constituyen actividades de seguimiento cualquier comunicación relativa al sistema de control interno de la entidad de los auditores externos.
El sistema de información y comunicación.
15. El sistema de información relevante para la preparación de los estados financieros consiste en actividades y políticas, y en registros contables y auxiliares, diseñados y establecidos para:
– Iniciar, registrar y procesar las transacciones de la entidad (así como los procesos para capturar, procesar y revelar información sobre hechos y condiciones distintas de transacciones), así como para rendir cuentas sobre los activos, pasivos y patrimonio neto correspondientes;
– Resolver el procesamiento incorrecto de transacciones, por ejemplo, ficheros de espera automatizados y procedimientos aplicados para reclasificar oportunamente las partidas pendientes de aplicación;
– Procesar y dar cuenta de elusiones del sistema o evitación de los controles;
– Incorporar información procedente del procesamiento de las transacciones en el mayor (por ejemplo, transferir transacciones acumuladas desde un auxiliar);
– Capturar y procesar información relevante para la preparación de estados financieros sobre los hechos y las condiciones distintos de las transacciones, tales como la amortización de activos, así como los cambios en la recuperabilidad de los activos; y
– Asegurar que se recoge, registra, procesa, resume e incluye adecuadamente en los estados financieros la información que el marco de información financiera aplicable requiere que se revele.
16. Los procesos de negocio de una entidad incluyen las actividades diseñadas para:
– El desarrollo, la adquisición, la producción, la venta y la distribución de los productos y servicios de una entidad;
– Asegurar el cumplimiento de las disposiciones legales y reglamentarias y
– Registrar la información, incluida la información contable y financiera.
Los procesos de negocio tienen como resultado transacciones registradas, procesadas y notificadas mediante el sistema de información.
17. La calidad de la información influye en la capacidad de la dirección de tomar las decisiones adecuadas en materia de dirección y control de las actividades de la entidad, así como de preparar informes financieros fiables.
18. La comunicación, que implica proporcionar conocimiento de las funciones y responsabilidades individuales del sistema de control interno de la entidad, puede adoptar la forma de manuales de políticas, manuales contables y de información financiera y circulares. La comunicación también puede ser realizada por vía electrónica, verbal y a través de las actuaciones de la dirección.
19. La comunicación por la entidad de las funciones y responsabilidades y de las cuestiones significativas relacionadas con la información financiera implica proporcionar conocimiento de las funciones y responsabilidades individuales del sistema de control interno de la entidad relevante para la información financiera. Puede comprender cuestiones tales como el grado de conocimiento que tiene el personal sobre el modo en que sus actividades, en el sistema de información, se relacionan con el trabajo de otras personas, así como los medios para informar sobre las excepciones a un nivel superior adecuado dentro de la entidad.
Actividades de control.
20. Los controles en el componente de actividades de control se identifican de conformidad con el apartado 26. Dichos controles incluyen controles de procesamiento de la información y controles generales de TI, pudiendo ambos ser de naturaleza manual o automatizada. Cuanto mayor sea la extensión de los controles automatizados, o de los controles en los que participa algún proceso automatizado, que utilice la dirección y en los que confíe en relación con su información financiera, más importante puede llegar a ser para la entidad implementar controles generales de TI que traten el funcionamiento continuo de los aspectos automatizados de los controles de procesamiento de la información. Los controles en el componente de actividades de control pueden concernir a:
– Autorizaciones y aprobaciones Una autorización afirma que una transacción es válida (es decir, representa un hecho económico real o pertenece a la política de la entidad). Por lo general, una autorización consiste en una aprobación por un nivel superior de la dirección o en la verificación y la determinación de que la transacción es válida. Por ejemplo, un supervisor aprueba un informe de gastos después de revisar si los gastos parecen razonables y son conformes a las políticas. Un ejemplo de aprobación automatizada se da cuando el coste unitario en una factura se compara automáticamente con el correspondiente coste unitario del pedido con un nivel de tolerancia preestablecido. Las facturas que están dentro del nivel de tolerancia se aprueban automáticamente para su pago. Las facturas que están fuera del nivel de tolerancia se marcan para una investigación adicional.
– Conciliaciones: Las conciliaciones comparan dos o más elementos de datos. Si se identifican diferencias, se llevan a cabo actuaciones para que sean acordes. Por lo general, las conciliaciones tratan la integridad o la exactitud del procesamiento de transacciones.
– Verificaciones: Las verificaciones comparan dos o más elementos entre sí o comparan un elemento con una política, y probablemente impliquen una actuación de seguimiento cuando los dos elementos no son iguales o el elemento no es congruente con la política. Las verificaciones tratan, por lo general, la integridad, exactitud o validez del procesamiento de transacciones.
– Controles físicos o lógicos, incluidos los que tratan la seguridad de los activos frente al acceso, adquisición, uso o venta no autorizados. Controles que engloban:
• La seguridad física de los activos, incluidas las salvaguardas adecuadas, tales como instalaciones con medidas de seguridad para el acceso a los activos y a los registros.
• La autorización del acceso a los programas informáticos y a los archivos de datos (es decir, acceso lógico).
• El recuento periódico y la comparación con las cantidades mostradas en los registros de control (por ejemplo, la comparación de los recuentos de efectivo, valores y existencias con los registros contables).
El grado en que los controles físicos cuya finalidad es prevenir el robo de los activos son relevantes para la fiabilidad de la preparación de los estados financieros depende de circunstancias tales como si existe una alta susceptibilidad de los activos a la apropiación indebida.
– Segregación de funciones. La asignación a diferentes personas de las responsabilidades relativas a la autorización de las transacciones, al registro de las transacciones y al mantenimiento de la custodia de los activos. La finalidad de la segregación de funciones es reducir las oportunidades de que cualquier persona esté en una situación que le permita a la vez cometer y ocultar errores o fraude en el curso normal de sus funciones.
Por ejemplo, un gerente que autoriza ventas a crédito no es responsable de llevar los registros de cuentas a cobrar o de manejar cobros en efectivo. Si una sola persona puede realizar todas estas actividades podría, por ejemplo, crear una venta ficticia que podría no ser detectada. Del mismo modo, los vendedores no deberían poder modificar archivos de precios de los productos o porcentajes de comisión.
En algunos casos la segregación no es práctica, eficaz en términos de coste o factible. Por ejemplo, las entidades de pequeña dimensión y menos complejas pueden no disponer de los recursos suficientes para lograr la segregación ideal, y el coste de contratar personal adicional puede ser prohibitivo. En estas situaciones, es posible que la dirección establezca controles alternativos. En el ejemplo anterior, si el vendedor puede modificar los archivos de precios de los productos, se puede establecer una actividad de control de detección consistente en que personal no relacionado con la función de ventas revise periódicamente si el vendedor ha modificado los precios y, en su caso, en qué circunstancias.
21. Algunos controles pueden depender de la existencia de controles de supervisión adecuados establecidos por la dirección o por los responsables del gobierno de la entidad. Por ejemplo, los controles de autorización pueden delegarse de acuerdo con directrices establecidas, tales como criterios de inversión fijados por los responsables del gobierno de la entidad; por el contrario, las transacciones no rutinarias, tales como adquisiciones o desinversiones importantes, pueden requerir una aprobación específica a un nivel alto, incluso en algunos casos por parte de los accionistas.
Limitaciones del control interno.
22. El sistema de control interno de la entidad, por muy eficaz que sea, solo puede proporcionar a la entidad una seguridad razonable del cumplimiento de sus objetivos de información financiera. La probabilidad de que se cumplan se ve afectada por las limitaciones inherentes al control interno. Estas incluyen el hecho de que los juicios humanos a la hora de tomar decisiones pueden ser erróneos y de que el sistema de control interno de la entidad puede dejar de funcionar debido al error humano. Por ejemplo, puede haber un error en el diseño o el cambio de un control interno. Del mismo modo, el funcionamiento de un control puede no ser eficaz, como sucede en el caso de que la información producida para los fines del sistema de control interno de la entidad (por ejemplo, un informe de excepciones) no se utilice de manera eficaz porque la persona responsable de la revisión de la información no comprenda su finalidad o no adopte las medidas adecuadas.
23. Además, se pueden sortear los controles por colusión entre dos o más personas o por la inadecuada elusión de los controles por parte de la dirección. Por ejemplo, la dirección puede suscribir acuerdos paralelos con clientes que alteren los términos y condiciones de los contratos de venta estándar de la entidad, lo que puede producir un reconocimiento de ingresos incorrecto. Asimismo, se pueden eludir o invalidar filtros de una aplicación de TI diseñados para detectar e informar sobre transacciones que superen determinados límites de crédito.
24. Por otro lado, en el diseño e implementación de los controles, la dirección puede realizar juicios sobre la naturaleza y extensión de los controles que decide implementar y sobre la naturaleza y extensión de los riesgos que decide asumir.
Consideraciones para el conocimiento de la función de auditoría interna de la entidad.
En este anexo se proporcionan consideraciones adicionales para el conocimiento de la función de auditoría interna de una entidad cuando existe dicha función.
Objetivos y alcance de la función de auditoría interna.
1. Los objetivos y el alcance de la función de auditoría interna, la naturaleza de sus responsabilidades y su estatus dentro de la organización, así como su autoridad y rendición de cuentas, varían ampliamente y dependen de la dimensión, complejidad y estructura de la entidad y de los requerimientos de la dirección y, cuando proceda, de los responsables del gobierno de la entidad. Es posible que estas cuestiones estén establecidas en un reglamento de la auditoría interna o en sus términos de referencia.
2. Las responsabilidades de la función de auditoría interna pueden incluir la aplicación de procedimientos y la valoración de sus resultados con el fin de proporcionar seguridad a la dirección y a los responsables del gobierno de la entidad en relación con el diseño y efectividad de los procesos de gestión del riesgo, del sistema de control interno de la entidad y de sus procesos de gobierno. En este caso, la función de auditoría interna puede desempeñar un papel importante en el proceso de la entidad para el seguimiento del sistema de control interno de la entidad. Sin embargo, es posible que las responsabilidades de la función de auditoría interna se centren en la evaluación de la economía, eficiencia y eficacia de las operaciones, en cuyo caso, el trabajo de la función de auditoría interna puede no estar directamente relacionado con la información financiera de la entidad.
Indagaciones ante la función de auditoría interna.
3. En el caso de que la entidad disponga de una función de auditoría interna, las indagaciones ante las personas adecuadas pertenecientes a esa función pueden proporcionar información útil para la obtención por el auditor de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad, y para la identificación y valoración de riesgos de incorrección material en los estados financieros y en las afirmaciones. En la realización de su trabajo, es probable que la función de auditoría interna haya obtenido información acerca de las operaciones y riesgos de negocio de la entidad y que disponga de hallazgos basados en dicho trabajo, tales como deficiencias de control o riesgos identificados, que pueden proporcionar datos valiosos para el conocimiento por el auditor de la entidad y su entorno, del marco de información financiera aplicable, del sistema de control interno de la entidad, y para sus valoraciones del riesgo u otros aspectos de la auditoría. En consecuencia, las indagaciones se realizan con independencia de si el auditor tiene o no tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización, de los procedimientos de auditoría a aplicar, o bien para reducir su extensión(74). Otras indagaciones especialmente relevantes pueden tratar de cuestiones que la función de auditoría interna haya comunicado a los responsables del gobierno de la entidad y de los resultados del proceso de valoración del riesgo obtenidos por la propia función.
(74) Los requerimientos al efecto se encuentran en la NIA 610 (Revisada 2013).
4. Si, sobre la base de las respuestas a las indagaciones del auditor, parece que existan hallazgos que puedan ser relevantes para la información financiera de la entidad y para la auditoría de los estados financieros, el auditor puede considerar adecuado leer los correspondientes informes de la función de auditoría interna. Como ejemplos de informes de la función de auditoría interna que pueden ser relevantes se incluyen sus documentos de estrategia y planificación, así como los informes preparados para la dirección o los responsables del gobierno de la entidad en los que se describen los hallazgos de las revisiones realizadas por la función de auditoría interna.
5. Adicionalmente, de conformidad con la NIA 240(75), si la función de auditoría interna proporciona al auditor información relativa a algún fraude, indicio de fraude o denuncia de fraude, el auditor lo tendrá en cuenta en su identificación del riesgo de incorrección material debida a fraude.
(75) NIA 240, apartado 19.
6. Las personas adecuadas dentro de la función de auditoría interna ante los que se realizan las indagaciones son aquéllas que, a juicio del auditor, poseen el conocimiento, experiencia y autoridad adecuados, tales como el responsable de auditoría interna o, según las circunstancias, otras personas que pertenezcan a la función. El auditor también puede considerar adecuado mantener reuniones periódicas con estas personas.
Consideración de la función de auditoría interna para el conocimiento del entorno de control.
7. Para el conocimiento del entorno de control, el auditor puede considerar el modo en que la dirección ha respondido a los hallazgos y recomendaciones de la función de auditoría interna en relación con deficiencias identificadas del control relevantes para la preparación de los estados financieros, incluido si dichas respuestas se han implementado y el modo en que lo han sido, así como, si con posterioridad, han sido evaluadas por la función de auditoría interna.
Conocimiento de la función que cumple la función de auditoría interna en el proceso de la entidad para el seguimiento del sistema de control interno.
8. Si la naturaleza de las responsabilidades y actividades de obtención de un grado de seguridad de la función de auditoría interna está relacionada con el proceso de información financiera de la entidad, el auditor también puede utilizar el trabajo de la función de auditoría interna para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar directamente por él en la obtención de evidencia de auditoría o bien para reducir su extensión. Puede ser más probable que los auditores puedan utilizar el trabajo de la función de auditoría interna de la entidad cuando se evidencie, por ejemplo, sobre la base de su experiencia de auditorías anteriores o en sus procedimientos de valoración del riesgo, que la entidad cuenta con una función de auditoría interna dotada de recursos adecuados y apropiados en relación con la complejidad de la entidad y la naturaleza de sus operaciones, y que informa directamente a los responsables del gobierno de la entidad.
9. Si sobre la base de su conocimiento preliminar de la función de auditoría interna, el auditor tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar, o bien para reducir su extensión es de aplicación la NIA 610 (Revisada 2013).
10. Como se comenta con más detalle en la NIA 610 (Revisada 2013), las actividades de la función de auditoría interna se diferencian de otros controles de seguimiento que puedan ser relevantes para la información financiera, tales como revisiones de información contable de gestión diseñadas para contribuir al modo en que la entidad previene o detecta incorrecciones.
11. El establecimiento de una comunicación con las personas adecuadas dentro de la función de auditoría interna de la entidad al comienzo del encargo y el mantenimiento de esa comunicación durante todo el encargo puede dar lugar a que se comparta la información de manera efectiva. Crea un entorno en el que el auditor puede ser informado de cuestiones significativas detectadas por la función de auditoría interna cuando es posible que esas cuestiones afecten a su trabajo. En la NIA 200 se trata la importancia de que el auditor planifique y realice la auditoría con escepticismo profesional(76), así como que preste una atención especial a la información que pueda cuestionar la fiabilidad de documentos y respuestas a indagaciones que vayan a ser utilizadas como evidencia de auditoría. En consecuencia, la comunicación con la función de auditoría interna durante todo el encargo puede proporcionar oportunidades para que los auditores internos pongan en conocimiento del auditor esa información. El auditor puede entonces tener en cuenta esa información en su identificación y valoración de los riesgos de incorrección material.
(76) NIA 200, apartado 7.
Consideraciones para el conocimiento de las Tecnologías de la Información (TI).
En este anexo se proporcionan cuestiones adicionales que el auditor puede considerar para el conocimiento de la utilización de las TI en su sistema de control interno.
Conocimiento de la utilización de tecnologías de la información en los componentes del sistema de control interno de la entidad.
1. El sistema de control interno de la entidad contiene elementos manuales y automatizados (es decir, controles manuales y automatizados y otros recursos utilizados en el sistema de control interno de la entidad). La combinación por la entidad de elementos manuales y automatizados varía según la naturaleza y complejidad de la utilización de las TI por la entidad. La utilización por la entidad de TI afecta al modo en que la información relevante para la preparación de los estados financieros de conformidad con el marco de información financiera aplicable se procesa, almacena y comunica y, en consecuencia, afecta al modo en que se diseña e implementa el sistema de control interno de la entidad. Cada componente del sistema de control interno de la entidad puede utilizar un cierto nivel de TI.
Por lo general, las TI son beneficiosas para el sistema de control interno de la entidad, al permitirle:
– Aplicar de manera congruente las normas de negocio predefinidas y realizar cálculos complejos en el procesamiento de grandes volúmenes de transacciones o de datos;
– Mejorar la oportunidad, disponibilidad y exactitud de la información;
– Facilitar un análisis adicional de la información;
– Mejorar la capacidad para hacer un seguimiento del resultado de las actividades de la entidad y de sus políticas y procedimientos;
– Reducir el riesgo de que los controles se sorteen y
– Mejorar la capacidad de lograr una segregación de funciones efectiva mediante la implementación de controles de seguridad en las aplicaciones de TI, bases de datos y sistemas operativos;
2. Las características de los elementos manuales o automatizados son relevantes para la identificación y valoración de los riesgos de incorrección material por el auditor y para los procedimientos posteriores de auditoría basados en dicha valoración. Los controles automatizados pueden resultar más fiables que los manuales debido a que no pueden ser fácilmente evitados, ignorados o eludidos y también a que están menos expuestos a simples errores y equivocaciones. Los controles automatizados pueden ser más eficaces que los controles manuales en las siguientes circunstancias:
– Un número elevado de transacciones recurrentes, o bien en situaciones en las que los errores que se puedan anticipar o predecir pueden prevenirse, o detectarse y corregirse, mediante la automatización.
– Controles en los que los modos específicos de realizar el control se pueden diseñar y automatizar adecuadamente.
Conocimiento de la utilización por la entidad de tecnologías de la información en el sistema de información [Ref: Apartado 25(a)].
3. El sistema de control interno de la entidad puede incluir la utilización de elementos manuales y automatizados que también afecten al modo en que se inician, registran y procesan las transacciones y se informa sobre ellas. En especial, los procedimientos para iniciar, registrar y procesar las transacciones e informar sobre ellas se pueden aplicar mediante las aplicaciones de TI utilizadas por la entidad y por el modo en que las ha configurado. Además, los registros documentados en papel pueden ser sustituidos o complementados por registros en formato digital.
4. En la obtención de conocimiento del entorno de TI relevante para los flujos de transacciones y el procesamiento de la información en el sistema de información, el auditor obtiene información acerca de la naturaleza y las características de las aplicaciones de TI que se utilizan, así como acerca de la infraestructura de TI en las que se sustentan y de las TI. El siguiente cuadro incluye ejemplos de cuestiones que el auditor puede considerar en la obtención de conocimiento del entorno de TI e incluye ejemplos de características habituales de entornos de TI basadas en la complejidad de las aplicaciones de TI utilizadas en el sistema de información de la entidad. No obstante, dichas características son indicativas y pueden diferir dependiendo de la naturaleza de las aplicaciones específicas de TI utilizadas por la entidad.
Ejemplos de características habituales de: | |||
---|---|---|---|
Software comercial no complejo | Software comercial o aplicaciones de TI de tamaño medio y moderadamente complejos | Aplicaciones grandes o complejas (por ejemplo, sistemas de planificación de recursos (EPR) | |
Cuestiones relacionadas con el grado de automatización y la utilización de datos: | |||
– Extensión de los procedimientos automatizados para el procesamiento y su complejidad, incluido, si existe procesamiento altamente automatizado, sin soporte papel. |
N/A |
N/A |
Procedimientos automatizados extensos y a menudo complejos. |
– Grado en que la entidad confía en informes generados por el sistema en el procesamiento de la información. | Lógica para la generación automatizada de informes sencilla. | Lógica para la generación automatizada de informes relevantes sencilla. | Lógica para la generación automatizada de informes compleja; Software de redacción de informes. |
– Forma en que se introducen los datos (es decir, introducción manual, introducción por el cliente o por el proveedor, descarga de archivos). | Introducción manual de datos. | Número reducido de introducciones de datos o comunicaciones automatizadas sencillas. | Elevado número de introducciones de datos o comunicaciones automatizadas complejas. |
– Modo en que las TI facilitan las comunicaciones entre aplicaciones, bases de datos u otros aspectos del entorno de TI, interna y externamente, según corresponda, mediante comunicaciones automatizadas entre sistemas. | No existen comunicaciones automatizadas (solo introducciones manuales). | Número reducido de introducciones de datos o comunicaciones automatizadas sencillas. | Elevado número de introducciones de datos o comunicaciones automatizadas complejas. |
– El volumen y la complejidad de datos en formato digital que son procesados por el sistema de información, incluido si los registros contables u otra información se almacenan en formato digital y la ubicación de los datos almacenados. | Volumen de datos reducido o datos sencillos que se pueden verificar manualmente; datos disponibles localmente. | Volumen de datos reducido o datos sencillos. | Gran volumen de datos o datos complejos; almacenes de datos; (77) utilización de proveedores de servicios de TI (por ejemplo, almacenamiento por terceros o alojamiento de datos). |
Cuestiones relacionadas con las aplicaciones y con la infraestructura de TI: | |||
– El tipo de aplicación (por ejemplo, una aplicación comercial poco o nada personalizada o una aplicación altamente personalizada o altamente integrada que pueden haber sido adquiridas y personalizadas o desarrolladas internamente). | Aplicación adquirida poco o nada personalizada. | Aplicación adquirida o aplicaciones EPR sencillas heredadas o de gama baja poco o nada personalizadas. | Aplicaciones desarrolladas a medida o EPR más complejas significativamente personalizadas. |
– La complejidad de la naturaleza de las aplicaciones de TI y la infraestructura de TI subyacente. | Soluciones pequeñas, para ordenador portátil o basadas en una arquitectura cliente servidor. | Ordenador central maduro y estable, arquitectura cliente-servidor pequeña o sencilla, software en la nube. | Ordenador central complejo, arquitectura cliente-servidor de gran dimensión o compleja, orientado a la web, infraestructura de servicios en la nube. |
– Si se acude a un tercero para el alojamiento o si se subcontratan las TI. | Si las TI se subcontratan, proveedor de servicios competente, maduro y probado (por ejemplo, proveedor de servicios en la nube). | Si las TI se subcontratan, proveedor de servicios competente, maduro y probado (por ejemplo, proveedor de servicios en la nube). | Proveedor de servicios competente, maduro y probado para determinadas aplicaciones y proveedor nuevo o emergente para otras. |
– Si la entidad está utilizando tecnologías emergentes que afectan a su información financiera. | No se utilizan tecnologías emergentes. | Se utilizan tecnologías emergentes de modo limitado en algunas aplicaciones. | Utilización mixta de tecnologías emergentes entre plataformas. |
Cuestiones relacionadas con los procesos de TI: | |||
– El personal que participa en el mantenimiento del entorno de TI (número y grado de cualificación de los recursos de soporte a las TI que gestionan la seguridad y los cambios al entorno de las TI). | Poco personal con conocimientos limitados de TI para procesar las actualizaciones del proveedor y gestionar el acceso. | Número limitado de personas con cualificaciones en TI/dedicado a las TI. | Departamentos destinados a TI con personal cualificado, incluidas habilidades de programación. |
– La complejidad de los procesos para gestionar los derechos de acceso. | Una sola persona con acceso administrativo gestiona los derechos de acceso. | Pocas personas con acceso administrativo gestionan los derechos de acceso. | Procesos complejos gestionados por el departamento de TI para los derechos de acceso. |
– La complejidad de la seguridad sobre el entorno de las TI, incluida la vulnerabilidad de las aplicaciones de TI, bases de datos y otros aspectos del entorno de TI a los riesgos informáticos, especialmente cuando existen transacciones por la web o transacciones en las que intervienen comunicaciones (interfaces) automatizadas externas. | Acceso sencillo en las propias oficinas sin elementos orientados a la web externos. | Algunas aplicaciones basadas en la web con una seguridad principalmente sencilla, basada en funciones. | Numerosas plataformas con acceso basado en la web y modelos de seguridad complejos. |
– Si se han realizado cambios en los programas relativos al modo en que se procesa la información y la extensión de dichos cambios durante el periodo. | Software comercial sin ningún código fuente instalado. | Algunas aplicaciones comerciales sin código fuente y otras aplicaciones maduras con un número reducido de cambios o con cambios sencillos; desarrollo de sistemas tradicionales a lo largo de su vida útil. | Cambios nuevos, numerosos o complejos, varios ciclos de desarrollo cada año. |
– La extensión del cambio en el entorno de TI (por ejemplo, nuevos aspectos del entorno de TI o cambios significativos en las aplicaciones de TI o en la infraestructura de TI subyacente). | Cambios limitados a actualizaciones de versiones de software comercial. | Los cambios consisten en actualizaciones de versiones de software comercial, actualizaciones de versiones de EPR o mejoras en sistemas heredados. | Cambios nuevos, numerosos o complejos, varios ciclos de desarrollo cada año, importante personalización de EPR. |
– Si se ha realizado una importante conversión de datos durante el periodo y, en su caso, la naturaleza y significatividad de los cambios realizados, y el modo se ha efectuado la conversión. | Actualizaciones de software proporcionadas por el proveedor; La actualización no cuenta con posibilidades de conversión de datos. | Actualizaciones menores para aplicaciones de software comercial con una conversión limitada de datos. | Actualización importante de la versión, nuevo lanzamiento, cambio de plataforma. |
(77) Un almacén de datos se describe, por lo general, como un depósito central de datos integrados procedentes de una o varias fuentes (tal como múltiples bases de datos) a partir de los que se pueden generar informes o que pueden ser utilizados por la entidad para otras actividades de análisis de datos. Un redactor de informes es una aplicación de TI que se utiliza para extraer datos de una o de varias fuentes (como de un almacén de datos, de una base de datos o de una aplicación de TI) y presentar los datos en un formato determinado. |
Tecnologías emergentes.
5. Es posible que las entidades utilicen tecnologías emergentes (por ejemplo, blockchain, robótica o inteligencia artificial) porque dichas tecnologías pueden ofrecer oportunidades específicas para incrementar las eficacias operativas o mejorar la información financiera. Cuando se utilizan tecnologías emergentes en el sistema de información de la entidad relevante para la preparación de los estados financieros, el auditor puede incluir esas tecnologías en la identificación de aplicaciones de TI y otros aspectos del entorno de TI que están sujetos a riesgos derivados de la utilización de TI. Mientras que las tecnologías emergentes pueden parecer más sofisticadas o complejas comparadas con las tecnologías existentes, las responsabilidades del auditor en relación con las aplicaciones de TI y los controles generales de TI identificados de conformidad con el apartado 26(b)–(c) permanecen invariables.
Graduación.
6. Es posible que la obtención de conocimiento del entorno de TI de una entidad se pueda realizar con mayor facilidad para una entidad menos compleja que utiliza un software comercial y cuando la entidad no tiene acceso al código fuente para realizar ningún cambio en los programas. Dichas entidades pueden no contar con recursos destinados a las TI pero sí puede haber una persona que tenga asignada la función de administradora para conceder acceso a los empleados o instalar actualizaciones de las aplicaciones de TI proporcionadas por el proveedor. Las cuestiones específicas que puede considerar el auditor para el conocimiento de un paquete de software comercial de contabilidad, que puede ser la única aplicación de TI utilizada por una entidad menos compleja en su sistema de información, pueden incluir:
– El grado en que el software está bien implantado y tiene la reputación de ser fiable;
– Hasta qué punto puede la entidad modificar el código fuente del software para añadir módulos adicionales (es decir, software complementario) al software básico o efectuar cambios directos a los datos;
– La naturaleza y la extensión de las modificaciones que se han hecho en el software. Aunque una entidad no pueda modificar el código fuente del software, muchos paquetes de software permiten su configuración (por ejemplo, determinar o corregir parámetros). Esto normalmente no implica modificaciones del código fuente; no obstante, el auditor puede considerar el grado en que la entidad puede configurar el software al considerar la integridad y exactitud de la información producida por el software que se utiliza como evidencia de auditoría; y
– El grado en que se puede acceder directamente a los datos relacionados con la preparación de los estados financieros (es decir, acceso directo a la base de datos sin utilizar la aplicación de TI) y el volumen de datos que se procesa. Cuanto mayor sea el volumen de datos, más probable será que la entidad pueda necesitar controles que traten el mantenimiento de la integridad de los datos, lo que puede incluir controles generales de TI sobre el acceso no autorizado y cambios a los datos.
7. Los entornos de TI complejos pueden incluir aplicaciones de TI altamente personalizadas o integradas y puede, en consecuencia, ser necesario un mayor esfuerzo para su conocimiento. Los procesos de información financiera o las aplicaciones de TI pueden estar integradas en otras aplicaciones de TI. Dicha integración puede involucrar aplicaciones de TI que se utilizan en las actividades empresariales de la entidad y que proporcionan información a las aplicaciones de TI relevantes para los flujos de transacciones y el procesamiento de la información en el sistema de información de la entidad. En esas circunstancias, determinadas aplicaciones de TI utilizadas en las actividades empresariales de la entidad pueden ser relevantes también para la preparación de los estados financieros. Los entornos de TI complejos pueden también requerir departamentos dedicados a TI que cuenten con procesos de TI estructurados sustentados por personal con habilidades en el desarrollo de software y en el mantenimiento del entorno de TI. En otros casos, la entidad puede emplear proveedores de servicios internos o externos para gestionar algunos aspectos de su entorno de TI o procesos de TI dentro del mismo (por ejemplo, alojamiento por terceros).
Identificación de las aplicaciones de TI sujetas a riesgos derivados de la utilización de TI.
8. Mediante el conocimiento de la naturaleza y complejidad del entorno de TI de la entidad, incluida la naturaleza y extensión de los controles de procesamiento de la información, el auditor puede determinar las aplicaciones de TI en las que confía la entidad para procesar con exactitud la información financiera y para mantener su integridad. La identificación de las aplicaciones de TI en las que confía la entidad puede influir en la decisión del auditor de comprobar los controles automatizados en dichas aplicaciones de TI, suponiendo que esos controles automatizados responden a riesgos identificados de incorrección material. Por el contrario, si la entidad no está confiando en una aplicación de TI, es poco probable que los controles automatizados dentro de dicha aplicación sean adecuados o suficientemente precisos a efectos de comprobaciones de eficacia operativa. Los controles automatizados que se puedan identificar de conformidad con el apartado 26(b) pueden incluir, por ejemplo, controles de cálculos o datos de entrada automatizados, de procesamiento y de datos de salida, como el cotejo triple de una orden de compra, albarán del proveedor y factura del proveedor. Cuando el auditor haya identificado controles automatizados y determine mediante la obtención de conocimiento del entorno de TI que la entidad confía en la aplicación de TI que incluye esos controles automatizados, puede ser más probable que el auditor identifique la aplicación de TI como sujeta a riesgos derivados de la utilización de TI.
9. En la consideración de si las aplicaciones de TI para las que el auditor haya identificado controles automatizados están sujetas a riesgos derivados de la utilización de TI, es probable que el auditor considere si, y en qué grado, la entidad podría tener acceso al código fuente que permite a la dirección realizar cambios en los programas a esos controles o en las aplicaciones de TI. El grado en que la entidad realiza cambios en los programas o en la configuración y el grado en que los procesos de TI para esos cambios están formalizados también pueden ser consideraciones relevantes. También es probable que el auditor considere el riesgo de accesos o de cambios en los datos inadecuados.
10. Los informes generados por el sistema que el auditor puede tener previsto utilizar como evidencia de auditoría pueden incluir, por ejemplo, un informe de la antigüedad de las cuentas de clientes o un informe de valoración de las existencias. Para dichos informes, el auditor puede obtener evidencia de auditoría sobre su integridad y exactitud aplicando procedimientos sustantivos a los datos de entrada y de salida del informe. En otros casos, es posible que el auditor tenga previsto comprobar la eficacia operativa de los controles sobre la preparación y el mantenimiento del informe, en cuyo caso es probable que la aplicación de TI que lo genera esté sujeta a riesgos derivados de la utilización de TI. Además de comprobar la integridad y exactitud del informe, el auditor puede tener previsto comprobar la eficacia operativa de los controles generales de TI que responden a los riesgos de cambios inadecuados, o no autorizados, en los programas o cambios de datos en el informe.
11. Algunas aplicaciones de TI pueden incluir una funcionalidad para la redacción de informes, mientras que algunas entidades pueden utilizar también aplicaciones separadas de redacción de informes (es decir, redactores de informes). En esos casos, puede ser necesario que el auditor determine las fuentes de informes generados por el sistema (es decir, la aplicación que prepara el informe y las fuentes de los datos utilizados por el informe) para determinar las aplicaciones de TI sujetas a riesgos derivados de la utilización de TI.
12. Las fuentes de datos utilizadas por las aplicaciones de TI pueden ser bases de datos a las que, por ejemplo, solo se puede acceder a través de la aplicación de TI o por personal de TI con permisos de administrador de base de datos. En otros casos, la fuente de datos puede ser un almacén de datos que puede a su vez ser considerado aplicación de TI sujeta a riesgos derivados de la utilización de TI.
13. Es posible que el auditor haya identificado un riesgo para el cual los procedimientos sustantivos por sí solos no son suficientes debido a la utilización por la entidad de un procesamiento de las transacciones muy automatizado y sin papel, lo que puede involucrar múltiples aplicaciones de TI integradas. En esas circunstancias, los controles identificados por el auditor probablemente incluyan controles automatizados. Además, la entidad puede estar confiando en controles generales de TI para mantener la integridad de las transacciones que se procesan y de otra información que se utiliza en el procesamiento. En esos casos, las aplicaciones de TI que intervienen en el procesamiento y en el almacenamiento de la información probablemente estén sujetas a riesgos por la utilización de TI.
Cálculos realizados por el usuario final.
14. A pesar de que la evidencia de auditoría también puede adoptar la forma de datos generados por el sistema que se utilizan en un cálculo realizado en una herramienta de usuario final (por ejemplo, hojas de cálculo o bases de datos sencillas), dichas herramientas no se identifican habitualmente como aplicaciones de TI en el contexto del apartado 26(b). El diseño y la implementación de controles sobre el acceso y los cambios a las herramientas de cálculo realizados por el usuario final puede ser difícil y dichos controles pocas veces son equivalentes a los controles generales de TI o tan eficaces como estos. En cambio, el auditor puede considerar una combinación de controles de procesamiento de la información, teniendo en cuenta el propósito y la complejidad de los cálculos realizados por el usuario final, tales como:
– Controles de procesamiento de la información relativos al inicio y procesamiento de los datos fuente, incluidos los controles automatizados o los controles de comunicaciones automatizadas entre aplicaciones hasta el punto del que se extraen los datos (es decir, el almacén de datos);
– Controles para comprobar que la lógica funciona según lo previsto, por ejemplo, controles que «comprueban» la extracción de datos, tal como la conciliación del informe con los datos de los que se obtuvo, comparando datos individuales del informe con los de la fuente y viceversa, y controles para comprobar las fórmulas o macros; o
– Utilización de herramientas informáticas de validación, que comprueban sistemáticamente las fórmulas o las macros, tales como herramientas de integridad de hojas de cálculo.
Graduación.
15. La capacidad de la entidad para mantener la integridad de la información almacenada y procesada en el sistema de información puede variar en función de la complejidad y del volumen de las correspondientes transacciones y demás información. Cuanto mayor sea la complejidad y el volumen de datos que sustenta un tipo de transacciones, saldo contable o información a revelar significativos, menos probable será que la entidad mantenga la integridad de esa información sólo a través de controles de procesamiento de la información (por ejemplo, controles de entradas y salidas o controles de revisión). También se vuelve menos probable que el auditor pueda obtener evidencia de auditoría sobre la integridad y exactitud de esa información sólo a través de procedimientos sustantivos cuando se utiliza como evidencia de auditoría. En algunas circunstancias, cuando es menor el volumen y la complejidad de las transacciones, es posible que la dirección disponga de un control de procesamiento de la información suficiente para verificar la exactitud e integridad de los datos (por ejemplo, se pueden conciliar órdenes de venta individuales procesadas y facturadas con la copia impresa introducida originariamente en la aplicación de TI). Cuando la entidad confía en controles generales de TI para mantener la integridad de cierta información utilizada por las aplicaciones de TI, el auditor puede determinar que las aplicaciones de TI que mantienen esa integridad están sujetas a riesgos derivados de la utilización de TI.
Ejemplos de características de una aplicación de TI que probablemente no esté sujeta a riesgos derivados de la utilización de TI | Ejemplos de características de una aplicación de TI que probablemente esté sujeta a riesgos derivados de la utilización de TI |
---|---|
– Aplicaciones independientes. – El volumen de datos (transacciones) no es significativo. – La funcionalidad de la aplicación no es compleja. – Cada transacción está soportada por documentación impresa original. |
– Las aplicaciones están intercomunicadas. – El volumen de datos (transacciones) es significativo. – La funcionalidad de la aplicación es compleja porque: • La aplicación inicia automáticamente las transacciones y • Hay una gran variedad de cálculos complejos que subyacen a las entradas automatizadas. |
Es probable que la aplicación de TI no esté sujeta a riesgos derivados de la utilización de TI porque: – El volumen de datos no es significativo y, en consecuencia, la dirección no confía en controles generales de TI para procesar o mantener los datos. – La dirección no confía en controles automatizados o en otra funcionalidad automatizada. El auditor no ha identificado controles automatizados de conformidad con el apartado 26(a). – Aunque la dirección utiliza informes generados por el sistema en sus controles, no confía en esos informes. Por el contrario, concilia los informes con la documentación impresa y verifica los cálculos incluidos en los informes. – El auditor comprobará directamente la información producida por la entidad que vaya a ser utilizada como evidencia de auditoría. |
La aplicación de TI está sujeta a riesgos derivados de la utilización de TI porque: – La dirección confía en un sistema de aplicaciones para el procesamiento o el mantenimiento de los datos porque el volumen de datos es significativo. – La dirección confía en el sistema de aplicaciones para ejecutar ciertos controles automatizados que el auditor también ha identificado. |
Otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI.
16. Cuando el auditor identifica aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, es habitual que otros aspectos del entorno de TI estén sujetos a riesgos derivados de la utilización de TI. La infraestructura de TI comprende las bases de datos, el sistema operativo y la red. Las bases de datos almacenan los datos utilizados por las aplicaciones de TI y pueden consistir en numerosas tablas de datos interrelacionadas. También se puede acceder a los datos de las bases de datos directamente mediante sistemas de TI de gestión de bases de datos o mediante otro personal con permisos de administradores de bases de datos. El sistema operativo es responsable de la gestión de las comunicaciones entre el hardware, las aplicaciones de TI y otro software utilizado en la red. Como tales, se puede acceder a las aplicaciones de TI y a las bases de datos a través del sistema operativo. Se utiliza una red en la infraestructura de TI para transmitir datos y compartir información, recursos y servicios a través de una conexión de comunicaciones común. La red también establece habitualmente una capa de seguridad lógica (facilitada por el sistema operativo) para el acceso a los recursos subyacentes.
17. Cuando el auditor identifica aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, la base o bases de datos en las que se almacenan los datos procesados por una aplicación de TI identificada, habitualmente, se identifica también como tal. Del mismo modo, debido a que la capacidad de funcionar de una aplicación de TI a menudo depende del sistema operativo y a que se puede acceder a las aplicaciones de TI y a las bases de datos desde el sistema operativo, el sistema operativo está habitualmente sujeto a riesgos derivados de la utilización de TI. Se puede identificar la red cuando es un punto central de acceso a las TI identificadas y a las correspondientes bases de datos, cuando una aplicación de TI interactúa con proveedores o con terceros a través de internet o cuando el auditor identifica aplicaciones orientadas a la web de TI.
Identificación de riesgos derivados de la utilización de TI y controles generales de TI.
18. Algunos ejemplos de riesgos derivados de la utilización de TI incluyen riesgos relacionados con una confianza indebida en aplicaciones de TI que están procesando datos de manera inexacta, que procesan datos inexactos, o ambos, tales como:
– Accesos no autorizados a los datos que pueden producir la destrucción de datos o cambios indebidos de ellos, incluido el registro de transacciones no autorizadas o inexistentes, o un registro inexacto de las transacciones. Pueden producirse riesgos específicos cuando múltiples usuarios acceden a una misma base de datos.
– La posibilidad de que el personal del departamento de TI obtenga permisos de acceso más allá de los necesarios para realizar sus tareas, dejando así de funcionar la segregación de funciones.
– Cambios no autorizados en los datos de los archivos maestros.
– Cambios no autorizados a aplicaciones de TI o a otros aspectos del entorno de TI.
– No realizar cambios necesarios a aplicaciones de TI o a otros aspectos del entorno de TI.
– Intervención manual inadecuada.
– Pérdida potencial de datos o incapacidad de acceder a los datos del modo requerido.
19. La consideración por el auditor del acceso no autorizado puede incluir riesgos relacionados con el acceso no autorizado de personal interno o de terceros (que, a menudo, se denomina riesgos de ciberseguridad). Dichos riesgos pueden no afectar directamente a la información financiera ya que el entorno de IT de la entidad puede comprender también aplicaciones de IT y datos relacionados que tratan necesidades operativas o de cumplimiento. Es importante recordar que los ciber-incidentes ocurren habitualmente en primer lugar a través de las capas del perímetro y de la red interna, que tienden a estar más alejadas de la aplicación de TI, de la base de datos y de los sistemas operativos que afectan a la preparación de los estados financieros. En consecuencia, si se ha identificado información acerca de un fallo de seguridad, el auditor, por lo general, considera hasta qué punto ese fallo tenía el potencial de afectar a la información financiera. Si puede haber sido afectada la información financiera, el auditor puede decidir obtener conocimiento y comprobar los correspondientes controles para determinar el posible impacto o el alcance de incorrecciones potenciales materiales en los estados financieros o puede determinar que la entidad ha revelado información suficiente en relación con dicho fallo de seguridad.
20. Además, es posible que las disposiciones legales y reglamentarias que puedan tener un efecto directo o indirecto en los estados financieros de la entidad contengan normas de protección de datos. La consideración del cumplimiento por la entidad de las disposiciones legales y reglamentarias, de conformidad con la NIA 250 (Revisada)(78), puede incluir la obtención de conocimiento de los procesos de TI de la entidad y de los controles de TI que la entidad ha implementado para tratar las disposiciones legales o reglamentarias.
(78) NIA 250 (Revisada).
21. Los controles generales de TI se implementan para responder a los riesgos derivados de la utilización de TI. En consecuencia, el auditor utiliza el conocimiento obtenido acerca de las aplicaciones de TI identificadas y otros aspectos del entorno de TI y los correspondientes riesgos derivados de la utilización de TI para determinar qué controles generales de TI identificar. En algunos casos, una entidad puede utilizar procesos de TI comunes en su entorno de TI o entre ciertas aplicaciones de TI, en cuyo caso se pueden identificar riesgos comunes derivados de la utilización de TI y controles generales de TI.
22. Por lo general, es probable que se identifique un mayor número de controles generales de TI relacionados con aplicaciones de TI y bases de datos que con otros aspectos del entorno de TI. Esto es así porque estos aspectos son los más estrechamente relacionados con el procesamiento y almacenamiento de la información en el sistema de información de la entidad. En la identificación de controles generales de TI, el auditor puede tener en cuenta controles sobre actuaciones tanto de los usuarios finales como del personal de TI de la entidad o de los proveedores de servicios de TI.
23. En el Anexo 6 se proporciona una explicación adicional de la naturaleza de los controles generales de TI que se implementan habitualmente para distintos aspectos del entorno de TI. Se proporcionan además, ejemplos de controles generales de TI para distintos procesos de TI.
Consideraciones para el conocimiento de los controles generales de TI.
En este anexo se proporcionan cuestiones adicionales que el auditor puede tener en cuenta para el conocimiento de los controles generales de TI.
1. La naturaleza de los controles generales de TI que se implementan habitualmente para cada uno de los aspectos del entorno de TI:
(a) Aplicaciones.
Los controles generales de TI en la capa de aplicación de TI estarán correlacionados con la naturaleza y extensión de las funcionalidades de la aplicación y con las vías de acceso permitidas en la tecnología. Por ejemplo, serán relevantes más controles en el caso de aplicaciones de TI altamente integradas con opciones de seguridad complejas que en una aplicación de TI heredada que apoya un número reducido de saldos contables con métodos de acceso únicamente a través de transacciones.
(b) Base de datos.
Los controles generales de TI en la capa de base de datos normalmente responden a los riesgos derivados de la utilización de TI relacionados con actualizaciones no autorizadas de información financiera en la base de datos mediante el acceso directo a las bases de datos o la ejecución de una secuencia de comandos (script) o de un programa.
(c) Sistema operativo.
Los controles generales de TI en la capa de sistema operativo normalmente responden a los riesgos derivados de la utilización de TI relacionados con el acceso como administrador, lo que puede facilitar la elusión de otros controles. Esto incluye actuaciones como comprometer las credenciales de otro usuario, añadir usuarios nuevos no autorizados, descargar software malicioso (malware) o ejecutar secuencias de comandos (scripts) u otros programas no autorizados.
(d) Red.
Los controles generales de TI en la capa de red normalmente responden a los riesgos derivados de la utilización de TI relacionados con la segmentación de la red, el acceso remoto y la autenticación. Los controles de la red pueden ser relevantes cuando la entidad tiene aplicaciones orientadas a la web que se utilizan en la información financiera. Los controles de red también pueden ser relevantes cuando la entidad tiene relaciones empresariales significativas con socios o subcontrata a terceros, lo que puede aumentar las transmisiones de datos o la necesidad de accesos remotos.
2. Algunos ejemplos de posibles controles generales de TI, clasificados por proceso de TI incluyen:
(a) Proceso para gestionar el acceso:
– Autenticación.
Controles que aseguran que un usuario que accede a la aplicación de TI o a otro aspecto del entorno de TI está utilizando sus propias credenciales de acceso (es decir, no está utilizando las credenciales de otro usuario).
– Autorización.
Controles que permiten a los usuarios acceder a la información necesaria para sus responsabilidades laborales y nada más, lo que facilita una adecuada segregación de funciones.
– Asignación de permisos.
Controles para autorizar nuevos usuarios y modificaciones de los permisos de usuarios existentes.
– Eliminación de permisos.
Controles para eliminar el acceso de un usuario al finalizar su contrato o ser transferido.
– Acceso privilegiado.
Controles sobre el acceso como administrador o como superusuario.
– Revisiones de acceso de usuarios.
Controles para volver a certificar o evaluar el acceso de los usuarios en el caso de autorizaciones continuas.
– Controles de configuración de seguridad.
Por lo general, cada tecnología tiene parámetros clave de configuración que ayudan a restringir el acceso al entorno.
– Acceso físico.
Controles sobre el acceso físico al centro de datos y al hardware ya que el mismo se puede utilizar para eludir otros controles.
(b) Procesos para la gestión de cambios en los programas o al entorno de TI.
– Cambio del proceso de gestión.
Controles sobre el proceso para diseñar, programar, probar y migrar los cambios a un entorno de producción (es decir, de usuario final).
– Segregación de funciones sobre la migración de los cambios.
Controles que segregan el acceso para ejecutar y migrar los cambios a un entorno de producción.
– Desarrollo de sistemas o adquisición o implementación.
Controles sobre el desarrollo inicial de aplicaciones de TI o su implementación (o en relación con otros aspectos del entorno de TI).
– Conversión de datos.
Controles sobre la conversión de datos durante el desarrollo, la implementación o actualizaciones al entorno de TI.
(c) Proceso para la gestión de las operaciones de TI.
– Programación de tareas
Controles sobre el acceso a la programación y al inicio de tareas o de programas que pueden influir en la información financiera.
– Seguimiento de tareas
Controles para el seguimiento de tareas o de programas de información financiera para que se ejecuten con éxito.
– Copias de seguridad y recuperación
Controles para asegurar que las copias de seguridad de los datos de información financiera se ejecutan de acuerdo con lo previsto y que dichos datos están disponibles y que se puede acceder a ellos para una recuperación oportuna en el caso de un fallo o de un ataque.
– Detección de intrusiones
Controles para el seguimiento de las vulnerabilidades o de las intrusiones en el entorno de TI.
En el siguiente cuadro se muestran ejemplos de controles generales de TI para responder a riesgos derivados de la utilización de TI, incluidas varias aplicaciones de TI en base a su naturaleza.
Proceso | Riesgos | Controles | Aplicaciones de TI | ||
---|---|---|---|---|---|
Proceso de TI | Ejemplos de riesgos derivados de la utilización de TI | Ejemplos de controles generales de TI | Software comercial no complejo – Aplicable (sí/no) | Software comercial o aplicaciones de TI de tamaño medio y moderadamente complejos – Aplicable (sí/no) | Aplicaciones de TI de gran tamaño o complejas (por ejemplo, sistemas EPR) – Aplicable (sí/no) |
Gestión de acceso. | Permisos de acceso de usuarios: Los usuarios tienen permisos de acceso más allá de los necesarios para realizar sus tareas, lo que puede dar lugar a una incorrecta segregación de funciones. | La dirección aprueba la naturaleza y la extensión de los permisos de acceso de usuarios para nuevos usuarios o modificaciones de los permisos existentes, incluidos perfiles/funciones estándar por aplicaciones, transacciones críticas de información financiera y segregación de funciones. | Sí - en vez de revisiones de acceso de usuarios mencionadas más abajo. |
Sí |
Sí |
El acceso para usuarios que dejan la entidad o son transferidos se elimina o modifica de manera oportuna. | Sí - en vez de revisiones de acceso de usuarios mencionadas más abajo. |
Sí |
Sí |
||
Se realizan revisiones periódicas de acceso de usuarios. |
Sí - en vez de controles de asignación/. eliminación mencionados anteriormente. |
Sí - para determinadas aplicaciones. |
Sí |
||
Se realiza un seguimiento de la segregación de funciones y los accesos en conflicto se eliminan o se asocian con controles mitigantes, los cuales se documentan y comprueban. | N/A - el sistema no dispone de segregación de funciones. | Sí - para determinadas aplicaciones. |
Sí |
||
El acceso privilegiado (por ejemplo, administradores de configuración, de datos y de seguridad) se autoriza y se restringe adecuadamente. | Sí - probablemente sólo a nivel de aplicación. | Sí - a nivel de la aplicación de TI y de determinados niveles del entorno de TI para esa plataforma. | Sí - a todos los niveles del entorno de TI para esa plataforma. | ||
Gestión de acceso. | Acceso directo a los datos: Se realizan directamente cambios inapropiados a los datos financieros por medios distintos a los de las transacciones de la aplicación. | El acceso a los archivos de datos o a los objetos/tablas/datos de las bases de datos se restringe al personal autorizado, en base a las responsabilidades de su puesto y a la función asignada, y dicho acceso es aprobado por la dirección. |
N/A |
Sí - para determinadas aplicaciones y bases de datos. |
Sí |
Gestión de acceso. | Parámetros del sistema: Los sistemas no están adecuadamente configurados o no son adecuadamente actualizados para restringir el acceso al sistema a los usuarios debidamente autorizados y apropiados. | El acceso se autentica mediante nombres de usuarios y contraseñas únicos u otros métodos como mecanismo para validar que los usuarios están autorizados para acceder al sistema. Los parámetros de las contraseñas cumplen los estándares de la entidad o del sector (por ejemplo, longitud y complejidad mínimas de la contraseña, periodo de validez, bloqueo de la cuenta). | Sí - autenticación sólo con contraseña. | Sí - autenticación por combinación de contraseña y varios factores. |
Sí |
Los atributos clave de la configuración de seguridad están adecuadamente implementados. | N/A - no existen configuraciones técnicas de seguridad. | Sí - para determinadas aplicaciones y bases de datos. |
Sí |
||
Gestión del cambio. | Cambios en las aplicaciones Se realizan cambios inapropiados en los sistemas o programas de las aplicaciones que contienen controles automatizados relevantes (es decir, parámetros configurables, algoritmos automatizados, cálculos automatizados y extracción de datos automatizada) o lógica de informes. | Los cambios en las aplicaciones se prueban y aprueban adecuadamente antes de incorporarse al entorno de producción. | N/A - verificaría que no hay instalado ningún código fuente. | Sí - para software no comercial. |
Sí |
El acceso para implementar cambios en el entorno de producción de la aplicación está adecuadamente restringido y separado del entorno de desarrollo. |
N/A |
Sí, para software no comercial. |
Sí |
||
Gestión del cambio. | Cambios en las bases de datos: Se realizan cambios inapropiados en la estructura de las bases de datos y en las relaciones entre los datos. | Los cambios en las bases de datos se prueban y aprueban adecuadamente antes de incorporarse al entorno de producción. | N/A - no se realizan cambios en las bases de datos en la entidad. | Sí - para software no comercial. |
Sí |
Gestión del cambio. | Cambios en el software de sistemas: Se realizan cambios inapropiados en el software de sistemas (por ejemplo, sistema operativo, red, software de gestión del cambio, software de control de accesos). | Los cambios en el software de sistemas se prueban y aprueban adecuadamente antes de incorporarse al entorno de producción. | N/A - no se realizan cambios en el software de sistemas en la entidad. |
Sí |
Sí |
Gestión del cambio. | Conversión de datos: Los datos convertidos desde sistemas antiguos o versiones previas introducen errores en los datos si la conversión transfiere datos incompletos, redundantes, obsoletos o inexactos. | La dirección aprueba los resultados de la conversión de datos (por ejemplo, actividades de cuadre y conciliación) de la aplicación o de la estructura de datos antiguas a la nueva aplicación o estructura de datos y lleva a cabo un seguimiento para asegurarse de que la conversión se ejecuta de conformidad con las políticas y procedimientos de conversión establecidos. | N/A - se trata mediante controles manuales. |
Sí |
Sí |
Operaciones de TI. | Red: La red no impide adecuadamente a los usuarios no autorizados acceder indebidamente a los sistemas de información. | El acceso se autentica mediante nombres de usuarios y contraseñas únicos u otros métodos como mecanismo para validar que los usuarios están autorizados para acceder al sistema. Los parámetros de las contraseñas cumplen los estándares de la entidad o las políticas y estándares profesionales (por ejemplo, longitud y complejidad mínimas de la contraseña, periodo de validez, bloqueo de la cuenta). | N/A - no existe un método de autenticación separado en la red. |
Sí |
Sí |
La red está estructurada para separar las aplicaciones orientadas a la web de la red interna, donde se accede a las aplicaciones ICFR (Control interno sobre la información financiera) relevantes. | N/A - no se emplea separación de la red. | Sí - con juicio. | Sí - con juicio. | ||
Periódicamente el equipo de gestión de la red ejecuta inspecciones de la vulnerabilidad del perímetro de la red e investiga asimismo posibles vulnerabilidades. |
N/A |
Sí - con juicio. | Sí - con juicio. | ||
Periódicamente se generan alertas para proporcionar notificaciones de amenazas identificadas por los sistemas detección de intrusiones Estas amenazas son investigadas por el equipo de gestión de la red. |
N/A |
Sí - con juicio. | Sí - con juicio. | ||
Se implementan controles para restringir el acceso a la Red Privada Virtual (RPV) a usuarios autorizados y apropiados. | N/A - no hay RPV. | Sí - con juicio. | Sí - con juicio. | ||
Operaciones de TI. | Copias de seguridad de datos y recuperación: No se puede recuperar o acceder de modo oportuno a los datos financieros cuando se produce una pérdida de datos. | Se realiza una copia de seguridad de los datos financieros de manera periódica de acuerdo con un calendario fijado. | N/A - se confía en copias de seguridad manuales por el equipo financiero. |
Sí |
Sí |
Operaciones de TI. | Programación de tareas: Los sistemas de producción, o las tareas tienen como resultado datos inexactos, incompletos o un procesamiento no autorizado de los datos. | Sólo los usuarios autorizados tienen acceso para actualizar las tareas por lotes (incluidas las tareas de comunicación) en el software de programación de tareas. | N/A - no se realizan tareas por lotes. | Sí - para determinadas aplicaciones. |
Sí |
Se realiza un seguimiento de los sistemas, programas o tareas críticos y se corrigen los errores de procesamiento para asegurar el éxito. | N/A - no se realiza seguimiento de tareas. | Sí - para determinadas aplicaciones. |
Sí |
[Bloque 11: #no-3]
NIA-ES 610 (revisada)
(Adaptada para su aplicación en España mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, de 14 de octubre de 2021)
Contenido | Apartado |
---|---|
Introducción. | |
Alcance de esta NIA. | 1-5 |
Relación entre la NIA 315 (Revisada) y la NIA 610 (Revisada 2013). | 6-10 |
La responsabilidad del auditor respecto de la opinión de auditoría. | 11 |
Fecha de entrada en vigor. | 12 |
Objetivos. | 13 |
Definiciones. | 14 |
Requerimientos. | |
Determinar si se puede utilizar el trabajo de la función de auditoría interna, las áreas en las que se puede emplear y la extensión de dicha utilización. | 15-20 |
Utilización del trabajo de la función de auditoría interna. | 21-25 |
Determinar si se puede utilizar la ayuda directa de los auditores internos, las áreas en las que se puede emplear y la extensión de dicha utilización. | 26-32 |
Utilización de la ayuda directa de los auditores internos. | 33-35 |
Documentación. | 36-37 |
Guía de aplicación y otras anotaciones explicativas. | |
Definición de la función de auditoría interna. | A1-A4 |
Determinar si se puede utilizar el trabajo de la función de auditoría interna, las áreas en las que se puede emplear y la extensión de dicha utilización. | A5-A23 |
Utilización del trabajo de la función de auditoría interna. | A24-A30 |
Determinar si se puede utilizar la ayuda directa de los auditores internos, las áreas en las que se puede emplear y la extensión de dicha utilización. | A31-A39 |
Utilización de la ayuda directa de los auditores internos. | A40-A41 |
La Norma Internacional de Auditoría (NIA) 610 (Revisada 2013), Utilización del trabajo de los auditores internos, debe interpretarse conjuntamente con la NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría.
«Las Normas «NIA-ES» y «NCCI» reproducen, con el permiso de la Federación Internacional de Contadores (IFAC), la totalidad o parte de la Traducción Autorizada al español de la norma internacional correspondiente emitida por el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB), y publicada por la IFAC en inglés en el periodo 2009-2015. La Traducción autorizada fue realizada con el permiso de IFAC por el Instituto de Censores Jurados de Cuentas de España (ICJCE), con la participación, entre otros, del Instituto de Contabilidad y Auditoría de Cuentas y del Consejo General de Economistas. Se permite la reproducción dentro de España en español y exclusivamente para propósitos no comerciales. Todos los otros derechos existentes quedan reservados. El texto aprobado de todas las Normas Internacionales de Auditoría y Control de Calidad es el publicado por IFAC en inglés. IFAC no asume responsabilidad alguna respecto a la exactitud e integridad de la traducción o de las acciones que puedan resultar. Puede obtener más información de la Federación Internacional de Contadores (IFAC) en www.ifac.org o escribiendo a permissions@ifac.org.»
Introducción
Alcance de esta NIA.
En relación con lo previsto en esta NIA sobre la posibilidad «de utilización de la ayuda directa de los auditores internos bajo la dirección, supervisión y revisión del auditor externo», debe tenerse en cuenta que dicha opción no resulta aplicable en España de conformidad con lo establecido en la Ley de Auditoría de Cuentas y su normativa de desarrollo respecto de la definición de «equipo de encargo» (artículo 3.11 de la Ley) y del régimen de independencia regulado a estos efectos en los artículos 14, 16.1.a.1.º y 19.1.b) de la Ley y su normativa de desarrollo.
1. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor externo cuando utiliza el trabajo de los auditores internos. Esto incluye (a) la utilización del trabajo de la función de auditoría interna para la obtención de evidencia de auditoría y (b) la utilización de la ayuda directa de los auditores internos bajo la dirección, supervisión y revisión del auditor externo.
Lo dispuesto en el apartado 1 (b) anterior no resulta de aplicación en España de acuerdo con lo indicado en la nota aclaratoria inicial de esta Norma.
2. Esta NIA no es aplicable si la entidad no dispone de una función de auditoría interna. (Ref: Apartado A2).
3. Si la entidad dispone de una función de auditoría interna, los requerimientos de esta NIA relativos a la utilización del trabajo de dicha función no son aplicables si:
(a) Las responsabilidades y actividades de dicha función no son relevantes para la auditoría; ó
(b) sobre la base del conocimiento preliminar de la función obtenido por el auditor como resultado de los procedimientos aplicados según la NIA 315 (Revisada)(1) el auditor externo no tiene previsto utilizar el trabajo de la función para la obtención de evidencia de auditoría.
(1) NIA 315 (Revisada), Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno.
Esta NIA no requiere que el auditor externo utilice el trabajo de la función de auditoría interna para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar directamente por el auditor externo, o para reducir su extensión; el establecimiento de la estrategia global de auditoría sigue siendo decisión del auditor externo.
4. Además, los requerimientos de esta NIA relativos a la ayuda directa no son aplicables si el auditor externo no tiene previsto utilizar la ayuda directa de los auditores internos.
Véase la nota aclaratoria inicial de esta Norma.
5. Es posible que, en algunas jurisdicciones, exista una prohibición o algún tipo de restricción, legal o reglamentaria, para la utilización del trabajo de la función de auditoría interna o de la ayuda directa de los auditores internos. La NIA no invalida las disposiciones legales o reglamentarias que rigen la auditoría de estados financieros(2). Por lo tanto, estas prohibiciones o restricciones no impiden que el auditor cumpla con las NIA. (Ref: Apartado A31).
(2) NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las normas internacionales de auditoría, apartado A57.
Véase la nota aclaratoria inicial de esta Norma.
Relación entre la NIA 315 (Revisada) y la NIA 610 (Revisada 2013).
6. Muchas entidades establecen funciones de auditoría interna como parte de sus estructuras de control interno y de gobierno. Los objetivos y el alcance de la función de auditoría interna, la naturaleza de sus responsabilidades y su estatus en la organización, incluidas su autoridad y su rendición de cuentas, varían ampliamente y dependen de la dimensión y de la estructura de la entidad, así como de los requerimientos de la dirección y, cuando proceda, de los responsables del gobierno de la entidad.
7. La NIA 315 (Revisada) trata de la forma en que el conocimiento y la experiencia de la función de auditoría interna pueden contribuir al conocimiento de la entidad y su entorno por parte del auditor externo, así como a la identificación y valoración de los riesgos de incorrección material por parte del mismo. La NIA 315 (Revisada)(3) explica, asimismo, el modo en el que una comunicación eficaz entre los auditores internos y externos también crea un entorno en que el auditor externo puede ser informado de cuestiones significativas que pueden afectar a su trabajo.
(3) NIA 315 (Revisada), apartado A120.
8. Dependiendo de si el estatus en la organización y las políticas y procedimientos relevantes de la función de auditoría interna sustentan adecuadamente su objetividad y grado de competencia, así como si aplica un enfoque sistemático y disciplinado, es posible que el auditor externo pueda utilizar el trabajo de la función de auditoría interna de un modo constructivo y complementario. Esta NIA trata de las responsabilidades del auditor externo cuando, sobre la base del conocimiento preliminar de la función de auditoría interna obtenido como resultado de los procedimientos aplicados bajo la NIA 315 (Revisada), tiene previsto utilizar el trabajo de la función de auditoría interna como parte de la evidencia de auditoría obtenida(4). La utilización de dicho trabajo modifica la naturaleza o momento de realización, o reduce la extensión de los procedimientos de auditoría a aplicar directamente por el auditor externo.
(4) Véanse los apartados 15-25.
9. Adicionalmente, esta NIA también trata las responsabilidades del auditor externo cuando éste tiene previsto utilizar la ayuda directa de los auditores internos bajo la dirección, supervisión y revisión del auditor externo.
Véase la nota aclaratoria inicial de esta Norma.
10. En una entidad puede haber personas que realicen procedimientos similares a los que realiza una función de auditoría interna. Sin embargo, salvo que sean realizados por una función objetiva y competente que aplique un enfoque sistemático y disciplinado, incluido el control de calidad, dichos procedimientos se consideran controles internos y la obtención de evidencia en relación con la eficacia de dichos controles formará parte de la respuesta del auditor a los riesgos valorados de conformidad con la NIA 330(5).
(5) NIA 330, Respuestas del auditor a los riesgos valorados.
La responsabilidad del auditor externo respecto de la auditoría.
11. El auditor externo es el único responsable de la opinión de auditoría expresada, y dicha responsabilidad no se reduce por el hecho de que, para realizar el encargo, utilice el trabajo de la función de auditoría interna o la ayuda directa de los auditores internos. Aunque puedan aplicar procedimientos de auditoría similares a los que aplica el auditor externo, ni la función de auditoría interna ni los auditores internos son independientes de la entidad tal y como requiere la NIA 200(6) al auditor externo en la auditoría de estados financieros. En consecuencia, esta NIA define las condiciones necesarias para que el auditor externo pueda utilizar el trabajo de los auditores internos. También define el trabajo necesario para obtener evidencia suficiente y adecuada de que el trabajo de la función de auditoría interna, o los auditores internos al prestar la ayuda directa, son adecuados para los fines de la auditoría. Los requerimientos tienen como finalidad proporcionar un marco para los juicios del auditor externo en relación con la utilización del trabajo de los auditores internos con el fin de prevenir la excesiva o indebida utilización de dicho trabajo.
(6) NIA 200, apartado 14.
Véase la nota aclaratoria inicial de esta Norma.
Fecha de entrada en vigor.
12. Apartado suprimido.
Objetivos
13. Cuando la entidad dispone de una función de auditoría interna y el auditor externo tiene previsto utilizar el trabajo de la función de auditoría interna para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar directamente por él, o para reducir su extensión, o utilizar la ayuda directa de los auditores internos, los objetivos del auditor externo son:
(a) Determinar si se puede utilizar el trabajo de la función de auditoría interna o la ayuda directa de los auditores internos, y, en caso afirmativo, las áreas en las que se puede utilizar y la extensión de dicha utilización;
y una vez determinada esta cuestión:
(b) En caso de utilizar el trabajo de la función de auditoría interna, determinar si dicho trabajo es adecuado para los fines de la auditoría; y
(c) En caso de utilizar la ayuda directa de los auditores internos, supervisar y revisar su trabajo.
Véase la nota aclaratoria inicial de esta Norma.
Definiciones
14. A efectos de esta NIA, los siguientes términos tienen los significados que figuran a continuación:
(a) Función de auditoría interna-función de una entidad que realiza actividades de las que se obtiene un grado de seguridad y asesoramiento establecidas para evaluar y mejorar la eficacia de los procesos de gobierno de la entidad, de gestión del riesgo y de control interno. (Ref: Apartados A1-A4).
(b) Ayuda directa-utilización de auditores internos para la aplicación de procedimientos de auditoría bajo la dirección, supervisión y revisión del auditor externo.
Lo dispuesto en el apartado 14 (b) anterior no resulta aplicable en España, de conformidad con lo indicado en la nota aclaratoria inicial de esta Norma.
Requerimientos
Determinar si se puede utilizar el trabajo de la función de auditoría interna, las áreas en las que se puede emplear y la extensión de dicha utilización
Evaluación de la función de auditoría interna.
15. El auditor externo determinará si el trabajo de la función de auditoría interna puede ser utilizado para los fines de la auditoría, evaluando lo siguiente:
(a) El grado en que el estatus en la organización, así como las políticas y procedimientos relevantes sustentan la objetividad de los auditores internos; (Ref: Apartados A5–A9).
(b) el grado de competencia de la función de auditoría interna; y (Ref: Apartados A5–A9).
(c) si la función de auditoría interna aplica un enfoque sistemático y disciplinado, incluido un control de calidad. (Ref: Apartados A10–A11).
16. El auditor externo no utilizará el trabajo de la función de auditoría interna si determina que:
(a) El estatus de la función en la organización y las políticas y procedimientos relevantes no sustentan adecuadamente la objetividad de los auditores internos;
(b) La función carece de suficiente competencia; o
(c) La función no aplica un enfoque sistemático y disciplinado, incluyendo un control de calidad. (Ref: Apartados A12–A14).
Determinar la naturaleza y extensión del trabajo de la función de auditoría interna que se puede utilizar.
17. Como base para determinar las áreas y la extensión en las que se puede utilizar el trabajo de la función de auditoría interna, el auditor externo considerará la naturaleza y el alcance del trabajo que ha sido realizado o que se prevé realizar, por la función de auditoría interna, así como su relevancia para su estrategia global de auditoría y su plan de auditoría. (Ref: Apartados A15–A17)
18. El auditor externo realizará todos los juicios significativos del encargo de auditoría y, con la finalidad de evitar la utilización indebida del trabajo de la función de auditoría interna, planificará una menor utilización del trabajo de la función y la realización directa de una mayor parte del trabajo: (Ref: Apartados A15–A17).
(a) Cuanto más juicio se necesite aplicar en:
(i) La planificación y aplicación de los procedimientos de auditoría relevantes; y
(ii) La evaluación de la evidencia obtenida; (Ref: Apartados A18–A19).
(b) Cuanto mayor sea el riesgo valorado de incorrección material en las afirmaciones, teniendo en cuenta especialmente los riesgos identificados como significativos; (Ref: Apartados A20–A22).
(c) Cuanto menor sea el grado en que el estatus en la organización y las políticas y procedimientos relevantes sustenten la objetividad de los auditores internos; y
(d) Cuanto menor sea el grado de competencia de la función de auditoría interna.
19. El auditor externo también evaluará si, en conjunto, al utilizar el trabajo de la función de auditoría interna con la extensión planificada estaría aún suficientemente involucrado en la auditoría, teniendo en cuenta que es el único responsable de la opinión de auditoría expresada. (Ref: Apartados A15–A22).
20. El auditor externo, al comunicar a los responsables del gobierno de la entidad la descripción general del alcance y del momento de realización de la auditoría planificados de conformidad con la NIA 260 (Revisada)(7), informará sobre el modo en que ha planificado utilizar el trabajo de la función de auditoría interna. (Ref: Apartado A23).
(7) NIA 260 (Revisada), Comunicación con los responsables del gobierno de la entidad, apartado 15.
Utilización del trabajo de la función de auditoría interna.
21. Si el auditor externo tiene previsto utilizar el trabajo de la función de auditoría interna, discutirá con dicha función, a efectos de la coordinación de sus respectivas actividades, la utilización prevista de su trabajo. (Ref: Apartados A24–A26).
22. El auditor externo leerá los informes de la función relativos al trabajo que tiene previsto utilizar con la finalidad de obtener conocimiento sobre la naturaleza y alcance de los procedimientos de auditoría aplicados por dicha función de auditoría interna, así como de los correspondientes hallazgos.
23. El auditor externo aplicará procedimientos de auditoría suficientes al conjunto del trabajo de la función de auditoría interna que tiene previsto utilizar, con la finalidad de determinar si son adecuados a los propósitos de la auditoría, incluida la evaluación de si:
(a) El trabajo de la función de auditoría interna se ha planificado, realizado, supervisado, revisado y documentado adecuadamente;
(b) Se ha obtenido evidencia de auditoría suficiente y adecuada que permita a la función de auditoría interna alcanzar conclusiones razonables; y
(c) Las conclusiones alcanzadas son adecuadas a las circunstancias y los informes preparados por la función de auditoría interna son congruentes con los resultados de los trabajos realizados. (Ref: Apartados A27–A30).
24. La naturaleza y la extensión de los procedimientos de auditoría del auditor externo responderán a su evaluación de:
(a) El grado de juicio aplicado;
(b) El riesgo valorado de incorrección material;
(c) El grado en que el estatus de la función de auditoría interna en la organización y las políticas y procedimientos relevantes sustentan la objetividad de los auditores internos; y
(d) El grado de competencia de la función(8) (Ref: Apartados A27–A29).
(8) Véase apartado 18.
e) Incluirá la reejecución de parte del trabajo. (Ref: Apartado A30).
25. El auditor externo evaluará también si sus conclusiones relativas a la función de auditoría interna descritas en el apartado 15 de esta NIA y la determinación de la naturaleza y extensión de la utilización del trabajo de la función de auditoría interna para los fines de la auditoría a la que se refieren los apartados 18-19 de esta NIA siguen siendo adecuadas.
Determinar si se puede utilizar la ayuda directa de los auditores internos, las áreas en las que se puede emplear y la extensión de dicha utilización.
Lo previsto en este epígrafe «Determinar si se puede utilizar la ayuda directa de los auditores internos, las áreas en las que se puede emplear y la extensión de dicha utilización» (párrafos 26 a 32), no resulta de aplicación en España, de conformidad con lo indicado en la nota aclaratoria inicial de esta Norma.
Determinar si se puede utilizar la ayuda directa de los auditores internos para los fines de la auditoría.
26. Es posible que el auditor externo tenga prohibida por disposiciones legales o reglamentarias la obtención de la ayuda directa de los auditores internos. En ese caso, los apartados 27-35 y 37 no son aplicables. (Ref: Apartado A31).
27. Si no está prohibida por una disposición legal o reglamentaria la utilización de la ayuda directa de los auditores internos, y el auditor externo planifica emplear esta ayuda directa en la auditoría, evaluará la existencia y significatividad de las amenazas a la objetividad y el grado de competencia de los auditores internos que presten dicha ayuda. La evaluación por el auditor externo de la existencia y significatividad de amenazas a la objetividad de los auditores internos incluirá indagar ante los auditores internos sobre los intereses y las relaciones que puedan originar una amenaza a su objetividad. (Ref: Apartados A32–A34)
28. El auditor externo no utilizará la ayuda directa de un auditor interno si:
(a) Existen amenazas significativas a la objetividad del auditor interno; o
(b) El auditor interno carece de la competencia necesaria para realizar el trabajo propuesto. (Ref: Apartados A32–A34)
Determinar la naturaleza y extensión del trabajo que se puede asignar a los auditores internos que prestan la ayuda directa.
29. Al determinar la naturaleza y extensión del trabajo que se puede asignar a los auditores internos, así como la naturaleza, el momento de realización y la extensión de la dirección, supervisión y revisión que sean adecuadas a las circunstancias, el auditor externo tendrá en cuenta:
(a) El grado de juicio aplicado en:
(i) La planificación y aplicación de los procedimientos de auditoría relevantes; y
(ii) La evaluación de la evidencia obtenida;
(b) El riesgo valorado de incorrección material; y
(c) la evaluación por el auditor externo de la existencia y significatividad de amenazas a la objetividad y el grado de competencia de los auditores internos que presten dicha ayuda. (Ref: Apartados A35–A39).
30. El auditor externo no utilizará la ayuda directa de los auditores internos para la aplicación de procedimientos que:
(a) Impliquen la realización de juicios significativos en la auditoría; (Ref: Apartado A19).
(b) Estén relacionados con riesgos valorados de incorrección material más elevados cuando el juicio requerido para la realización de los correspondientes procedimientos de auditoría o la evaluación de la evidencia de auditoría obtenida no sea limitado o poco importante; (Ref: Apartado A38).
(c) Estén relacionados con un trabajo en el que hayan participado los auditores internos y que haya sido, o vaya a ser, comunicado por la función de auditoría interna a la dirección o a los responsables del gobierno de la entidad; o
(d) Estén relacionados con decisiones que el auditor externo ha de tomar de conformidad con esta NIA relativas a la función de auditoría interna y la utilización de su trabajo o de su ayuda directa. (Ref: Apartados A35–A39).
31. Después de evaluar adecuadamente si se puede utilizar la ayuda directa de los auditores internos en la auditoría y, en su caso, la extensión de la mencionada ayuda, el auditor externo, en su comunicación a los responsables del gobierno de la entidad de la descripción general del alcance y del momento de realización de la auditoría planificados de conformidad con la NIA 260 (Revisada)(9), informará sobre la naturaleza y extensión de la utilización prevista de la ayuda directa de los auditores internos con la finalidad de poder concluir por ambas partes que dicha utilización no es excesiva en las circunstancias del encargo. (Ref: Apartado A39).
(9) NIA 260 (Revisada), apartado 15.
32. El auditor externo evaluará si, en conjunto, al utilizar la ayuda directa de los auditores internos con la extensión prevista, conjuntamente con la utilización prevista del trabajo de la función de auditoría interna, su propia participación en la auditoría sería suficiente, teniendo en cuenta que es el único responsable de la opinión de auditoría expresada.
Utilización de la ayuda directa de los auditores internos.
Lo previsto en este epígrafe «Utilización de la ayuda directa de los auditores internos» (párrafos 33 a 35), no resulta de aplicación en España, de conformidad con lo indicado en la nota aclaratoria inicial de esta Norma.
33. Previamente a la utilización de la ayuda directa de los auditores internos para los fines de la auditoría, el auditor externo:
(a) Obtendrá un acuerdo escrito de un representante autorizado de la entidad relativo a que se permitirá a los auditores internos seguir las instrucciones del auditor externo y a que la entidad no intervendrá en el trabajo que el auditor interno realice para el auditor externo; y
(b) Obtendrá un acuerdo escrito de los auditores internos relativo a que mantendrán la confidencialidad de cuestiones específicas siguiendo las instrucciones del auditor externo y a que le informarán de cualquier amenaza a su objetividad.
34. El auditor externo dirigirá, supervisará y revisará el trabajo realizado por los auditores internos para el encargo de conformidad con la NIA 220(10). Para ello:
(10) NIA 220, Control de calidad de la auditoría de estados financieros.
(a) La naturaleza, momento de realización y extensión de la dirección, supervisión y revisión tendrán en cuenta que los auditores internos no son independientes de la entidad y responderán al resultado de la evaluación de los factores mencionados en el apartado 29 de esta NIA; y
(b) Los procedimientos de revisión incluirán la comprobación por el auditor externo de la evidencia de auditoría subyacente en parte del trabajo realizado por los auditores internos.
La dirección, supervisión y revisión por el auditor externo del trabajo realizado por los auditores internos serán suficientes para que el auditor externo esté convencido de que los auditores internos han obtenido evidencia de auditoría suficiente y adecuada para soportar las conclusiones basadas en ese trabajo. (Ref: Apartados A40–A41).
35. Al dirigir, supervisar y revisar el trabajo realizado por los auditores internos, el auditor externo se mantendrá atento a la existencia de indicios que impliquen que las evaluaciones descritas en el apartado 27 hayan dejado de ser adecuadas.
Documentación.
36. Si el auditor externo utiliza el trabajo de la función de auditoría interna incluirá en la documentación de auditoría:
(a) La evaluación de:
(i) Si el estatus de la función en la organización y las políticas y procedimientos relevantes sustentan adecuadamente la objetividad de los auditores internos;
(ii) El grado de competencia de la función; y
(iii) Si la función de auditoría interna aplica un enfoque sistemático y disciplinado, incluido un control de calidad.
(b) La naturaleza y extensión del trabajo utilizado y el fundamento de esa decisión; y
(c) Los procedimientos de auditoría aplicados por el auditor externo para evaluar la adecuación del trabajo utilizado.
37. Si el auditor externo utiliza la ayuda directa de los auditores internos en la auditoría, incluirá en la documentación de auditoría:
(a) La evaluación de la existencia y significatividad de amenazas a la objetividad de los auditores internos y el grado de competencia de los auditores internos que han prestado dicha ayuda;
(b) El fundamento de la decisión relativa a la naturaleza y extensión del trabajo realizado por los auditores internos;
(c) La identificación de las personas que revisaron el trabajo realizado y la fecha y extensión de dicha revisión de conformidad con la NIA 230(11);
(11) NIA 230, Documentación de auditoría.
(d) Los acuerdos escritos obtenidos de un representante autorizado de la entidad y de los auditores internos según lo indicado en el apartado 33 de esta NIA; y
(e) Los papeles de trabajo preparados por los auditores internos que prestaron la ayuda directa en el encargo de auditoría.
La opción de utilizar ayuda directa de los auditores internos en la auditoría no resulta de aplicación en España de conformidad con lo indicado en la nota aclaratoria inicial de esta Norma.
Guía de aplicación y otras anotaciones explicativas
Definición de la función de auditoría interna [Ref: Apartados 2, 14(a)].
A1. Los objetivos y el alcance de las funciones de auditoría interna incluyen habitualmente actividades de las que se obtiene un grado de seguridad y asesoramiento cuyo fin es la evaluación y la mejora de la eficacia de los procesos de gobierno de la entidad, de gestión del riesgo y de control interno como los siguientes:
Actividades relativas al gobierno de la entidad.
– La función de auditoría interna puede valorar el proceso de gobierno de la entidad en relación con el cumplimiento de los objetivos de ética y valores, la gestión de resultados y rendición de cuentas, la comunicación de la información sobre riesgos y control a las áreas adecuadas de la organización, así como la eficacia de la comunicación entre los responsables del gobierno de la entidad, los auditores externos e internos y la dirección.
Actividades relativas a la gestión del riesgo.
– La función de auditoría interna puede ayudar a la entidad identificando y evaluando las exposiciones significativas al riesgo, así como contribuyendo a la mejora de la gestión del riesgo y de los sistemas de control interno (incluida la eficacia del proceso de información financiera).
– La función de auditoría interna puede aplicar procedimientos para ayudar a la entidad a detectar fraudes.
Actividades relativas al control interno.
– Evaluación del control interno. La función de auditoría interna puede tener asignada la responsabilidad específica de revisar los controles, de evaluar su funcionamiento y de recomendar mejoras de dichos controles. Al hacerlo, la función de auditoría interna proporciona un grado de seguridad en relación con el control. Por ejemplo, la función de auditoría interna puede planificar y aplicar pruebas u otros procedimientos para proporcionar un grado de seguridad a la dirección y a los responsables del gobierno de la entidad en relación con el diseño, implementación y eficacia operativa del control interno, incluidos los controles que son relevantes para la auditoría.
– Examen de información financiera y operativa. La función de auditoría interna puede tener asignada la revisión de los medios utilizados para identificar, reconocer, medir, clasificar y presentar información financiera y operativa, así como la realización de indagaciones específicas sobre partidas individuales, incluida la realización de pruebas detalladas de transacciones, saldos y procedimientos.
– Revisión de actividades de explotación. La función de auditoría interna puede tener asignada la revisión de la economía, eficiencia y eficacia de actividades de explotación, incluidas actividades no financieras de una entidad.
– Revisión del cumplimiento de las disposiciones legales y reglamentarias. La función de auditoría interna puede tener asignada la revisión del cumplimiento de las disposiciones legales y reglamentarias y de otros requerimientos externos, así como de las políticas y directrices de la dirección y de otros requerimientos internos.
A2. Es posible que en la entidad otras funciones con otras denominaciones realicen actividades similares a las que realiza la función de auditoría interna. Algunas o todas las actividades de la función de auditoría interna pueden ser externalizadas a una organización de servicios externa. Ni la denominación de la función, ni el hecho de que se realice por la entidad o por una organización de servicios externa determinan por sí solos que el auditor externo pueda o no utilizar el trabajo de la función de auditoría interna. Por el contrario, los aspectos relevantes son la naturaleza de las actividades; el grado en que el estatus de la función de auditoría interna en la organización y las políticas y procedimientos relevantes sustentan la objetividad de los auditores internos, la competencia y el enfoque sistemático y disciplinado de la función de auditoría interna. Las referencias en esta NIA al trabajo de la función de auditoría interna incluyen las actividades relevantes de otras funciones o de organizaciones de servicios externas que tienen esas mismas características.
A3. Adicionalmente, las personas dentro de la entidad con obligaciones y responsabilidades operativas y de gestión, que no pertenezcan a la función de auditoría interna, habitualmente estarían sometidas a amenazas a su objetividad que impedirían que puedan ser consideradas como parte de una función de auditoría interna para los fines de esta NIA, aunque realicen actividades de control que puedan ser probadas de conformidad con la NIA 330(12). Por este motivo, los controles de seguimiento realizados por un propietario-gerente no se considerarían equivalentes a una función de auditoría interna.
(12) Véase apartado 10.
A4. Si bien los objetivos de la función de auditoría interna de la entidad y los del auditor externo difieren, la función puede aplicar procedimientos de auditoría similares a los que aplica el auditor externo en una auditoría de estados financieros. En este caso, el auditor externo puede hacer uso de la función para los fines de la auditoría de una o varias de las siguientes maneras:
– para obtener información relevante para las valoraciones de los riesgos de incorrección material debidas a error o fraude efectuadas por el auditor externo. A este respecto, la NIA 315 (Revisada)(13) requiere que el auditor externo obtenga conocimiento de la naturaleza de las responsabilidades de la función de auditoría interna, de su estatus en la organización y de las actividades realizadas o que está previsto que se realicen, así como que lleve a cabo indagaciones ante las personas apropiadas de la función de auditoría interna (si la entidad dispone de esa función); o
(13) NIA 315 (Revisada), apartado 6(a).
– Salvo que esté prohibido o restringido de alguna manera, por disposición legal o reglamentaria, una vez realizada una evaluación adecuada, el auditor externo puede decidir utilizar trabajo que ha sido realizado por la función de auditoría interna durante el periodo, sustituyendo parcialmente la evidencia de auditoría que deba obtenerse directamente por el auditor externo(14).
(14) Véanse los apartados 15-25.
Adicionalmente, salvo que esté prohibido o restringido de alguna manera, por disposición legal o reglamentaria, el auditor externo puede utilizar auditores internos para realizar procedimientos de auditoría bajo la dirección, supervisión y revisión del auditor externo (denominado «ayuda directa» en esta NIA)(15).
(15) Véanse los apartados 26-35.
Véase la nota aclaratoria inicial de esta Norma.
Determinar si se puede utilizar el trabajo de la función de auditoría interna, las áreas en las que se puede emplear y la extensión de dicha utilización.
Evaluación de la función de auditoría interna.
Objetividad y competencia [Ref: Apartados 15(a)–(b)].
A5. El auditor externo aplica su juicio profesional para determinar si el trabajo de la función de auditoría interna se puede utilizar para los fines de la auditoría, así como la naturaleza y la extensión con la que se puede utilizar dicho trabajo teniendo en cuenta las circunstancias.
A6. El grado en que el estatus en la organización y las políticas y procedimientos relevantes de la función de auditoría interna sustentan su objetividad, así como el grado de competencia de la función son especialmente importantes para determinar si se puede utilizar el trabajo de la función de auditoría interna, así como, en su caso, la naturaleza y extensión de dicha utilización que resulta apropiada teniendo en cuenta las circunstancias.
A7. La objetividad se refiere a la capacidad de realizar dichas tareas sin que los juicios profesionales sean invalidados por la existencia de sesgos, conflictos de interés o la influencia indebida de terceros. Entre los factores que pueden afectar a la evaluación del auditor están los siguientes:
– Si el estatus de la función de auditoría interna en la organización, incluida su autoridad y su responsabilidad de rendición de cuentas, sustentan la capacidad de dicha función de estar libre de sesgos, de conflictos de interés o de la influencia indebida de terceros que invaliden los juicios profesionales. Por ejemplo, si la función de auditoría interna informa a los responsables del gobierno de la entidad o a un directivo con suficiente autoridad o, en caso de que la función informe a la dirección, si tiene contacto directo con los responsables del gobierno de la entidad.
– Si la función de auditoría interna está libre de responsabilidades que originan conflictos; por ejemplo, si tiene alguna obligación de gestión u operativa o responsabilidades que sean ajenas a la función de auditoría interna.
– Si los responsables del gobierno de la entidad supervisan las decisiones de contratación relacionadas con la función de auditoría interna; por ejemplo, determinan si la política de remuneraciones es adecuada.
– Si existe alguna restricción o limitación impuesta a la función de auditoría interna por la dirección o por los responsables del gobierno de la entidad; por ejemplo, para comunicar sus hallazgos al auditor externo.
– Si los auditores internos pertenecen a los organismos profesionales relevantes y si esa pertenencia les obliga a cumplir normas profesionales relativas a la objetividad, o si sus políticas internas alcanzan los mismos objetivos.
A8. La competencia de la función de auditoría interna se refiere a la adquisición y el mantenimiento del conocimiento y las cualificaciones de la función en su conjunto al nivel necesario para que las tareas asignadas puedan ser realizadas de manera diligente y de conformidad con las normas profesionales aplicables. Entre los factores que pueden influir en la evaluación del auditor externo están los siguientes:
– Si la función de auditoría interna cuenta con los recursos necesarios y adecuados en relación con el tamaño de la entidad y la naturaleza de sus operaciones.
– Si se han establecido políticas de contratación, de formación práctica y de asignación de auditores internos a los encargos de auditoría interna.
– Si los auditores internos tienen formación técnica y competencia adecuada en auditoría. Entre los criterios relevantes que el auditor externo puede tener en cuenta al realizar la evaluación pueden incluirse, por ejemplo, si los auditores internos tienen la cualificación profesional y experiencia necesarias.
– Si los auditores internos tienen el conocimiento requerido relativo a la información financiera de la entidad y al marco de información financiera aplicable y si la función de auditoría interna posee las cualificaciones necesarias (por ejemplo, conocimiento sectorial específico) para realizar trabajo relativo a los estados financieros de la entidad.
– Si los auditores internos son miembros de los organismos profesionales relevantes y si dicha circunstancia les obliga a cumplir las correspondientes normas profesionales, incluidos los requerimientos de formación profesional continuada.
A9. La objetividad y la competencia pueden entenderse en términos de continuidad. Cuanto mayor sea el grado en que el estatus en la organización y las políticas y procedimientos relevantes de la función de auditoría interna sustenten adecuadamente la objetividad de los auditores internos y cuanto mayor sea el grado de competencia de la función, será más probable que el auditor externo pueda utilizar el trabajo de la función de auditoría interna y mayor será el número de áreas en las que podrá hacerlo. No obstante, un estatus en la organización y unas políticas y procedimientos relevantes que sustenten de manera sólida la objetividad de los auditores internos no pueden compensar la insuficiente competencia de la función de auditoría interna. Del mismo modo, un alto grado de competencia de la función de auditoría interna no puede compensar un estatus en la organización y unas políticas y procedimientos que no sustenten adecuadamente la objetividad de los auditores internos.
Aplicación de un enfoque sistemático y disciplinado [Ref: Apartado 15(c)].
A10. La aplicación de un enfoque sistemático y disciplinado en la planificación, realización, supervisión, revisión y documentación de sus actividades diferencia las actividades de la función de auditoría interna de otras actividades de controles de seguimiento que se puedan realizar en la entidad.
A11. Entre los factores que pueden influir en la determinación por el auditor externo de si la función de auditoría interna aplica un enfoque sistemático y disciplinado se incluyen los siguientes:
– La existencia, adecuación y utilización de procedimientos de auditoría interna o de orientaciones documentados para áreas tales como valoraciones de riesgos, programas de trabajo, documentación e informes, cuya naturaleza y extensión sea acorde con el tamaño y las circunstancias de la entidad.
– Si la función de auditoría interna dispone de políticas y procedimientos de control de calidad adecuados, tales como las políticas y procedimientos de la NICC 1(16) que serían aplicables a una función de auditoría interna (como las que se refieren al liderazgo, recursos humanos y realización del encargo) o requerimientos de control de calidad establecidos por los correspondientes organismos profesionales para los auditores internos. Dichos organismos pueden establecer otros requerimientos apropiados tales como la realización periódica de evaluaciones externas de calidad.
(16) Norma Internacional de Control de Calidad (NICC) 1, Control de calidad en las firmas de auditoría que realizan auditorías y revisiones de estados financieros, así como otros encargos que proporcionan un grado de seguridad y servicios relacionados.
Circunstancias en las que no se puede utilizar el trabajo de la función de auditoría interna (Ref: Apartado 16).
A12. Es posible que la evaluación por el auditor de si el estatus en la organización y las políticas y procedimientos relevantes de la función de auditoría interna sustentan adecuadamente la objetividad de los auditores internos, del grado de competencia de la función de auditoría interna, así como la relativa a si aplica un enfoque sistemático y disciplinado, indique que los riesgos para la calidad del trabajo de la función son demasiado significativos y, en consecuencia, que no es adecuado utilizar su trabajo como evidencia de auditoría.
A13. La consideración de los factores de los apartados A7, A8 y A11 de esta NIA, de manera individual y en conjunto, es importante debido a que un factor individual a menudo no es suficiente para concluir que el trabajo de la función de auditoría interna no puede utilizarse para los fines de la auditoría. Por ejemplo, el estatus de la función de auditoría interna en la organización es especialmente importante al evaluar las amenazas a la objetividad de los auditores internos. Si la función de auditoría interna informa a la dirección sería considerado una amenaza significativa a la objetividad de la función de auditoría interna, salvo si existieran otros factores tales como los que se describen en el apartado A7 de esta NIA que conjuntamente proporcionaran suficientes salvaguardas para reducir la amenaza a un nivel aceptable.
A14. (Apartado suprimido)(17)(18).
(17) Nota suprimida.
(18) Nota suprimida.
A efectos de la adecuada interpretación y aplicación en España de los requerimientos de ética aplicables, incluidos los de independencia, se considerarán los establecidos en el artículo 2.3, la sección 2.ª del capítulo III (Título I) y la sección 3.ª del capítulo IV (Título I) de la LAC, en su normativa de desarrollo y en el Reglamento (UE) número 537/2014, del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre los requisitos específicos para la auditoría legal de las entidades de interés público y por el que se deroga la Decisión 2005/909/CE de la Comisión.
Determinar la naturaleza y extensión del trabajo de la función de auditoría interna que se puede utilizar.
Factores que afectan a la naturaleza y extensión del trabajo de la función de auditoría interna que se puede utilizar (Ref: Apartados 17-19).
A15. Una vez que el auditor externo ha determinado que se puede utilizar el trabajo de la función de auditoría interna a efectos de la auditoría, un primer aspecto a considerar es si la naturaleza y el alcance planificados del trabajo que ha sido realizado o que se prevé realizar, por la función de auditoría interna es relevante para la estrategia global de auditoría y el plan de auditoría que el auditor externo haya establecido de conformidad con la NIA 300(19).
(19) NIA 300, Planificación de la auditoría de estados financieros.
A16. Como ejemplos de trabajo de la función de auditoría interna que el auditor externo puede utilizar cabe citar los siguientes:
– Realización de pruebas sobre la eficacia operativa de los controles.
– Procedimientos sustantivos que implican juicios limitados.
– Observaciones de recuentos de existencias.
– Seguimiento de transacciones a través del sistema de información para la preparación de información financiera.
– Realización de pruebas de cumplimiento de requerimientos reglamentarios.
– En algunas circunstancias, auditorías o revisiones de la información financiera de entidades dependientes que no sean componentes significativos del grupo (cuando no exista conflicto con los requerimientos de la NIA 600(20).
(20) NIA 600, Consideraciones especiales – Auditorías de estados financieros de grupos (incluido el trabajo de los auditores de los componentes).
A17. La determinación por el auditor externo de la naturaleza y extensión planificadas de la utilización del trabajo de la función de auditoría interna se verá influida por su evaluación del grado en que el estatus de la función de auditoría interna en la organización y las políticas y procedimientos relevantes sustentan adecuadamente la objetividad de los auditores internos y del grado de competencia de la función de auditoría interna según el apartado 18 de esta NIA. Adicionalmente, y a dichos efectos, el grado en que sea necesaria la aplicación de juicio en la planificación, realización y evaluación de dicho trabajo, así como el riesgo valorado de incorrección material en las afirmaciones son datos a tener en cuenta por el auditor externo. Además, hay circunstancias en las cuales el auditor externo no puede utilizar el trabajo de la función de auditoría interna para los fines de la auditoría, como se describe en el apartado 16 de esta NIA.
Juicios en la planificación y aplicación de los procedimientos de auditoría y en la evaluación de los resultados [Ref: Apartados 18(a), 30(a)].
A18. Cuanto más necesario sea aplicar juicio en la planificación y realización de los procedimientos de auditoría y en la evaluación de la evidencia de auditoría, más procedimientos de auditoría necesitará aplicar el auditor externo directamente, de conformidad con el apartado 18 de esta NIA, debido a que utilizar únicamente el trabajo de la función de auditoría interna no le proporcionará evidencia de auditoría suficiente y adecuada.
A19. Debido a que el auditor externo es el único responsable de la opinión de auditoría expresada, necesita formarse los juicios significativos del encargo de auditoría de conformidad con el apartado 18. Los juicios significativos incluyen los siguientes:
– Valoración del riesgo de incorrección material;
– Evaluación de la suficiencia de las pruebas realizadas;
– Evaluación de la adecuación de la utilización por la dirección de la hipótesis de empresa en funcionamiento;
– Evaluación de las estimaciones contables significativas; y
– Evaluación de la adecuación de la información a revelar en los estados financieros y de otras cuestiones que afectan al informe de auditoría.
Riesgo valorado de incorrección material [Ref: Apartado 18(b)].
A20. Para un determinado saldo contable, tipo de transacción o información a revelar, cuanto mayor sea el riesgo valorado de incorrección material en las afirmaciones, mayor será, a menudo, el juicio aplicado en la planificación y aplicación de los procedimientos de auditoría y en la evaluación de sus resultados. En esas circunstancias, el auditor externo necesitará aplicar directamente más procedimientos de conformidad con el apartado 18 de esta NIA y, en consecuencia, hará una menor utilización del trabajo de la función de auditoría interna para la obtención de evidencia de auditoría suficiente y adecuada. Asimismo, como se expone en la NIA 200(21) cuanto mayores sean los riesgos valorados de incorrección material, más convincente necesitará ser la evidencia de auditoría requerida por el auditor externo y, en consecuencia, el auditor externo necesitará realizar directamente más trabajo.
(21) NIA 200, apartado A31.
A21. Como se expone en la NIA 315 (Revisada)(22), los riesgos significativos requieren una consideración especial en la auditoría y, en consecuencia, la capacidad de utilización del trabajo de la función de auditoría interna en relación con riesgos significativos se limitará a procedimientos que requieren poco juicio. Adicionalmente, cuando el riesgo de incorrección material no sea bajo, no es probable que la utilización únicamente del trabajo de la función de auditoría interna reduzca el riesgo de auditoría a un nivel aceptablemente bajo y elimine la necesidad de que el auditor externo realice directamente algunas pruebas.
(22) NIA 315 (Revisada), apartado 4(e).
A22. La realización de procedimientos de conformidad con esta NIA puede llevar al auditor externo a volver a evaluar su valoración de los riesgos de incorrección material. En consecuencia, esto puede afectar a la determinación por el auditor externo de si utilizar el trabajo de la función de auditoría interna para la auditoría y de si son necesarias consideraciones adicionales a la aplicación de esta NIA.
Comunicación con los responsables del gobierno de la entidad (Ref: Apartado 20).
A23. De conformidad con la NIA 260 (Revisada)(23), se requiere que el auditor externo comunique a los responsables del gobierno de la entidad una descripción general de la planificación del alcance y del momento de realización de la auditoría. La utilización prevista del trabajo de la función de auditoría interna es parte integrante de la estrategia global de auditoría externa y, en consecuencia, es relevante para el conocimiento por los responsables del gobierno de la entidad del enfoque de auditoría propuesto.
(23) NIA 260 (Revisada), apartado 15.
Utilización del trabajo de la función de auditoría interna.
Discusión y coordinación con la función de auditoría interna (Ref: Apartado 21).
A24. En la discusión con la función de auditoría interna de la planificación de la utilización de su trabajo, a efectos de la coordinación de sus respectivas actividades, puede ser de utilidad tratar lo siguiente:
– El momento de realización de dicho trabajo.
– La naturaleza del trabajo realizado.
– La extensión de la cobertura de auditoría.
– La importancia relativa para los estados financieros en su conjunto (y, en su caso, el nivel o los niveles de importancia relativa para determinados tipos de transacciones, saldos contables o información a revelar), y la importancia relativa para la ejecución del trabajo.
– Los métodos propuestos de selección de elementos y de tamaño de las muestras.
– La documentación del trabajo realizado.
– Los procedimientos de revisión y de informes.
A25. La coordinación entre el auditor externo y la función de auditoría interna es eficaz cuando, por ejemplo:
– Las discusiones tienen lugar, a intervalos apropiados, a lo largo del periodo.
– El auditor externo informa a la función de auditoría interna de cuestiones significativas que puedan afectarle.
– Se advierte al auditor externo y se le proporciona acceso a los informes relevantes de la función de auditoría interna correspondientes y se le informa de cualquier cuestión significativa detectada por la función de auditoría interna cuando dichas cuestiones puedan afectar al trabajo del auditor externo de modo que pueda considerar la implicación de dichas cuestiones para el encargo de auditoría.
A26. La NIA 200(24) analiza la importancia de que el auditor planifique y realice la auditoría con escepticismo profesional, así como de que preste especial atención a información que cuestione la fiabilidad de los documentos y las respuestas a las indagaciones que vayan a ser utilizados como evidencia de auditoría. De este modo, la comunicación con la función de auditoría interna durante todo el encargo puede proporcionar oportunidades a los auditores internos de poner en conocimiento del auditor externo cuestiones que pueden afectar a su trabajo(25). El auditor externo, entonces, puede tener en cuenta dicha información para la identificación y valoración de riesgos de incorrección material. Adicionalmente, si dicha información puede ser indicativa del aumento de un riesgo de incorrección material en los estados financieros o referirse a algún fraude, indicio de fraude o denuncia de fraude, el auditor puede tenerlo en cuenta en su identificación del riesgo de incorrección material debida a fraude de conformidad con la NIA 240(26).
(24) NIA 200, apartados 15 y A20.
(25) NIA 315 (Revisada), apartado A120.
(26) NIA 315 (Revisada), apartado A11 en relación con la NIA 240, Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude.
Procedimientos para determinar la adecuación del trabajo de la función de auditoría interna (Ref: Apartados 23-24).
A27. Los procedimientos aplicados por el auditor externo al conjunto del trabajo de la función de auditoría interna que tiene previsto utilizar le proporcionan una base para evaluar la calidad en general del trabajo de la función y la objetividad con la que se ha realizado.
A28. Entre los procedimientos que puede aplicar el auditor externo para evaluar la calidad del trabajo realizado y las conclusiones alcanzadas por la función de auditoría interna, además de la reejecución de conformidad con el apartado 24, se incluyen los siguientes:
– Realizar indagaciones ante las personas apropiadas de la función de auditoría interna.
– Observar los procedimientos aplicados por la función de auditoría interna.
– Revisar el programa de trabajo de la función de auditoría interna y sus papeles de trabajo.
A29. Cuanto más juicio sea necesario aplicar, cuanto mayor sea el riesgo valorado de incorrección material, cuanto menos apoyo brinden el estatus en la organización y las relevantes políticas y procedimientos de la función de auditoría interna a la objetividad de los auditores internos, o cuanto menor sea el grado de competencia de la función de auditoría interna, más procedimientos de auditoría necesitará el auditor externo aplicar al conjunto del trabajo de la función para sustentar la decisión de utilizar el trabajo de la misma, con la finalidad de obtener evidencia de auditoría suficiente y adecuada en la que fundamentar la opinión de auditoría.
Reejecución (Ref: Apartado 24).
A30. A efectos de esta NIA, la reejecución implica la realización independiente por parte del auditor de procedimientos para validar las conclusiones alcanzadas por la función de auditoría interna. Este objetivo se puede alcanzar mediante el examen de elementos que ya han sido examinados por la función de auditoría interna o, cuando no es posible, se puede alcanzar el mismo objetivo mediante el examen de un número suficiente de otros elementos similares que no fueron examinados por la función de auditoría interna. La reejecución proporciona evidencia más convincente referente a la adecuación del trabajo de la función de auditoría interna que otros procedimientos que pueda aplicar el auditor externo descritos en el apartado A28. Aunque no es necesario que el auditor externo realice reejecuciones en cada área del trabajo de la función de auditoría interna que se utiliza, sí se requiere alguna reejecución del trabajo en su conjunto de la función de auditoría interna que haya planificado utilizar el auditor externo de conformidad con el apartado 24. Es más probable que el auditor externo centre la reejecución en las áreas en las que es mayor la necesidad de aplicación de juicio por la función de auditoría interna en la planificación, realización y evaluación de los resultados de los procedimientos de auditoría y en las áreas de mayor riesgo de incorrección material.
Determinar si se puede utilizar la ayuda directa de los auditores internos, las áreas en las que se puede emplear y la extensión de dicha utilización.
Lo previsto en este epígrafe, «Determinar si se puede utilizar la ayuda directa de los auditores internos, las áreas en las que se puede emplear y la extensión de dicha utilización» (párrafos A31 a A39), no resulta de aplicación en España, de conformidad con lo indicado en la nota aclaratoria inicial de esta Norma.
Determinar si se puede utilizar la ayuda directa de los auditores internos para los fines de la auditoría (Ref: Apartados 5, 26–28).
A31. En las jurisdicciones en las que exista una disposición legal o reglamentaria que prohíba la utilización de la ayuda directa de los auditores internos, es importante que los auditores del grupo consideren si la prohibición se extiende a los auditores de los componentes y, en tal caso, aborden esta cuestión en la comunicación a los auditores de los componentes(27).
(27) NIA 600, apartado 40(b).
A32. Tal y como se establece en el apartado A7 de esta NIA, la objetividad se refiere a la capacidad de realizar el trabajo propuesto sin que los juicios profesionales sean invalidados por la existencia de sesgos, conflictos de interés o la influencia indebida de terceros. Al evaluar la existencia y significatividad de amenazas a la objetividad de un auditor interno, los siguientes factores pueden ser relevantes:
– El grado en que el estatus de la función de auditoría interna en la organización y las políticas y procedimientos relevantes sustentan la objetividad de los auditores internos(28).
(28) Véase apartado A7.
– Relaciones familiares o personales con una persona que trabaja, o es responsable del aspecto de la entidad al que se refiere el trabajo.
– Asociación con la división o departamento de la entidad a la que se refiere el trabajo.
– Intereses financieros significativos en la entidad distintos de la remuneración en condiciones congruentes con las que se aplican a otros empleados con un grado de antigüedad similar.
Documentación emitida por los organismos profesionales relevantes de auditores internos pueden proporcionar orientación adicional de utilidad.
A33. También puede haber algunas circunstancias en las que la significatividad de las amenazas a la objetividad de un auditor interno sea tal que no existen salvaguardas que las puedan reducir a un nivel aceptable. Por ejemplo, debido a que la adecuación de las salvaguardas se ve influida por la significatividad del trabajo en el contexto de la auditoría, los apartados 30 (a) y (b) prohíben la utilización de la ayuda directa de los auditores internos en procedimientos que implican la aplicación de juicios significativos en la auditoría o que están relacionados con riesgos valorados de incorrección material más elevados cuando la aplicación de juicio para la realización de los procedimientos de auditoría relevantes o la evaluación de la evidencia de auditoría obtenida no es limitado. Este también sería el caso cuando el trabajo involucrado crea una amenaza de autorrevisión, motivo por el que se prohíbe que los auditores internos apliquen procedimientos en las circunstancias descritas en el apartado 30 (c) y (d).
A34. Al evaluar el grado de competencia de un auditor interno, pueden ser relevantes muchos de los factores del apartado A8 de esta NIA aplicados en el contexto de auditores internos individuales y del trabajo que se les pueda asignar.
Determinar la naturaleza y extensión del trabajo que se puede asignar a los auditores internos que prestan la ayuda directa (Ref. Apartados 29-31).
A35. Los apartados A15-A22 de esta NIA proporcionan orientaciones relevantes para determinar la naturaleza y extensión del trabajo que se puede asignar a los auditores internos.
A36. Para determinar la naturaleza del trabajo que se puede asignar a los auditores internos, el auditor externo será cuidadoso en limitar dicho trabajo a las áreas que sería adecuado asignar. Como ejemplos de actividades y tareas en las que no sería apropiado utilizar la ayuda directa de los auditores internos están los siguientes:
– Discusión de riesgos de fraude. No obstante, los auditores externos pueden indagar ante los auditores internos acerca de riesgos de fraude en la organización de conformidad con la NIA 315 (Revisada)(29).
(29) NIA 315 (Revisada), apartado 6(a).
– Determinación de procedimientos de auditoría sin previo aviso conforme a la NIA 240.
A37. Del mismo modo, puesto que de conformidad con la NIA 505(30) se requiere que el auditor externo mantenga el control de las solicitudes de confirmación externa y evalúe los resultados de los procedimientos de confirmación externa, no sería apropiado asignar dichas responsabilidades a los auditores internos. No obstante, los auditores internos pueden colaborar en la recogida de la información necesaria para que el auditor externo resuelva las excepciones en las respuestas a las solicitudes de confirmación.
(30) NIA 505, Confirmaciones externas, apartados 7 y 16.
A38. El grado de juicio aplicado y el riesgo de incorrección material también son relevantes para determinar el trabajo que se puede asignar a los auditores internos que prestan la ayuda directa. Por ejemplo, en circunstancias en las que se valora como área de riesgo elevado la valoración de las cuentas a cobrar, el auditor externo podría asignar la comprobación de la exactitud de su antigüedad a un auditor interno que presta la ayuda directa. Sin embargo, puesto que la evaluación de la adecuación de la provisión basada en la clasificación por antigüedad implicaría una aplicación de juicio superior a «limitada», no sería apropiado asignar aquel procedimiento a un auditor interno que preste la ayuda directa.
A39. A pesar de la dirección, supervisión y revisión por el auditor externo, una utilización excesiva de la ayuda directa de los auditores internos puede afectar las percepciones relativas a la independencia del encargo de auditoría externa.
Utilización de la ayuda directa de los auditores internos (Ref: Apartado 34).
Lo previsto en este epígrafe, «Utilización de la ayuda directa de los auditores internos» (párrafos A40 a A41), no resulta de aplicación en España, de conformidad con lo indicado en la nota aclaratoria inicial de esta Norma.
A40. Debido a que los integrantes de la función de auditoría interna no son independientes de la entidad como se le exige al auditor externo cuando expresa una opinión sobre estados financieros, la dirección, supervisión y revisión del trabajo realizado por los auditores internos que prestan la ayuda directa será por lo general de naturaleza distinta y más extensa que si el equipo del encargo realizara el trabajo.
A41. Al dirigir a los auditores internos, el auditor externo puede, por ejemplo, recordarles que pongan en su conocimiento las cuestiones contables y de auditoría identificadas durante la auditoría. Al revisar el trabajo realizado por los auditores internos, las consideraciones del auditor externo incluyen si la evidencia obtenida es suficiente y adecuada en las circunstancias, y si sustenta las conclusiones que se han alcanzado.
Este documento es de carácter informativo y no tiene valor jurídico.
Ayúdenos a mejorar: puede dirigir sus comentarios y sugerencias a nuestro Servicio de atención al ciudadano
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid