|
400.
EVALUACIÓN DE RIESGO Y CONTROL INTERNO
Introducción
El propósito de esta Norma
Internacional de Auditoría es establecer normas y proporcionar lineamientos
para obtener una comprensión de los sistemas de contabilidad y de control
interno sobre el riesgo de auditoría y sus componentes: riesgo inherente,
riesgo de control y riesgo de detección.
El auditor
deberá obtener una comprensión de los sistemas de contabilidad y de control
interno suficiente para planear la auditoría y desarrollar un enfoque de
auditoría efectivo. El auditor deberá usar juicio profesional para evaluar
el riesgo de auditoría y diseñar los procedimientos de auditoría para
asegurar que el riesgo se reduce a un nivel aceptablemente bajo.
Riesgo
inherente
Al desarrollar
el plan global de auditoría, el auditor debería evaluar el riesgo inherente
a nivel de estado financiero. Al desarrollar el programa de auditoría, el
auditor debería relacionar dicha evaluación a nivel de aseveración de
saldos de cuenta y clases de transacciones de importancia relativa, o asumir
que el riesgo inherente es alto para la aseveración.
Sistemas de
contabilidad y de control interno
Los
controles internos relacionados con el sistema de contabilidad están
dirigidos a lograr objetivos como:
·
Las
transacciones son ejecutadas de acuerdo con la autorización general o
específica de la administración.
·
Todas las
transacciones y otros eventos son prontamente registrados en el monto
correcto, en las cuentas apropiadas y en el período contable apropiado.
·
El acceso a
activos y registros es permitido sólo de acuerdo con la autorización de la
administración.
·
Los activos
registrados son comparados con los activos existentes a intervalos
razonables y se toma la acción apropiada respecto de cualquier diferencia.
Comprensión de los sistemas de contabilidad y control interno
Al obtener una comprensión de
los sistemas de contabilidad y de control interno para planear la auditoría,
el auditor obtiene un conocimiento del diseño de los sistemas de
contabilidad y de control interno, y de su operación.
Sistema de contabilidad
El auditor
debería obtener una comprensión del sistema de contabilidad suficiente para
identificar y entender:
(a)
las principales clases de transacciones en las operaciones de la
entidad;
(b)
cómo se inician dichas transacciones;
(c)
registros contables importantes, documentos de soporte y cuentas
en los estados financieros; y
(d)
el proceso contable y de informes financieros, desde el inicio de
transacciones importantes y otros eventos hasta su inclusión en los estados
financieros.
Ambiente de control
El auditor
debería obtener una comprensión del ambiente de control suficiente para
evaluar las actitudes, conciencia y acciones de directores y administración,
respecto de los controles internos y su importancia en la entidad.
Procedimientos de control
El auditor
debería obtener una comprensión de los procedimientos de control suficiente
para desarrollar el plan de auditoría.
Al obtener esta comprensión
el auditor consideraría el conocimiento sobre la presencia o ausencia de
procedimientos de control obtenido de la comprensión del ambiente de control
y del sistema de contabilidad para determinar si es necesaria alguna
comprensión adicional sobre los procedimientos de control.
Riesgo de
Control
Evaluación preliminar del riesgo de control
La evaluación preliminar del
riesgo de control es el proceso de evaluar la efectividad de los sistemas de
contabilidad y de control interno de una entidad para prevenir o detectar y
corregir representaciones erróneas de importancia relativa. Siempre habrá
algún riesgo de control a causa de las limitaciones inherentes de cualquier
sistema de contabilidad y de control interno.
Después de obtener una comprensión de los sistemas de contabilidad
y de control interno, el auditor debería hacer una evaluación preliminar del
riesgo de control, al nivel de aseveración, para cada saldo de cuenta o
clase de transacciones, de importancia relativa.
La evaluación preliminar del riesgo de control para una aseveración
del estado financiero debería ser alta a menos que el auditor:
(a)
pueda identificar controles internos relevantes a la aseveración
que sea probable que prevengan o detecten y corrijan una representación
errónea de importancia relativa; y
(b)
planee desempeñar pruebas de control para soportar la evaluación.
Documentación de la comprensión y de la evaluación del riesgo de control
El auditor debería documentar en los papeles de trabajo de la
auditoría:
(a)
la
comprensión obtenida de los sistemas de contabilidad y de control interno de
la entidad; y
(b)
la
evaluación del riesgo de control.
Cuando el riesgo de control es evaluado como menos que alto, el auditor
debería documentar también la
base para las conclusiones.
Pruebas de control
El auditor debería obtener evidencia de auditoría por medio de
pruebas de control para soportar cualquiera evaluación del riesgo de control
que sea menos que alto. Mientras mas baja la evaluación del riesgo de
control, más soporte debería obtener el auditor de que los sistemas de
contabilidad y de control interno están adecuadamente diseñados y operando
en forma efectiva.
Basado en los resultados de las pruebas de control, el auditor
debería evaluar si los controles internos están diseñados y operando según
se contempló en la evaluación preliminar de riesgo de control.
La evaluación de desviaciones puede dar como resultado que el auditor
concluya que el nivel evaluado de riesgo de control necesita ser revisado.
En tales casos el auditor modificaría la naturaleza, oportunidad y alcance
de los procedimientos sustantivos planeados.
Calidad y oportunidad de la evidencia de auditoría
Al determinar la evidencia de
auditoría apropiada para soportar una conclusión sobre riesgo de control, el
auditor puede considerar la evidencia de auditoría obtenida en auditorías
previas. En un trabajo continuo, el auditor estará consciente de los
sistemas de contabilidad y de control interno a través del trabajo llevado a
cabo previamente pero necesitará actualizar el conocimiento adquirido y
considerar la necesidad de obtener evidencia de auditoría adicional de
cualesquier cambios en control. Antes de
apoyarse en procedimientos aplicados en auditorías previas, el auditor
debería obtener evidencia de auditoría que soporte esta confiabilidad.
El auditor debería obtener evidencia sobre la naturaleza, oportunidad y
alcance de cualesquier cambios en los sistemas de contabilidad y de control
interno de la entidad, ya que dichos procedimientos fueron aplicados y
debería evaluar su impacto sobre la confianza que intenta depositar en
ellos. Mientras más tiempo haya transcurrido desde que se aplicaron dichos
procedimientos, disminuye el nivel de seguridad.
El auditor
debería considerar si los controles internos estuvieron vigentes a lo largo
del periodo.
Si se modificaron sustancialmente los controles en varias ocasiones
durante el periodo, el auditor debería considerar cada uno separadamente.
Una falla en los controles internos por una porción específica del periodo
requiere consideración por separado de la naturaleza, oportunidad y alcance
de los procedimientos de auditoría a ser aplicados a las transacciones y
otros eventos de ese periodo.
El auditor puede decidir
desarrollar algunas pruebas de control durante una visita interina antes del
final del periodo. Sin embargo, el auditor no puede confiar en los
resultados de dichas pruebas sin considerar la necesidad de obtener
evidencia de auditoría adicional relacionada con el resto del periodo.
Evaluación final del riesgo de control
Antes de la conclusión de la auditoría, basado en los resultados de
los procedimientos sustantivos y de otra evidencia de auditoría obtenida por
el auditor, el auditor debería considerar si la evaluación del riesgo de
control fue adecuada.
Relación entre las evaluaciones de riesgos inherente y de control
La administración a menudo
reacciona a situaciones de riesgo inherente diseñando sistemas de
contabilidad y de control interno para prevenir o detectar y corregir
representaciones erróneas y por lo tanto, en muchos casos, el riesgo
inherente y el riesgo de control están altamente interrelacionados. En estas
situaciones, si el auditor se decide a evaluar los riesgos inherente y de
control por separado, habría la posibilidad de una evaluación inapropiada
del riesgo. Como resultado, el riesgo de auditoría puede ser más
apropiadamente determinado en dichas situaciones haciendo una evaluación
combinada.
Riesgo de detección
El nivel de riesgo de
detección se relaciona directamente con los procedimientos sustantivos del
auditor. La evaluación del auditor del riesgo de control, junto con la
evaluación del riesgo inherente, influye en la naturaleza, oportunidad y
alcance de los procedimientos sustantivos que deben desarrollarse para
reducir el riesgo de detección, y por tanto el riesgo de auditoría, a un
nivel aceptablemente bajo. Algún riesgo de detección estaría siempre
presente aún si un auditor examinara 100 por ciento del saldo de una cuenta
o clase de transacciones porque, por ejemplo, la mayor parte de la evidencia
de auditoría es persuasiva y no concluyente.
El auditor debería considerar los niveles evaluados de riesgos
inherentes y de control al determinar la naturaleza, oportunidad y alcance
de los procedimientos sustantivos requeridos para reducir el riesgo de
auditoría a un nivel aceptable. A este
respecto, el auditor consideraría:
(a)
la
naturaleza de los procedimientos sustantivos, por ejemplo, usar pruebas
dirigidas hacia partes independientes fuera de la entidad y no pruebas
dirigidas hacia partes o documentación dentro de la entidad, o usar pruebas
de detalles para un objetivo particular de auditoría además de
procedimientos analíticos;
(b)
la
oportunidad de procedimientos sustantivos, por ejemplo, desarrollándolos al
final del periodo y no en una fecha anterior; y
(c)
el alcance
de los procedimientos sustantivos, por ejemplo, usar un tamaño mayor de
muestra.
Los niveles evaluados de
riesgos inherentes y de control no pueden ser suficientemente bajos para
eliminar la necesidad para el auditor de desarrollar algún procedimiento
sustantivo. Sin importar los niveles evaluados
de riesgos inherentes y de control, el auditor debería desarrollar algunos
procedimientos sustantivos para los saldos de las cuentas y clases de
transacciones importantes.
Mientras más alta sea la evaluación del riesgo inherente y de
control, más evidencia de auditoría debería obtener el auditor del
desarrollo de procedimientos sustantivos.
Cuando tanto el riesgo inherente como el de control son evaluados como
altos, el auditor necesita considerar si los procedimientos sustantivos
pueden brindar suficiente evidencia apropiada de auditoría para reducir el
riesgo de detección, y por tanto el riesgo de auditoría, a un nivel
aceptablemente bajo. Cuando el auditor
determina que el riesgo de detección respecto de una aseveración de los
estados financieros para el saldo de una cuenta o clase de transacciones de
importancia relativa, no puede ser reducido a un nivel aceptablemente
bajo, el auditor debería expresar una opinión calificada o una abstención
de opinión.
Comunicación de debilidades
Como resultado de obtener una
comprensión de los sistemas de contabilidad y de control interno y de las
pruebas de control, el auditor puede detectar debilidades en los sistemas.
El auditor debería informar a la
administración, tan pronto sea factible y a un apropiado nivel de
responsabilidad, sobre las debilidades de importancia en el diseño u
operación de los sistemas de contabilidad y de control interno, que hayan
llegado a la atención del auditor. La comunicación a la administración de
las debilidades de importancia ordinariamente seria por escrito.
Sin embargo, si el auditor juzga que la comunicación oral es
apropiada, dicha comunicación seria documentada en los papeles de trabajo de
la auditoría. Es importante indicar en la comunicación que sólo han sido
reportadas debilidades que han llegado a la atención del auditor como un
resultado de la auditoría y que el examen no ha sido diseñado para
determinar lo adecuado del control interno para fines de la administración.
Ilustración de
la interrelación de los componentes del riesgo de auditoría
La siguiente tabla muestra
como puede variar el nivel aceptable de riesgo de detección, basado en
evaluaciones de los riesgos inherentes y de control.
|
|
|
La evaluación del
auditor del riesgo es:
|
|
|
|
Alta
|
Media
|
Baja
|
|
La evaluación del
auditor del riesgo inherente
|
Alta
|
Lo más baja
|
Más baja
|
Media
|
|
Media
|
Más baja
|
Media
|
Más alta
|
|
Baja
|
Media
|
Más alta
|
Lo más alta
|
Las
áreas en negrilla en esta tabla se refieren al riesgo de detección.
Hay una relación inversa
entre el riesgo de detección y el nivel combinado de los riesgos inherentes
y de control. Por ejemplo, cuando los riesgos inherentes y de control son
altos, los niveles aceptables del riesgo de detección necesitan
ser bajos para reducir el riesgo de auditoría a un nivel aceptablemente
bajo. Por otra parte, cuando los riesgos inherente y de control son bajos,
un auditor puede aceptar un riesgo de detección más alto y aún así reducir
el riesgo de auditoría a un nivel aceptablemente bajo.
|
