Adaptación a las Normas Internacionales de
Auditoría I: valoración de riesgos
IDENTIFICACIÓN Y VALORACIÓN DE
RIESGOS
Ponente
MÓNICA SÁNCHEZ HERNÁNDEZ
Senior Manager de ERNST & YOUNG, S.L.
SESIÓN TÉCNICA
Adaptación a las Normas Internacionales de Auditoría I:
valoración de riesgos
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
El auditor dirigirá el esfuerzo de auditoría a aquellas áreas en las que el riesgo de incorrección material es mayor
Identificar fuentes de riesgo y posteriormente evaluar si podrían resultar en una incorrección material en los estados financieros
OBJETIVO RESULTADO
El sentido de la valoración del riesgo
3
Los riesgos deben valorarse tanto a nivel de los estados financieros como a nivel de las afirmaciones sobre tipos de transacciones, saldos contables e información revelada en los estados financieros
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
El modelo de riesgos
4
Riesgo inherente
Riesgo de control
Riesgo de incorrección
material
Exposición al riesgo de fraude y error
AltoBajo
Riesgos de negocio/fraude que pueden producir incorrecciones materialesRiesgos de negocio/fraude que pueden producir incorrecciones materiales
Controles penetrantes (a
nivel de la entidad)
Controles penetrantes (a
nivel de la entidad)
Riesgo bajo Riesgo medio Riesgo alto
GobernanzaCultura/ValoresCompetencia profesionalActitud ante el control
Controles específicos sobre
transacciones
Controles específicos sobre
transacciones
Ventas, compras, nómina, etc.Riesgo de
incorrecciónmaterial
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Tipos de riesgos inherentes
5
Derivado de:• Condiciones, hechos,
circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias.
• Establecimiento de objetivos y estrategias inadecuados.
RIESGO DE NEGOCIO
Derivado de hechos o condiciones que indican la existencia de un incentivo opresión para cometer fraude o que proporcionan una oportunidad para hacerlo
RIESGO DE FRAUDE
Abordado específicamente en la NIA-ES 240
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Los tres pasos de la valoración de riesgos
6
2. Diseñar, realizar y
documentar procedimientos de valoración
del riesgo
3. Relacionarlos riesgos identificados
con las áreas materiales delos estados financieros a
las que afectan
1. Obtener información
básica sobre la entidad
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Procedimientos de valoración del riesgo
7
Preguntasa la
dirección y otro
personal
Observación e inspección
Procedimientos analíticos
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Otras fuentes de información
8
Proceso de aceptación y continuidad
Trabajo previo
Discusiones del equipo de
trabajo
Discusiones del equipo de
trabajo
Información externa
Información externa
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Entendimiento de la entidad y su entorno, incluyendo el control interno
9
Objetivos y estrategias
de la entidad
Factores externos
Naturaleza de la entidad
Indicadores financieros
Políticas contables
Control interno
Riesgo de incorrección material en
los EEFF
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
El control interno de la entidad
10
NIA-ES 315.12
El auditor obtendrá conocimiento del control internorelevante para la auditoría. (…)
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Componentes del control interno de la entidad
11
Valoración del riesgo
Sistema de información
Actividades de control
Seguimiento
Objetivos de informaciónfinanciera
Entorno de control • Entorno de control• Valoración del riesgo• Seguimiento
• Actividades de control• Sistema de información
CONTROLES GENERALES (A NIVEL DE LA ENTIDAD)
CONTROLES ESPECÍFICOS (A NIVEL DE LAS TRANSACCIONES)
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Evaluar si:– La dirección ha establecido y mantenido una cultura
de honestidad y comportamiento ético.– Los puntos fuertes del entorno de control
proporcionan una base adecuada para los demás componentes del control interno y si éstos no están menoscabados como consecuencia de deficiencias en el entorno de control.
Componentes del control interno de la entidad (II)
12
Entorno de control
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
¿Tiene la entidad un proceso de valoración del riesgo?
13
Valoracióndel riesgo
• Obtener conocimiento del proceso y de sus resultados.
• Discutir con la dirección si se han identificado los riesgos de negocio relevantes para los objetivos de la información financiera y el modo en que se les ha dado respuesta.
• Evaluar si la ausencia de este proceso es adecuada en función de las circunstancias o determinar si constituye una deficiencia significativa en el control interno.
NO
SI Riesgos de incorrección material no identificados por la dirección
Componentes del control interno de la entidad (III)
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Obtener conocimiento de las siguientes áreas:
• Tipos de transacciones en las operaciones de la entidad que son significativos para los EEFF.
• Procedimientos mediante los que dichas transacciones se inician, se registran, se procesan, se corrigen, se trasladan al libro mayor y se incluyen en los estados financieros.
• Registros contables relacionados, información que sirve de soporte y cuentas específicas que son utilizados para iniciar, registrar y procesar transacciones e informar sobre ellas.
• Modo en que el sistema de información captura los hechos y condiciones, distintos de las transacciones, significativos para los EEFF.
• Proceso de información financiera utilizado para la preparación de los EEFF.
• Controles sobre los asientos en el libro diario.14
Sistema de información
Componentes del control interno de la entidad (IV)
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
15
Actividadesde control
Actividades de control
relevantes para la auditoría
Aquellas que a juicio del auditor es necesario conocer para valorar los riesgos
de incorrección material en las afirmaciones y para diseñar procedimientos de auditoría posteriores que respondan a
los riesgos valoradosNo es necesario conocer todas las actividades de control
Componentes del control interno de la entidad (V)
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Obtener conocimiento de:• Las principales actividades que la entidad lleva a
cabo para realizar un seguimiento del control interno relativo a la información financiera.
• El modo en que la entidad inicia medidas correctoras de las deficiencias en sus controles.
• Las fuentes de información utilizadas en las actividades de seguimiento realizadas por la entidad y la base para considerar que esta información es suficientemente fiable.
• La función de auditoría interna, si existe.16
Seguimiento
Componentes del control interno de la entidad (VI)
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Riesgo de control: Evaluación del control interno
17
1. Identificar los riesgos que requieren ser mitigados
2. Evaluar si los controles están diseñados de forma que mitiguen el riesgo
3. Evaluar si los controles que mitigan los riesgos están enfuncionamiento
4.Documentar los resultados y conclusión alcanzada
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
• Riesgos de incorrección material que a juicio del auditor requieren una consideración especial en la auditoría.
• Si se determina su existencia, se debe obtener conocimiento de los controles de la entidad que cubran dicho riesgo.
Los riesgos significativos
18
MA
GN
ITU
D D
EL M
PA
CTO
PO
TEN
CIA
L
PROBABILIDAD DE OCURRENCIA
= Riesgos identificados
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
• Relacionados con tipos de transacciones con procesamiento muy automatizado (con escasa o ninguna intervención manual).
• El auditor debe obtener conocimiento de los controles de la entidad sobre dichos riesgos.
Riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada
19
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Valoración del riesgo de incorrección material: el riesgo combinado
20
Riesgo inherente
Riesgo de control
Riesgo de incorrección material
/
/
MEDIO
ALTO
BAJO
ALTO ALTO
ALTO
ALTO
MEDIO
MEDIO
BAJOBAJO
MEDIO MEDIO
BAJO MEDIO BAJO
ALTO MEDIO
MEDIO
MEDIO
BAJO
BAJO BAJO
MEDIO BAJO
BAJOBAJO
MEDIO
ALTO
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
• La valoración de los riesgos de incorrección material en las afirmaciones puede variar en el transcurso de la auditoría, a medida que se obtiene evidencia de auditoría adicional.
• Si esto se produce, se modificarán los procedimientos de auditoría posteriores que hubieran sido planificados
Revisión de la valoración del riesgo
21
ST – Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos
Documentación
22
Resultados de la discusión del equipo del encargo
CONOCIMIENTO DE LA ENTIDAD Y SU ENTORNO
• Elementos clave del conocimiento obtenido
• Fuentes de información• Procedimientos de valoración del
riesgo aplicados
Riesgos de incorrección material en los EEFF y en las afirmaciones (identificación y valoración)
Riesgos significativos y otros que requieren identificación de controles, junto con los controles relacionados con ellos que se han identificado
DE LA IDENTIFICACION A
LA RESPUESTA A LOS RIESGOS
Ponente
Foto
JUAN JOSÉ HIERRO
Socio de AUREN
Miembro de la Comisión Técnica y de Calidad del ICJCE
SESIÓN TÉCNICA
Adaptación a las Normas Internacionales de Auditoría I:
valoración de riesgos
DE LA IDENTIFICACION A LA RESPUESTA A LOS
RIESGOS
PARTE I‐ EL PROCESO‐CONCEPTOS GENERALES
PARTE II‐ LA CAJA DE LAS HERRAMIENTAS
PARTE III‐ UNA PROPUESTA DE METODOLOGIA
NOTA‐ los diagramas de esta presentación proceden de la Guide to Using ISAs in the Audits of Small and Medium‐Sized Entities de la IFAC, escrito por el CICA canadiense
PARTE I‐ EL PROCESO‐CONCEPTOS GENERALES
PARTE II‐ LA CAJA DE LAS HERRAMIENTAS
PARTE III‐ UNA PROPUESTA DE METODOLOGIA
DE LA IDENTIFICACION A LA RESPUESTA A LOS
RIESGOS
Riesgos y controles(a nivel de entidad)
Objetivo de la entidadPreparar estados financieros que no presenten errores materiales
Riesgo inherente
Riesgo de control
Riesgo de errores materiales
Exposición al riesgo de fraude y error AltoBajo
Riesgos de negocio/fraude que podrían suponer la no consecución del objetivoRiesgos de negocio/fraude que podrían suponer la no consecución del objetivo
Respuesta de la dirección: Controles internos que mitigan los riesgos identificados
Respuesta de la dirección: Controles internos que mitigan los riesgos identificados
Riesgo residual de la dirección
Riesgo residual de la dirección
Riesgo bajo Riesgo medio
Riesgo alto
DIAGRAMA RIESGOS -CONTROLES
Riesgo inherente
Riesgo de control
Riesgo de errores materiales
Exposición al riesgo de fraude y error AltoBajo
Riesgos de negocio/fraude que pueden producir errores materiales
Controles penetrantes (a nivel de la entidad)Controles penetrantes (a nivel de la entidad)
Riesgo bajo Riesgo medio
Riesgo alto
GobernanzaCultura/Valores
Competencia profesional
Actitud ante el control
Controles específicos sobre transaccionesControles específicos sobre transacciones
Ventas, compras, nómina, etc
Riesgo de errores
materiales
Riesgos, controles y auditoría
Objetivo del auditorDeterminar que los estados financieros de la entidad están libres de errores
materiales
Riesgo inherente
Riesgo de control
Riesgo de errores materiales
Exposición al riesgo de fraude y error AltoBajo
¿Dónde podrían producirse errores materiales en los estados financieros?¿Dónde podrían producirse errores materiales en los estados financieros?
¿Los controles internos implantados por la dirección mitigan los riesgos inherentes identificados?
¿Los controles internos implantados por la dirección mitigan los riesgos inherentes identificados?
Los procedimientos de auditoría diseñados para responder a los riesgos de errores identificados
Los procedimientos de auditoría diseñados para responder a los riesgos de errores identificados
Riesgo de auditoría reducido a un nivel aceptable
Riesgo evaluado de errores materiales
Riesgo bajo Riesgo medio
Riesgo alto
PRIMERA FASE -EVALUACIÓN DE
RIESGOS
Realizar actividades preliminares del
encargo
Plan de auditoría
Realizar los procedimientos de
evaluación de riesgos
Decidir si se acepta el encargo
Desarrollar una estrategia global de auditoría y un plan de
auditoría2
Identificar/Evaluar REM3 a través del conocimiento de la
entidad
Listado de los factores de riesgoIndependenciaCarta de compromiso
MaterialidadDiscusiones del equipo de auditoríaEstrategia global de auditoría
Riesgos de fraude y negocio incluyendo los riesgos significatIvos
Diseño/Implementación de los controles internos relevantes
Evaluar REM3 en:‐ Nivel F/S‐ Nivel de afirmación
Eval
uac
ión
de
ries
gos
Notas:1. Véase la NIA 230 para una relación más completa de la documentación requerida.2. La planificación (NIA 230) es un proceso continuo e iterativo a lo largo de la auditoría.3. REM = Riesgos de errores materiales.
Actividad Objetivo Documentación1
SEGUNDA FASE:LA RESPUESTA A LOS
RIESGOSR
esp
ues
ta a
los
ries
gos
Diseñar respuestas generales y
procedimientos de auditoría adicionales
Implementación de respuestas a los evaluados REM3
Desarrollar respuestas apropiadas a la evaluación REM3
Reducir el riesgo de auditoría hasta un nivel
aceptable2
‐ Actualización de la estrategia global‐ Respuestas globales‐ Plan de auditoría que relaciona los REM3 evaluados a los procedimientos de auditoría adicionales
‐ Papeles de trabajo realizados‐ Resultados de auditoría‐ Supervisión del equipo‐ Revisión de los papeles de trabajo
Actividad Objetivo Documentación1
Notas:1. Véase la NIA 230 para una relación más completa de la documentación requerida.2. La planificación (NIA 230) es un proceso continuo e iterativo a lo largo de la auditoría.3. REM = Riesgos de errores materiales.
Fase IIIConclusión e Informe
Preparar el informe del auditor
Determinar si es necesario trabajo
adicional de auditoría
Formar una opinión Formar una opinión basada en los resultados de auditoría
‐ Factores de riesgo y procedimientos de auditoría nuevos o revisados‐ Cambios en la materialidad‐ Comunicación de los resultados de la auditoría‐ Conclusiones sobre los procedimientos de auditoría aplicados
‐ Decisiones significativos‐ Firma de la opinión de auditoría
Evaluar la evidencia de auditoría obtenida
¿Se requiere trabajo
adicional?
Sí
No
Res
pu
esta
a lo
s ri
esg
os
Vuelta a la evaluación del
riesgo
Notas:1. Véase la NIA 230 para una relación más completa de la documentación requerida.2. La planificación (NIA 230) es un proceso continuo e iterativo a lo largo de la auditoría.
RESUMEN
Procedimientos de evaluación de riesgos Respuestas globales Procedimientos de
auditoría adicionales
Evidencia de la evaluación de riesgos
Para el tratamiento de los REM a nivel de
los estados financieros
Evidencia para reducir el riesgo de auditoría a un nivel
aceptable
REM: Riesgos de errores materiales
TRATAMIENTO DE LOS RIESGOS
Respuestas de Auditoría
Respuestas Globales Procedimientos de auditoría adicionales
Ejemplos:- Escepticismo profesional- Asignación de personal apropiado- Supervisión reforzada del trabajo- Evaluación de las políticas contables- Naturaleza, alcance, planificación e impredictibilidad
de los procedimientos de auditoría- Otros procedimientos adicionales
Procedimientos sustantivos
Pruebas de controles
Pruebas de detalle
Procedimientos analíticos sustantivos
Riesgos evaluados
A nivel de los estados financieros A nivel de afirmaciones
Evidencia de auditoría apropiada y suficiente para reducir los riesgos de auditoría a un nivel aceptable
Resultados
RESPUESTAS GLOBALES
Los riesgos penetrantes (al nivel de los estadosfinancieros) (deficiencias graves en el entorno de control,riesgo significativo de fraude, ausencia generalizada decontroles, caída brusca del mercado de los productos de laentidad, ….etc.) exigen respuestas globales: diseñoespecífico de procedimientos, necesidad de personalexperimentado, necesidad de pruebas sorpresivas,reforzamiento del escepticismo profesional..etc.Los riesgos específicos (al nivel de las afirmaciones)requieren procedimientos adicionales (la caja de lasherramientas)
PROCEDIMIENTOS DE AUDITORIA
ADICIONALES
Las aserciones forman el lazo de unión entre las pruebas de controlesy las pruebas sustantivas.Utilizar las afirmaciones en el diseño de las pruebas a realizar.Ejemplo: no es lo mismo tratar de probar la existencia de las partidasincluidas dentro del saldo de Existencias (p.ej.: mediante pruebas deinventario físico) que probar que dentro del saldo de existencias seincluyen la totalidad de las partidas que deberían figurar comoexistencias (p.ej.: mediante pruebas de cumplimiento de controles).Utilizar versión simplificada de las afirmaciones: TOTALIDAD;EXISTENCIA, EXACTITUD(+corte), VALORACION
PARTE I‐ EL PROCESO‐CONCEPTOS GENERALES
PARTE II‐ LA CAJA DE LAS HERRAMIENTAS
PARTE III‐ UNA PROPUESTA DE METODOLOGIA
DE LA IDENTIFICACION A LA RESPUESTA A LOS
RIESGOS
LA CAJA DE HERRAMIENTAS DEL
AUDITOR
Procedimientos analíticos sustantivos
Pruebas de controles
Pruebas sustantivas de detalle
Procedimientos de auditoría adicionales
USO DE LA CAJA DE HERRAMIENTAS
Debido a que en todo el proceso de evaluación de riesgos seacumulan riesgos de que los juicios realizados pudieran sererróneos y que el control interno tiene siempre limitaciones, lanorma dice que deben de hacerse pruebas sustantivas respecto detodos los ciclos de transacciones, saldos de los estados financieros ylas revelaciones de los estados financieros que sean materialesrespecto de los estados financieros tomados en su conjunto. Si elriesgo de errores materiales es muy bajo, las pruebas sustantivaspueden reducirse al mínimo
OTRAS PRUEBAS OBLIGATORIAS
La norma impone la OBLIGATORIEDAD de realizar pruebas en relación con:‐ La posibilidad de elusión de los controles por parte de la dirección‐ Los asientos significativos realizados al cierre de los estados financieros‐ La coincidencia de los estados financieros con los registros contables‐ Todos y cada uno de las estimaciones significativas contenidas en los
estado financieros‐ Todas las transacciones significativas fuera del curso normal del
negocio‐ Criterios y procedimientos de reconocimiento de ingresos (es
obligatorio valorar el riesgo) a no ser que el riesgo se valore como bajo
PROCEDIMIENTOS ANALÍTICOS
DEFINICIÓN‐ Evaluación de información financiera por medio de análisis de relacionesplausibles entre diversas informaciones financieras y no financieras. Dos tipos:‐ Simples comparaciones entremezcladas con las pruebas sustantivas (análisis devariaciones y ratios). En principio no constituyen normalmente una evidencia adecuada.‐ Modelos predictivos. Ejemplos: 1‐ Ingresos de una sociedad que se dedica al alquiler deun tipo de máquinas cobrando un precio por hora predeterminado: en principio el ingresototal se puede prever en cuanto se disponga de una estimación del tiempo de alquiler. 2‐Negocio que constituye la última fase de la producción de una máquina determinada: sipodemos confirmar las máquinas que nos han entregado de la fase anterior, deben decoincidir con las que se han producido. 3‐ Número de empleados estable, salarios estables,normativas de seguridad social y retenciones estables: es previsible que los gastos depersonal sean estables. … etc. Estas pruebas si constituyen evidencias de auditoria: elauditor debe valorar su aportación a la consecución de los objetivos.La norma impone que los riesgos significativos no se pueden tratar solamente medianteprocedimientos analíticos. Por tanto, necesariamente deben de acompañarse con algunaprueba de detalle .
PRUEBAS DE CUMPLIMIENTO
DE LOS CONTROLES
PROPOSITO: Obtener evidencia de auditoria acerca de la efectividad operativa de loscontroles. Los controles pueden prevenir o detectar errores materiales. Los controles aseleccionar son aquellos que proveen la evidencia de auditoria necesaria para unaaseveración significativa. Normalmente (no siempre) referidas a controles operativos.Un walk‐through no es una prueba de cumplimiento de controles. Un walk trough tienecomo único objetivo probar que el sistema es tal como nos ha sido descrito.Normalmente se utiliza muestreo por atributos (muestras pequeñas).Solo se realizan pruebas de cumplimiento a‐ cuando se espera que el control estáfuncionando apropiadamente y b‐ cuando los procedimientos sustantivos no suponenuna evidencia suficiente al nivel de las aserciones (ejemplo: ventas en internet que nodejan documentación, pruebas sobre la totalidad de la cifra de ventas en unos grandesalmacenes, … etc.).Las pruebas realizadas tienen que relacionarse con controles que, a su vez, se relacionancon riesgos de errores materiales identificados.Deben de cubrir todo el periodo. Si se hacen en periodo intermedio, completar a final delaño o comprobar el monitoring.
CAMBIO FUNDAMENTAL
• ANTES: Las pruebas de controles se realizaban previamentey se utilizaban para determinar el alcance de las pruebassustantivas.
• AHORA: Las pruebas de controles no son previas, son partede la respuesta.
El auditor debe de realizar la combinación de procedimientosque considere más apropiada para la consecución de susobjetivos.
SI hay que hacer necesariamente evaluación de controlesNO hay que hacer necesariamente pruebas de cumplimiento
ALCANCE DE LAS PRUEBAS DE
CUMPLIMIENTO
• DEPENDE DE LAS CIRCUNSTANCIAS Y EL TIPO DE PARTIDAS OTRANSACCIONES.
• EN CICLOS TÍPICOS (COMPREAS, VENTAS, NOMINAS) UTILIZARPREFERENTEMENTE EL MUESTREO POR ATRIBUTOS (solo dosposibles resultados: se cumple o no se cumple). Muestraspequeñas, en las que no se producen errores dan un soporteestadístico importante a nuestro trabajo: Una muestra de 8 sinerrores da una seguridad del 80% de que no hay más de un 20%de errores. Una muestra de 23 sin errores produce una seguridaddel 90% de que no hay más del 10% de errores. Si hay errores hayque incrementar las muestras.
ROTACIÓN DE LAS PRUEBAS DE CONTROL
INTERNO
‐ Se pueden hacer rotaciones de pruebas de control interno hastaun máximo de 3 años, siempre y cuando se pueda estar seguro deque el riesgo que cubre el control no ha cambiado, el control nohaya cambiado y se hagan las observaciones necesarias paraasegurase de que es así.
‐ No se permite la rotación cuando la confianza en el control esnecesaria para mitigar un riesgo significativo, cuando el controlhaya cambiado o el riesgo haya cambiado, el personal o lascircunstancias hayan cambiado, el entorno de control seadeficiente, el control sea sustancialmente manual o los controlesde IT sean débiles.
CONTROLES AUTOMATIZADOS
‐ En muchas ocasiones los controles son realizadosautomáticamente por los sistemas de información. No pensarautomáticamente que nada se puede hacer.
‐ Se puede seleccionar igualmente una muestra y realizar loscontroles externamente o se pueden obtener determinadosarchivos del cliente y comprobar los controles o bien realizarloselectrónicamente (técnicas de CAATs ).
‐ Incluso los paquetes estandard contienen determinadoscontroles de cuadre y totalidad que pueden ser aprovechados porel auditor.
‐ Atención a los interfaces. Se les pueden sacar mucho partido.
APLICACIÓN A PEQUEÑAS EMPRESAS
• Con frecuencia se suele concluir que dado que no hay suficiente división defunciones el control interno es débil y sin dilación se recurre . NONECESARIAMENTE ES ASÍ. Hay que.
‐ Analizar la fortaleza del entorno de control, en el caso de pequeñas entidadeshay que conocer a fondo quien es la gerencia y como actúa y que compromisotiene con el control y evaluar el riesgo de elusión.
‐ Analizar la posible existencia de controles para los que puede ser máseficiente obtener evidencia a través de pruebas de cumplimiento.
‐ Revisar posibles aserciones para las que las pruebas sustantivas no seansuficiente evidencia. Por ejemplo, totalidad de las ventas.
UN ENTORNO DE CONTROL FUERTE PUEDE COMPENSAR DEBILIDADES DECONTROLES OPERATIVOS. ENTORNO DE CONTROL DEBIL PUEDE DEBILITARCONTROLES OPERATIVOS FUERTES
ALCANCE DE LAS PRUEBAS
SUSTANTIVAS DE DETALLE
• Dependiendo de las circunstancias y los objetivos. En general, losalcances pueden ser:‐ 100% de las partidas‐ Partidas concretas (por importe, por riesgo, porsusceptibilidad de errores, etc.)‐Muestreo no estadístico. Basado en el juicio del auditor. Sin
posibilidad de proyectar los resultados a toda la población.‐ Muestreo estadístico. Basado en procedimientosmatemáticos. Se pueden proyectar los resultados a toda lapoblación. Normalmente se utiliza elmuestreo por unidad
monetaria.
DESARROLLO DEL PLAN DE AUDITORÍA
Tres pasos:
‐ Desarrollar la respuesta global a los riesgos a nivel de los estadosfinancieros
‐ Desarrollar procedimientos específicos mínimos para las áreasmateriales de los estados financieros.
‐ Determinar los procedimientos de auditoria y los alcancesrequeridos teniendo en cuenta los riesgos de errores materialesen los estados financieros.
PUNTOS A TOMAR EN CUENTA
‐ Evitar procedimientos estándar.‐ Si es posible elegir procedimientos que cubran varias aserciones, evitando múltiples pruebas‐ Área de riesgo bajo: procedimientos mínimos‐ Considerar siempre posibles pruebas de controles. Incluso se pueden hacer pruebas rotatorias.‐ Considerar siempre los controles de IT. Probando un control en una o muy pocas transacciones se
puede generalizar a todas las transacciones. Considerar los controles generales.‐ Pruebas de doble propósito. Cuando se prevean pruebas de controles y sustantivas sobre la
misma clase de transacciones, se pueden combinar.‐ Considerar el efecto de una prueba en todos los extremos de las operaciones(por ej. una prueba
de cumplimiento sobre la totalidad de las ventas puede servir también sobre la totalidad de lascuentas a cobrar).
‐ Decidir los procedimientos en la fase de planificación. No poner a trabajar al equipo hasta que laestrategia no esté definida
‐ Recordar siempre el uso de procedimientos analíticos. Al principio para el análisis de riesgos,durante la auditoria para soportar el trabajo y al final para analizar resultados
‐ No empezar el trabajo hasta no tener clara la planificación. Evitar que los juniors empiecen atrabajar duplicando el trabajo del año anterior
DETERMINAR SI EL PLAN DE AUDITORÍA
ES COMPLETO
‐ ¿Se han tratado todas las áreas significativas de los estados financieros?‐ ¿Se ha dado un tratamiento suficiente y adecuado a los riesgos significativos?‐ ¿Se han planeado adecuadamente las circularizaciones?‐ ¿Se pueden utilizar evidencias de años anteriores?‐ ¿Se necesita algún experto externo?‐ ¿Se ha tratado el proceso de preparación de los estados financieros
adecuadamente?‐ ¿Se ha dado un tratamiento adecuado al riesgo de fraude?‐ ¿Se ha documentado apropiadamente la planificación?‐ ¿Se ha comunicado apropiadamente al equipo y en la parte que corresponda
al cliente?
PARTE I‐ EL PROCESO‐CONCEPTOS GENERALES
PARTE II‐ LA CAJA DE LAS HERRAMIENTAS
PARTE III‐ UNA PROPUESTA DE METODOLOGIA
DE LA IDENTIFICACION A LA RESPUESTA A LOS
RIESGOS
UNA POSIBLE METODOLOGIA
DE TRATAMIENTO DE LOS RIESGOS
• PASO I‐ ORIGEN DE LOS RIESGOS IDENTIFICADOS• PASO II‐ ¿QUE PODRÍA SALIR MAL?• PASO III‐ ¿A QUE PARTIDAS AFECTARIA?• PASO IV‐ PROBABILIDAD ESTIMADA (1) (1‐ REMOTA , 2‐IMPROBABLE, 3‐POSIBLE, 4‐PROBABLE, 5‐MUY PROBABLE)
• PASO V‐ IMPACTO (2) (% MATERIALIDAD) (1‐ <20% NO RELEVANTE: 2‐ >20%<50% MENOR, 3‐ >50%<100% MAYOR , 4‐ >100%MATERIAL, 5‐ GENERALIZADO)
• PASO VI‐ PROBABILIDAD x IMPACTO (1) X (2)= (3)• PASO VII‐ ¿RIESGO SIGNIFICATIVO? Como norma general, si (3) es mayor de 12 el riesgo podría ser significativo
• PASO VIII‐ CONTROLES Y SALVAGUARDAS DE LA ENTIDAD• PASO IX‐ RIESGO RESIDUAL (Alto, Medio, Bajo)• PASO X‐ RESPUESTA DE AUDITORIA• PASO XI‐ RESULTADO DE LOS PROCEDIMIENTOS• PASO XII‐ CONCLUSIONES
Ejemplo 1-Convenants (1/2)
I- Origen del riesgo Los préstamos bancarios incluyen convenants cuyo incumplimiento puede suponer la exigibilidad inmediata de los mismos. La liquidez es ajustada.
II- ¿Qué podría salir mal?
La compañía sería incapaz de hacer frente a los préstamos y se generaría un problema muy serio de liquidez que podría afectar a la continuidad.
III- ¿A que partidas afectaría?
La materialización del riesgo tendría un efecto generalizado.
IV- Probabilidad estimada
3- Posible
V- Impacto 5- Generalizado
VI- Impacto x Probabilidad
15
Ejemplo 1-Convenants (2/2)
VII- ¿Riesgo significativo? SI
VIII- Controles y salvaguardas de la entidad
El mayor riesgo procede de que todas las estimaciones contenidas en las cuentas las decide la dirección y esas estimaciones influyen en los cálculos de los convenants.
IX- Riesgo residual AltoX- Respuesta de auditoria Revisión detallada de todas las provisiones y
estimaciones de la dirección.
XI- Resultado de losprocedimientos
Se observan errores en el cálculo de los deterioros de deudores y existencias cuya contabilizaciónsupondría incumplimiento de los convenants. Se obtiene un compromiso del banco de aplazar al menos por un año el posible vencimiento anticipado
XII- Conclusión Este año se soluciona el problema. Información a memoria. Seguimiento para el próximo año
Ejemplo 2- Comisiones sobre ventas (1/3)
I- Origen del riesgo Los vendedores son remunerados exclusivamente en base a su cifra de ventas
II- ¿Qué puede salir mal? - Posibles ventas ficticias y devoluciones- Posibles incumplimientos condiciones venta- Posibles impagos y deterioros- Comisiones adelantadas o pagadas indebidamente
III- ¿A que partidasafectaría?
- Ventas (Ex, Ed)- Cuentas a cobrar (Ex, Ed, V)- Deterioro de cuentas a cobrar (V)- Gastos de las ventas (Ex, Ed)
IV- Probabilidad estimada 4- Posible
V- Impacto 4- >100% materialidad (importes individuales significativos)
VI- Probabilidad x impacto 16
Ejemplo 2- Comisiones sobre ventas (2/3)
VII‐ ¿Riesgo significativo? Si
VIII‐ Controles y salvaguardas del cliente
‐ Existen suficientes controles sobre el proceso de ventas y controles detectivos de seguimientos de los cobros y posibles deterioros de cuentas a cobrar.
‐ Se realiza un seguimiento de ventas‐cobros‐deterioros‐devoluciones por vendedor.
IX‐ Riesgo residual Medio‐ Bajo‐ Los controles no toman en cuenta posibles problemas de corte de operaciones.
Ejemplo 2- Comisiones sobre ventas (3/3)
X‐ Respuesta de auditoria ‐Pruebas de cumplimiento controles de ventas y cuentas a cobrar. ‐ Revisión control sobre vendedores‐ Ampliar pruebas de corte de ventas, revisando fechas efectivas de entrega al cliente.
XI‐ Resultados de los procedimientos Satisfactorios
XII‐ Conclusión Riesgo limitado y controlado
Adaptación a las Normas Internacionales de
Auditoría I: valoración de riesgos
Recommended