Normas Internacionales de  Auditoría

Control Interno  EVALUACIÓN DE RIESGO Y CONTROL INTERNO    Introducción El propósito de esta Norma Internacional de Auditoría es establecer normas y proporcionar lineamientos para obtener una comprensión de los sistemas de contabilidad y de control interno sobre el riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de detección. El auditor deberá obtener una comprensión de los sistemas de contabilidad y de control interno suficiente para planear la auditoría y desarrollar un enfoque de auditoría efectivo. El auditor deberá usar juicio profesional para evaluar el riesgo de auditoría y diseñar los procedimientos de auditoría para asegurar que el riesgo se reduce a un nivel aceptablemente bajo. Riesgo inherente Al desarrollar el plan global de auditoría, el auditor debería evaluar el riesgo inherente a nivel de estado financiero. Al desarrollar el programa de auditoría, el auditor debería relacionar dicha evaluación a  nivel de aseveración de saldos de cuenta y clases de transacciones de importancia relativa, o asumir que el riesgo inherente es alto para la aseveración. Sistemas de contabilidad y de control interno Los controles internos relacionados con el sistema de  contabilidad  están dirigidos a lograr objetivos como: ·       Las transacciones son ejecutadas de acuerdo con la autorización general o específica de la administración. ·       Todas las transacciones y otros eventos son prontamente registrados en el monto correcto, en las cuentas apropiadas y en el período contable apropiado. ·       El acceso a activos y registros es permitido sólo de acuerdo con la autorización de la administración. ·       Los activos registrados son comparados con los activos existentes a intervalos razonables y se toma la acción apropiada respecto de cualquier diferencia. Comprensión de los sistemas de contabilidad y control interno Al obtener una comprensión de los sistemas de contabilidad y de control interno para planear la auditoría, el auditor obtiene un conocimiento del diseño de los sistemas de contabilidad y de control interno, y de su operación. Sistema de contabilidad El auditor debería obtener una comprensión del sistema de contabilidad suficiente para identificar y entender: (a)  las principales clases de transacciones en las operaciones de la entidad; (b)  cómo se inician dichas transacciones; (c)  registros contables importantes, documentos de soporte y cuentas en los estados financieros; y (d)  el proceso contable y de informes financieros, desde el inicio de transacciones importantes y otros eventos hasta su inclusión en los estados financieros. Ambiente de control El auditor debería obtener una comprensión del ambiente de control suficiente para evaluar las actitudes, conciencia y acciones de directores y administración, respecto de los controles internos y su importancia en la entidad. Procedimientos de control El auditor debería obtener una comprensión de los procedimientos de control suficiente para desarrollar el plan de auditoría. Al obtener esta comprensión el auditor consideraría el conocimiento sobre la presencia o ausencia de procedimientos de control obtenido de la comprensión del ambiente de control y del sistema de contabilidad para  determinar si es necesaria alguna comprensión adicional sobre los procedimientos de control.  Riesgo de Control Evaluación preliminar del riesgo de control La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de los sistemas de contabilidad y de control interno de una entidad para prevenir o detectar y corregir representaciones erróneas de importancia relativa. Siempre habrá algún riesgo de control a causa de las limitaciones inherentes de cualquier sistema de contabilidad y de control interno. Después de obtener una comprensión de los sistemas de contabilidad y de control interno, el auditor debería hacer una evaluación preliminar del riesgo de control, al nivel de aseveración, para cada saldo de cuenta o clase de transacciones, de importancia relativa. La evaluación preliminar del riesgo de control para una aseveración del estado financiero debería ser alta a menos que el auditor: (a) pueda identificar controles internos relevantes a la aseveración que sea probable que prevengan o detecten y corrijan una representación errónea de importancia relativa; y  (b) planee desempeñar pruebas de control para soportar la evaluación. Documentación de la comprensión y de la evaluación del riesgo de control El auditor debería documentar en los papeles de trabajo de la auditoría: (a)    la comprensión obtenida de los sistemas de contabilidad y de control interno de la entidad; y (b)    la evaluación del riesgo de control. Cuando el riesgo de control es evaluado como menos que alto, el auditor debería documentar también la base para las conclusiones. Pruebas de control El auditor debería obtener evidencia de auditoría por medio de pruebas de control para soportar cualquiera evaluación del riesgo de control que sea menos que alto. Mientras mas baja la evaluación del riesgo de control, más soporte debería obtener el auditor de que los sistemas de contabilidad y de control interno están adecuadamente diseñados y operando en forma efec­tiva.  Basado en los resultados de las pruebas de control, el auditor debería evaluar si los controles internos están diseñados y operando según se contempló en la evaluación preliminar de riesgo de control. La evaluación de desviaciones puede dar como resultado que el auditor concluya que el nivel evaluado de riesgo de control necesita ser revisado. En tales casos el auditor modificaría la naturaleza, oportunidad y alcance de los procedimientos sustan­tivos planeados. Calidad y oportunidad de la evidencia de auditoría Al determinar la evidencia de auditoría apropiada para soportar una conclusión sobre riesgo de control, el auditor puede considerar la evidencia de auditoría obtenida en auditorías previas. En un trabajo continuo, el auditor estará cons­ciente de los sistemas de contabilidad y de control interno a través del trabajo llevado a cabo previamente pero necesitará actualizar el conocimiento adquirido y considerar la necesidad de obtener evidencia de auditoría adicional de cualesquier cambios en control. Antes de apoyarse en procedimientos aplicados en auditorías previas, el auditor debería obtener evidencia de auditoría que soporte esta confiabilidad. El auditor debería obtener eviden­cia sobre la naturaleza, oportunidad y alcance de cualesquier cambios en los sistemas de contabilidad y de control interno de la entidad, ya que dichos procedimientos fueron aplicados y debería evaluar su impacto sobre la confianza que intenta depositar en ellos. Mientras más tiempo haya transcurrido desde que se aplicaron dichos procedimientos, disminuye el nivel de seguridad. El auditor debería considerar si los controles internos estuvieron vigentes a lo largo del periodo. Si se modificaron sustancialmente los controles en varias ocasiones durante el periodo, el auditor debería considerar cada uno separadamente. Una falla en los controles internos por una porción específica del periodo requiere consideración por separado de la naturaleza, oportunidad y alcance de los procedimientos de auditoría a ser aplicados a las transacciones y otros eventos de ese periodo. El auditor puede decidir desarrollar algunas pruebas de control durante una visita interina antes del final del periodo. Sin embargo, el auditor no puede confiar en los resultados de dichas pruebas sin considerar la necesidad de obtener evidencia de auditoría adicional relacionada con el resto del periodo.   Evaluación final del riesgo de control Antes de la conclusión de la auditoría, basado en los resultados de los procedimientos sustantivos y de otra evidencia de auditoría obtenida por el auditor, el auditor debería considerar si la evaluación del riesgo de control fue adecuada. Relación entre las evaluaciones de riesgos inherente y de control La administración a menudo reacciona a situaciones de riesgo inherente diseñando sistemas de contabilidad y de control interno para prevenir o detectar y corregir representaciones erróneas y por lo tanto, en muchos casos, el riesgo inherente y el riesgo de control están altamente interrelacionados. En estas situaciones, si el auditor se decide a evaluar los riesgos inherente y de control por separado, habría la posibilidad de una evaluación inapropiada del riesgo. Como resultado, el riesgo de auditoría puede ser más apropiadamente deter­minado en dichas situaciones haciendo una evaluación combinada. Riesgo de detección El nivel de riesgo de detección se relaciona directamente con los procedimientos sustantivos del auditor. La evaluación del auditor del riesgo de control, junto con la evaluación del riesgo inherente, influye en la naturaleza, oportunidad y alcance de los procedimientos sustantivos que deben desarrollarse para reducir el riesgo de detección, y por tanto el riesgo de auditoría, a un nivel aceptable­mente bajo. Algún riesgo de detección estaría siempre presente aún si un auditor examinara 100 por ciento del saldo de una cuenta o clase de transacciones porque, por ejemplo, la mayor parte de la evidencia de auditoría es persuasiva y no concluyente.   El auditor debería considerar los niveles evaluados de riesgos inherentes y de control al determinar la naturaleza, oportunidad y alcance de los procedimientos sustantivos requeridos para reducir el riesgo de auditoría a un nivel aceptable. A este respecto, el auditor consideraría: (a)    la naturaleza de los procedimientos sustantivos, por ejemplo, usar pruebas dirigidas hacia partes independientes fuera de la entidad y no pruebas dirigidas hacia partes o documentación dentro de la entidad, o usar pruebas de detalles para un objetivo particular de auditoría además de procedimien­tos analíticos; (b)    la oportunidad de procedimientos sustantivos, por ejemplo, desarrollándolos al final del periodo y no en una fecha anterior; y (c)     el alcance de los procedimientos sustantivos, por ejemplo, usar un tamaño mayor de muestra. Los niveles evaluados de riesgos inherentes y de control no pueden ser suficien­temente bajos para eliminar la necesidad para el auditor de desarrollar algún procedimiento sustantivo. Sin importar los niveles evaluados de riesgos inherentes y de control, el auditor debería desarrollar algunos procedimien­tos sustantivos para los saldos de las cuentas y clases de transacciones importantes. Mientras más alta sea la evaluación del riesgo inherente y de control, más evidencia de auditoría debería obtener el auditor del desarrollo de procedimientos sustantivos.Cuando tanto el riesgo inherente como el de control son evaluados como altos, el auditor necesita considerar si los procedimientos sustantivos pueden brindar suficiente evidencia apropiada de auditoría para reducir el riesgo de detección, y por tanto el riesgo de auditoría, a un nivel aceptablemente bajo. Cuando el auditor determina que el riesgo de detección respecto de una aseveración de los estados financieros para el saldo de una cuenta o clase de transacciones de importancia relativa, no puede ser reducido a un nivel aceptablemente bajo, el auditor debería  expresar una opinión calificada o una abstención de opinión. Comunicación de debilidades Como resultado de obtener una comprensión de los sistemas de contabilidad y de control interno y de las pruebas de control, el auditor puede detectar debilidades en los sistemas. El auditor debería informar a la administración, tan pronto sea factible y a un apropiado nivel de respon­sabilidad, sobre las debilidades de importancia en el diseño u operación de los sistemas de contabilidad y de control interno, que hayan llegado a la atención del auditor. La comunicación a la administración de las debilidades de importancia ordinariamente seria por escrito. Sin embargo, si el auditor juzga que la comunicación oral es apropiada, dicha comunicación seria documentada en los papeles de trabajo de la auditoría. Es importante indicar en la comunicación que sólo han sido reportadas debilidades que han llegado a la atención del auditor como un resultado de la auditoría y que el examen no ha sido diseñado para determinar lo adecuado del control interno para fines de la administración.