NIA 315 (REVISADA 2019)

Las categorías de afirmaciones son utilizadas por el auditor para considerar los diferentes tipos de incorrecciones potenciales que pueden ocurrir al identificar, valorar y responder a los riesgos de incorrección material. En el apartado A190 se describen ejemplos de esas afirmaciones. Las afirmaciones difieren de las manifestaciones escritas requeridas por la NIA 580,14 para confirmar ciertas cuestiones o para apoyar otra evidencia de auditoría.

Los controles están integrados dentro de los componentes del sistema de control interno de la entidad.

Las políticas se implementan a través de las acciones del personal dentro de la entidad, o mediante la restricción del personal de tomar acciones que entren en conflicto con esas políticas.

Los procedimientos pueden ser obligatorios a través de documentación formal u otra comunicación por parte de la dirección o de los responsables del gobierno de la entidad, o pueden resultar de comportamientos que no son obligatorios, sino que están condicionados por la cultura de la entidad. Los procedimientos se pueden hacer cumplir mediante acciones permitidas por las aplicaciones de las TI que utiliza la entidad u otros aspectos del entorno de las TI de la entidad.

Los controles pueden ser directos o indirectos. Los controles directos son controles que son lo suficientemente precisos para abordar los riesgos de incorrección material en las afirmaciones. Los controles indirectos son controles que apoyan a los controles directos.

Los riesgos a la integridad de la información surgen de la susceptibilidad a una implementación ineficaz de las políticas de información de la entidad, las cuales son políticas que definen el flujo de información, los registros y los procesos de información en el sistema de información de la entidad. Los controles de procesamiento de información son procedimientos que apoyan la implementación eficaz de las políticas de información de la entidad. Los controles de procesamiento de la información pueden ser automatizados (es decir, integrados en las aplicaciones de las TI) o manuales (por ejemplo, controles de entrada o salida) y pueden depender de otros controles, incluidos otros controles de procesamiento de información o controles generales de las TI.

Los factores de riesgo inherente pueden ser cualitativos o cuantitativos y afectan la susceptibilidad de las afirmaciones a incorrección. Los factores de riesgo cualitativos inherentes relacionados con la preparación de la información requerida por el marco de información financiera aplicable incluyen:

Otros factores de riesgo inherente que afectan la susceptibilidad a incorrección de una afirmación sobre una clase de transacciones, saldos contables o información a revelar incluyen:

Un riesgo de incorrección material puede relacionarse con más de una afirmación, en cuyo caso todas las afirmaciones a las que se refiere dicho riesgo son afirmaciones relevantes. Si una afirmación no tiene un riesgo identificado de incorrección material, entonces no es una afirmación relevante.

El término significativo puede describirse como la importancia relativa de una cuestión y el auditor la juzga en el contexto en el que se está considerando la cuestión. Para el riesgo inherente, el término significativo se puede considerar en el contexto de cómo, y el grado en el cual, los factores de riesgo inherentes afectan la combinación de la probabilidad de que ocurra una incorrección y la magnitud de la posible incorrección en caso de que dicha incorrección ocurra.

Los riesgos de incorrección material que deben ser identificados o valorados incluyen, tanto los que se deben a fraude como los debidos a error, y ambos se tratan en la presente NIA. Sin embargo, la significatividad del fraude es tal que la NIA 240 incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información con el fin de identificar y valorar los riesgos de incorrección material debida a fraude.15 Además, las siguientes NIA proporcionan requerimientos y orientaciones adicionales sobre la identificación y valoración de riesgos de incorrección material con respecto a cuestiones o circunstancias específicas:

El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría recopilada al realizar los procedimientos de valoración de riesgos y ayuda al auditor a permanecer alerta a que la evidencia de auditoría no esté sesgada hacia la corroboración de la existencia de riesgos o que pueda ser contradictoria a la existencia de riesgos. El escepticismo profesional es una actitud que aplica el auditor al ejercer juicios profesionales que después proporcionan el fundamento para las acciones del auditor. El auditor ejerce el juicio profesional para determinar cuándo tiene evidencia de auditoría que proporciona un fundamento adecuado para la valoración del riesgo.

La aplicación de escepticismo profesional por parte del auditor puede incluir:

Diseñar y llevar a cabo procedimientos de valoración de riesgos para obtener evidencia de auditoría que apoye a la identificación y valoración de riesgos de incorrección material de forma imparcial, puede ayudar al auditor a identificar información potencialmente contradictoria, lo cual puede ayudar al auditor a ejercer escepticismo profesional al identificar y valorar los riesgos de incorrección material.

La naturaleza y extensión de los procedimientos de valoración de riesgos varían con base en la naturaleza y circunstancias de la entidad (por ejemplo, la formalidad de las políticas y procedimientos de la entidad y los procesos y sistemas). El auditor ejerce el juicio profesional para determinar la naturaleza y extensión de los procedimientos de valoración de riesgos que realizará para cumplir con los requerimientos de esta NIA.

Aunque puede variar la extensión en que se formalizan las políticas y procedimientos de una entidad y los procesos y sistemas, se requiere que el auditor aún obtenga el conocimiento de conformidad con los apartados 19, 21, 22, 24, 25 y 26. Ejemplos: Algunas entidades, incluidas las entidades menos complejas, y en particular las administradas por el propietario, pueden no haber establecido procesos y sistemas estructurados (por ejemplo, un proceso de valoración de riesgos o un proceso para dar seguimiento al sistema de control interno) o pueden haber establecido procesos o sistemas con documentación limitada o falta de consistencia en la forma en que se llevan a cabo. Cuando tales sistemas o procesos carecen de formalidad, el auditor todavía puede realizar procedimientos de valoración de riesgos a través de observación y de indagaciones. Se espera que otras entidades, generalmente más complejas, tengan políticas y procedimientos más formales y documentados. El auditor utilizará esa documentación al realizar los procedimientos de valoración de riesgos.

La naturaleza y extensión de los procedimientos de valoración de riesgos que se realizan la primera vez que se lleva a cabo un encargo, pueden ser más extensos que los procedimientos para un encargo recurrente. En periodos subsecuentes, el auditor se puede centrar en los cambios que han ocurrido desde el periodo anterior.

La NIA 50021 explica los tipos de procedimientos de auditoría que se pueden realizar al obtener evidencia de auditoría a partir de los procedimientos de valoración de riesgos y de los procedimientos de auditoría posteriores. La naturaleza, oportunidad y la extensión de los procedimientos de auditoría pueden verse afectados por el hecho de que algunos de los datos contables y otra información estén disponibles sólo en formato electrónico o sólo en algunos momentos o en periodos de tiempo determinados.22 El auditor puede realizar procedimientos sustantivos o pruebas de controles, de conformidad con la NIA 330, en conjunto con los procedimientos de valoración de riesgos, cuando hacerlo resulta eficiente. La evidencia de auditoría obtenida que apoya la identificación y valoración de los riesgos de incorrección material también puede apoyar a la detección de incorrecciones en las afirmaciones o la evaluación de la eficacia operativa de los controles.

Si bien se requiere que el auditor aplique todos los procedimientos de valoración del riesgo descritos en el apartado 14 para la obtención del conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (véanse los apartados 19-26), no se requiere que el auditor aplique todos ellos para cada aspecto de dicho conocimiento. Se pueden aplicar otros procedimientos cuando la información que se va a obtener de ellos pueda ser útil para la identificación de riesgos de incorrección material. Los ejemplos de esos procedimientos pueden incluir el conducir indagaciones con el consejero legal externo de la entidad o los supervisores externos, o de expertos en valuación que la entidad ha utilizado.

Mediante el uso de herramientas y técnicas automatizadas, el auditor puede realizar procedimientos de valoración de riesgos sobre grandes volúmenes de datos (del libro mayor general, libros secundarios u otros datos operativos), incluso para análisis, recálculos, reevaluación o conciliaciones.

La información obtenida por el auditor para respaldar una base adecuada para la identificación y valoración de riesgos, y para el diseño de procedimientos de auditoría posteriores, puede obtenerse a través de indagaciones a la dirección y a los encargados de la información financiera.

Las indagaciones a la dirección y a los encargados de la información financiera y a otras personas adecuadas dentro de la entidad y otros empleados con diferentes niveles de autoridad pueden ofrecer al auditor diferentes perspectivas al identificar y valorar los riesgos de incorrección material. Ejemplos:

Al realizar indagaciones sobre aquellos que puedan tener información que pueda ayudar a identificar los riesgos de incorrección material, los auditores de las entidades del sector público pueden obtener información de fuentes adicionales, tal como de los auditores que participan en auditorías al desempeño u otras auditorías relacionadas con la entidad.

Si una entidad tiene una función de auditoría interna, las indagaciones ante las personas adecuadas dentro de la función pueden ayudar al auditor a conocer a la entidad y su entorno y el sistema de control interno de la entidad durante la identificación y valoración de riesgos.

Los auditores de entidades del sector público a menudo tienen responsabilidades adicionales en relación con el control interno y con el cumplimiento de las disposiciones legales y reglamentarias aplicables. Las indagaciones a las personas adecuadas de la función de auditoría interna pueden facilitar al auditor la identificación de riesgos materiales de incumplimientos de las disposiciones legales y reglamentarias aplicables, así como de riesgos de deficiencias del control relativas a la información financiera.

Los procedimientos analíticos ayudan a identificar incongruencias, transacciones o hechos inusuales y cantidades, proporciones y tendencias que indican cuestiones que pueden tener implicaciones de auditoría. Las relaciones inusuales o inesperadas que se identifiquen pueden facilitar al auditor la identificación de riesgos de incorrección material, especialmente los debidos a fraude.

Los procedimientos analíticos realizados como procedimientos de valoración de riesgos pueden, por tanto, ayudar a identificar y valorar los riesgos de incorrección material mediante la identificación de aspectos de la entidad que el auditor desconocía o conociendo cómo los factores de riesgo inherentes, como el cambio, afectan la susceptibilidad de las afirmaciones a incorrección.

Los procedimientos analíticos realizados como procedimientos de valoración de riesgos pueden: Ejemplo: En la auditoría de muchas entidades, incluidas aquellas con modelos y procesos comerciales menos complejos, y un sistema de información menos complejo, el auditor puede realizar una comparación simple de información, como el cambio en los saldos contables de las cuentas a fechas intermedias o mensuales con respecto a los saldos de periodos anteriores, para obtener una indicación de las áreas potenciales de mayor riesgo.

Esta NIA trata con el uso por parte del auditor de los procedimientos analíticos como procedimientos de valoración de riesgos. La NIA 52024 aborda el uso por parte del auditor de procedimientos analíticos como procedimientos sustantivos (“procedimientos analíticos sustantivos”) y la responsabilidad del auditor de realizar procedimientos analíticos cerca del final de la auditoría. En consecuencia, los procedimientos analíticos realizados como procedimientos de valoración de riesgos no requieren que se realicen de conformidad con los requerimientos de la NIA 520. Sin embargo, los requerimientos y la guía de aplicación de la NIA 520 proporcionan al auditor una orientación útil cuando realiza procedimientos analíticos como parte de los procedimientos de valoración de riesgos.

Los procedimientos analíticos pueden realizarse utilizando numerosas herramientas y técnicas, las cuales pueden ser automatizadas. La aplicación de procedimientos analíticos automatizados a los datos puede denominarse análisis de datos. Ejemplo: El auditor puede utilizar una hoja de cálculo para realizar una comparación de los importes reales registrados con los importes presupuestados, o puede realizar un procedimiento más avanzado extrayendo datos del sistema de información de la entidad y analizando estos datos utilizando técnicas de visualización para identificar clases de transacciones, saldos contables o información a revelar para las que se puedan justificar procedimientos de valoración de riesgos específicos posteriores.

La observación y la inspección pueden dar soporte, corroborar o contradecir a las indagaciones a la dirección y a otras personas y pueden, asimismo, proporcionar información acerca de la entidad y de su entorno.

Cuando las políticas o procedimientos no están documentados, o la entidad tiene controles menos formalizados, el auditor aún puede obtener alguna evidencia de auditoría para apoyar la identificación y valoración de los riesgos de incorrección material mediante la observación o inspección del desempeño del control. Ejemplos:

Los procedimientos de valoración de riesgos pueden incluir la observación o inspección de lo siguiente:

También se pueden utilizar herramientas o técnicas automatizadas para observar o inspeccionar activos en particular, por ejemplo, mediante el uso de herramientas de observación remota (por ejemplo, un dron).

Los procedimientos de valoración de riesgos realizados por auditores de entidades del sector público también pueden incluir la observación e inspección de documentos preparados por la dirección para la legislatura, por ejemplo, documentos relacionados con informes obligatorios sobre el desempeño.

La información obtenida de otras fuentes puede ser relevante para la identificación y valoración de los riesgos de incorrección material al proporcionar información y conocimientos sobre:

Otras fuentes relevantes de información incluyen:

La experiencia previa del auditor con la entidad y con los procedimientos de auditoría realizados en auditorías anteriores pueden proporcionar al auditor información que sea relevante para su determinación de la naturaleza y extensión de los procedimientos de valoración de riesgos y la identificación y valoración de riesgos de incorrección material.

La experiencia previa del auditor con la entidad y los procedimientos de auditoría aplicados en auditorías anteriores pueden proporcionar al auditor información sobre cuestiones como:

Se requiere que el auditor determine si la información obtenida de su experiencia previa con la entidad y de los procedimientos de auditoría realizados en auditorías anteriores sigue siendo relevante y fiable, si el auditor tiene la intención de usar esa información para fines de la auditoría actual. Si la naturaleza o circunstancias de la entidad han cambiado, o si se ha obtenido información nueva, la información de periodos anteriores puede ya no ser relevante o fiable para la auditoría actual. Con el fin de determinar si se han producido cambios que puedan afectar a la relevancia o fiabilidad de dicha información, el auditor puede realizar indagaciones y aplicar otros procedimientos de auditoría adecuados, tales como la comprobación paso a paso de los sistemas relevantes. Si la información no es fiable, el auditor considerará realizar procedimientos de auditoría adicionales que son adecuados en la circunstancias.

Las discusiones entre el equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrecciones materiales. La NIA 240 requiere que la discusión del equipo del encargo ponga un énfasis especial en cómo los estados financieros de la entidad pueden estar expuestos a incorrección material debida a fraude y las partidas a las que puede afectar, incluyendo la forma en que podría producirse el fraude.26

El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría y una discusión robusta y abierta del equipo del encargo, incluyendo auditorías recurrentes, puede conducir a una mejor identificación y valoración de los riesgos de incorrección material. Otro resultado de la discusión puede ser que el auditor identifique áreas específicas de la auditoría para las cuales el ejercicio del escepticismo profesional puede ser particularmente importante y puede llevar a la participación de miembros más experimentados del equipo del encargo que estén adecuadamente capacitados para participar en la realización de los procedimientos de auditoría relacionados con esas áreas.

Cuando el encargo lo lleva a cabo una sola persona, como un profesional ejerciente individual (es decir, cuando no sería posible una discusión del equipo del encargo), la consideración de las cuestiones a las que se hace referencia en los apartados A42 y A46, no obstante, puede ayudar al auditor a identificar dónde pueden existir riesgos de incorrección material.

Cuando un trabajo lo lleva a cabo un equipo del encargo grande, como para una auditoría de estados financieros de un grupo, no siempre es necesario o práctico que la discusión incluya a todos los miembros en una sola discusión (por ejemplo, en una auditoría con múltiples ubicaciones), ni es necesario que todos los miembros del equipo del encargo estén informados sobre todas las decisiones tomadas en la discusión. El socio del encargo puede discutir las cuestiones con miembros clave del equipo del encargo, incluidos, si se considera adecuado, aquéllos con habilidades o conocimientos específicos y los responsables de las auditorías de los componentes, delegando la discusión con otros miembros, tomando en consideración la extensión de la comunicación a la totalidad del equipo del encargo que se considera necesaria. Puede ser útil un plan de comunicaciones acordado por el socio del encargo.

Como parte de la discusión entre el equipo del encargo, la consideración de los requerimientos sobre la información a revelar del marco de información financiera aplicable ayuda a identificar en las primeras etapas de la auditoría dónde puede haber riesgos de incorrección material en relación con la información a revelar, incluso en circunstancias en las que el marco de información financiera aplicable solo requiere información a revelar simplificada. Las cuestiones que puede discutir el equipo del encargo incluyen:

Como parte de la discusión entre el equipo del encargo, por parte de los auditores de las entidades del sector público, también se puede considerar cualquier objetivo adicional más amplio y los riesgos relacionados que surjan del mandato de auditoría o las obligaciones de las entidades del sector público.

Obtener un conocimiento de la entidad y su entorno, el marco de información financiera aplicable y el sistema de control interno de la entidad es un proceso dinámico y repetitivo de recopilación, actualización y análisis de información y continúa durante toda la auditoría. Por lo tanto, las expectativas del auditor pueden cambiar a medida que se obtiene nueva información.

El conocimiento del auditor sobre la entidad y su entorno y el marco de información financiera aplicable también puede ayudar al auditor a desarrollar expectativas iniciales sobre las clases de transacciones, saldos contables e información a revelar que pueden ser clases significativas de transacciones, saldos contables e información a revelar. Estas clases significativas de transacciones, saldos contables e información a revelar esperadas forman la base del alcance del conocimiento del auditor del sistema de información de la entidad.

El conocimiento del auditor de la entidad y de su entorno y del marco de información financiera aplicable, ayuda al auditor a conocer los hechos y condiciones que son relevantes para la entidad y para identificar cómo los factores de riesgo inherente afectan la susceptibilidad de las afirmaciones a incorrecciones en la preparación de los estados financieros, de conformidad con el marco de información financiera aplicable y el grado en que lo hacen. Esa información establece un marco de referencia dentro del cual el auditor identifica y valora los riesgos de incorrección material. Este marco de referencia también ayuda al auditor en la planificación de la auditoría y a ejercer el juicio profesional y el escepticismo profesional a lo largo de la auditoría, por ejemplo, cuando:

El conocimiento del auditor de la entidad y su entorno y del marco de información financiera aplicable, también informa cómo el auditor planifica y realiza los procedimientos de auditoría posteriores, por ejemplo, cuando:

La naturaleza y extensión del conocimiento requerido es una cuestión del juicio profesional del auditor y varía de una entidad a otra con fundamento en la naturaleza y circunstancias de la entidad, incluida:

Los procedimientos de valoración de riesgos del auditor para obtener el conocimiento requerido pueden ser menos extensos en auditorías de entidades menos complejas y más extensos para entidades que son más complejas. El grado de conocimiento de la entidad que se requiere al auditor, se espera que sea menor al poseído por la dirección para dirigir la entidad.

Algunos marcos de información financiera permiten que las entidades de menor dimensión proporcionen información a revelar más simple y menos detallada en los estados financieros. Sin embargo, esto no exime al auditor de la responsabilidad de obtener un conocimiento de la entidad y su entorno y del marco de información financiera aplicable según se aplica a la entidad.

El uso de las TI por parte de la entidad y la naturaleza y extensión de los cambios en el entorno de las TI también pueden afectar las habilidades especializadas que se necesitan para ayudar a obtener el conocimiento requerido.

El conocimiento de la estructura organizacional y la propiedad de la entidad puede permitir al auditor conocer cuestiones tales como: Ejemplo: La entidad puede ser una sola entidad o la estructura de la entidad puede incluir subsidiarias, divisiones u otros componentes en múltiples ubicaciones. Además, la estructura legal puede ser diferente de la estructura operativa. Las estructuras complejas a menudo implican factores que pueden dar lugar a un incremento a la susceptibilidad a riesgos de incorrección material. Esas cuestiones pueden incluir si el crédito mercantil, los negocios conjuntos, las inversiones o las entidades con fines específicos se contabilizan de manera adecuada y si se ha proporcionado la información a revelar adecuada de dichas cuestiones en los estados financieros. Ejemplo: En entidades menos complejas, los propietarios de la entidad pueden estar involucrados en la dirección de la entidad, por lo tanto, hay poca o ninguna distinción. En contraste, como en algunas entidades cotizadas, puede haber una clara distinción entre la dirección, los propietarios y los responsables del gobierno de la entidad.32

El auditor puede utilizar herramientas y técnicas automatizadas para conocer los flujos de las transacciones y procesos como parte de los procedimientos del auditor para conocer los sistemas de información. Un resultado de estos procedimientos puede ser que el auditor obtenga información sobre la estructura organizacional de la entidad o aquellos con quienes realiza negocios (por ejemplo, proveedores, clientes, partes vinculadas).

La propiedad de una entidad del sector público puede no tener la misma relevancia que en el sector privado porque las decisiones relacionadas con la entidad pueden tomarse fuera de la entidad como resultado de procesos políticos. Por lo tanto, es posible que la dirección no tenga control sobre ciertas decisiones que se toman. Las cuestiones que pueden ser relevantes incluyen el conocimiento de la capacidad de la entidad para tomar decisiones unilaterales y la capacidad de otras entidades del sector público para controlar o influir en el mandato y la gestión estratégica de la entidad. Ejemplo: Una entidad del sector público puede estar sujeta a leyes u otras directivas de las autoridades que requieren que obtenga la aprobación de partes externas a la entidad de su estrategia y objetivos antes de implementarlos. Por lo tanto, las cuestiones relacionadas con el conocimiento de la estructura legal de la entidad pueden incluir leyes y regulaciones aplicables, y la clasificación de la entidad (es decir, si la entidad es un ministerio, departamento, agencia u otro tipo de entidad).

Conocer los procesos de gobierno de una entidad ayuda al auditor a conocer la capacidad de la entidad de proporcionar una supervisión adecuada de sus sistemas de control interno. Sin embargo, este conocimiento también puede proporcionar evidencia de deficiencias, que pueden indicar un aumento en la susceptibilidad de los estados financieros de la entidad a riesgos de incorrección material.

Las cuestiones que pueden ser relevantes para que el auditor las considere al obtener un conocimiento del proceso de gobierno de la entidad incluyen:

No todos los aspectos del modelo de negocio son relevantes para el conocimiento del auditor. Los riesgos de negocio son más amplios que el riesgo de incorrección material en los estados financieros, aunque los riesgos de negocio incluyen estos últimos. El auditor no tiene la responsabilidad de conocer o identificar todos los riesgos de negocio, ya que no todos ellos originan riesgos de incorrección material.

Los riesgos de negocio que incrementan la susceptibilidad a los riesgos de incorrección material pueden surgir de:

Como ejemplos de cuestiones que el auditor puede tener en cuenta para obtener conocimiento del modelo de negocio de la entidad, los objetivos, las estrategias y los correspondientes riesgos de negocio de la entidad que puedan dar lugar a un riesgo de incorrección material en los estados financieros cabe citar los siguientes:

Generalmente, la dirección identifica los riesgos de negocio y desarrolla enfoques para darles respuesta. Dicho proceso de valoración del riesgo es parte del sistema de control interno de la entidad y se trata en el apartado 22 y en los apartados A109-A113

Las entidades que operan en el sector público pueden crear y entregar valor de diferentes maneras a las que crean riqueza para los propietarios, pero aún tendrán un “modelo de negocio” con un objetivo específico. Las cuestiones de las que los auditores del sector público pueden obtener un conocimiento que son relevantes para el modelo de negocio de la entidad, incluyen:

En el caso de auditorías de entidades del sector público, los “objetivos de la dirección” pueden estar influenciados por requerimientos que demuestren la rendición de cuentas públicas e incluir objetivos que tengan su origen en las disposiciones legales, reglamentarias o de otro tipo.

Los factores sectoriales relevantes incluyen las condiciones relativas al sector, tales como el entorno competitivo, las relaciones con proveedores y clientes y los avances tecnológicos. Las cuestiones que el auditor puede tener en cuenta incluyen:

El sector en el que la entidad desarrolla su actividad puede dar lugar a riesgos específicos de incorrección material debidos a la naturaleza de los negocios o al grado de regulación. Ejemplo: En el sector de la construcción, los contratos a largo plazo pueden implicar estimaciones significativas de ingresos y gastos que den lugar a riesgos de incorrección material. En estos casos, es importante que el equipo del encargo incluya miembros con la competencia y capacidades adecuadas.33

Los factores normativos relevantes incluyen el entorno normativo. El entorno normativo comprende, entre otros, el marco de información financiera aplicable y el entorno legal y político y cualquier cambio a los mismos. Las cuestiones que el auditor puede tener en cuenta incluyen:

La NIA 250 (Revisada) incluye algunos requerimientos específicos en relación con el marco normativo aplicable a la entidad y al sector en el que opera.34

Para las auditorías de entidades del sector público, puede haber leyes o regulaciones particulares que afecten las operaciones de la entidad. Dichos elementos pueden ser una consideración esencial al obtener un conocimiento sobre la entidad y su entorno.

Otros factores externos que afectan a la entidad y que el auditor puede considerar, incluyen las condiciones económicas generales, los tipos de interés y la disponibilidad de financiación, así como la inflación o la revaluación de la moneda.

El conocimiento de las mediciones de la entidad ayuda al auditor a considerar si esas mediciones, ya sean utilizadas externa o internamente, crean presiones sobre la entidad para lograr los objetivos de resultados. Estas presiones pueden motivar a la dirección a tomar acciones que aumenten la susceptibilidad a incorrecciones debido al sesgo de la dirección o al fraude (por ejemplo, para mejorar el resultado del negocio o intencionalmente incluir incorrecciones en los estados financieros) (véase la NIA 240 para requerimientos y orientación en relación con los riesgos de fraude).

Las mediciones también pueden indicar al auditor la probabilidad de riesgos de incorrección material en la información relacionada con los estados financieros. Por ejemplo, las mediciones de resultados pueden indicar que la entidad experimenta un rápido crecimiento o una rentabilidad inusuales en comparación con otras entidades del mismo sector.

La dirección y otras personas generalmente medirán y revisarán aquello que consideren importante. Las indagaciones a la dirección pueden revelar que ésta confía en algunos indicadores clave, disponibles públicamente o no, para evaluar el resultado financiero y adoptar medidas adecuadas. En esos casos, el auditor puede identificar medidas de resultados relevantes, ya sean internas o externas, al considerar la información que la entidad usa para gestionar su negocio. Si dicha indagación indica la ausencia de medición o revisión de resultados, puede haber un mayor riesgo de que las incorrecciones no sean detectadas y corregidas.

Los indicadores clave utilizados para evaluar el resultado financiero incluyen:

Los procedimientos llevados a cabo para conocer las medidas de la entidad pueden variar dependiendo del tamaño o complejidad de la entidad, así como de la participación de los propietarios o de los responsables del gobierno de la entidad en la dirección de la entidad. Ejemplos:

Terceros externos también pueden revisar y analizar el resultado financiero de la entidad, en particular para entidades donde la información financiera está disponible públicamente. El auditor también puede considerar información disponible públicamente que le puede ayudar a conocer mejor el negocio o identificar información contradictoria, tal como información de: A menudo, dicha información financiera puede obtenerse de la entidad que se audita.

La medición y revisión del resultado financiero no es lo mismo que el seguimiento del sistema de control interno (que se trata como componente del control interno en los apartados A114-A122), aunque sus propósitos se pueden empalmar: Sin embargo, en algunos casos, los indicadores de resultados pueden proporcionar también información que permite a la dirección identificar deficiencias en el control.

Además de considerar las medidas relevantes utilizadas por una entidad del sector público para evaluar el resultado financiero de la entidad, los auditores de estas entidades también pueden considerar información no financiera tal como el logro de resultados de beneficios públicos (por ejemplo, el número de personas asistidas en un programa).

Las cuestiones que considerará el auditor al obtener un conocimiento del marco de información financiera aplicable de la entidad, y cómo se aplica en el contexto de su naturaleza y circunstancias y de su entorno incluyen:

Obtener un conocimiento de la entidad y su entorno puede ayudar al auditor a considerar dónde pueden esperarse cambios en la información financiera de la entidad (por ejemplo, de periodos anteriores). Ejemplo: Si la entidad ha tenido una combinación de negocios significativa durante el periodo, el auditor probablemente esperaría cambios en las clases de transacciones, saldos contables e información a revelar asociadas con esa combinación de negocios. Alternativamente, si no hubo cambios significativos en el marco de información financiera aplicable durante el periodo, el conocimiento del auditor puede ayudar a confirmar que el conocimiento obtenido en el periodo anterior sigue siendo aplicable.

El marco de información financiera aplicable en una entidad del sector público está determinado por los marcos legislativos y regulatorios relevantes para cada jurisdicción o dentro de cada área geográfica. Las cuestiones que pueden ser consideradas en la aplicación de la entidad de los requerimientos de información financiera aplicables, y cómo se aplican en el contexto de la naturaleza y circunstancias de la entidad y su entorno, incluyen si la entidad aplica una base contable de acumulación total o una base contable de efectivo de conformidad con las Normas Internacionales de Contabilidad del Sector Público, o un híbrido.

El conocimiento de la entidad y su entorno y el marco de información financiera aplicable, ayuda al auditor a identificar hechos o condiciones, cuyas características pueden afectar la susceptibilidad a incorrecciones en las afirmaciones sobre clases de transacciones, saldos contables o revelaciones. Estas características son factores de riesgo inherente. Los factores de riesgo inherente pueden afectar susceptibilidad a incorrecciones en las afirmaciones, al influir en la probabilidad de que ocurra una incorrección o en la magnitud de la incorrección en caso de que ocurriera. El conocimiento de cómo los factores de riesgo inherentes afectan la susceptibilidad de las afirmaciones a incorrecciones, puede ayudar al auditor con un conocimiento preliminar de la probabilidad o magnitud de las incorrecciones, lo que ayuda al auditor a identificar los riesgos de incorrección material en las afirmaciones de conformidad con el apartado 28(b) . El conocimiento del grado en que los factores de riesgo inherentes afectan la susceptibilidad de las afirmaciones a incorrecciones también ayuda al auditor a evaluar la probabilidad y la magnitud de una posible incorrección al valorar el riesgo inherente de conformidad con el apartado 31(a). Por consiguiente, conocer los factores de riesgo inherentes también puede ayudar al auditor a diseñar y llevar a cabo los procedimientos de auditoría posteriores de conformidad con la NIA 330.

La identificación del auditor de los riesgos de incorrección material en las afirmaciones y la valoración del riesgo inherente también pueden estar influenciadas por la evidencia de auditoría obtenida por el auditor al realizar otros procedimientos de valoración de riesgos, procedimientos de auditoría posteriores o al cumplir con otros requerimientos de las NIA (véanse los apartados A95, A103, A111, A121, A124 y A151).

El grado de susceptibilidad a la incorrección de una clase de transacciones, saldo contable o información a revelar que surge de la complejidad o subjetividad, a menudo está estrechamente relacionado con el grado en que están sujetas a cambios o a incertidumbre. Ejemplo: Si la entidad tiene una estimación contable fundamentada en hipótesis, cuya selección está sujeta a juicios importantes, es probable que la medición de la estimación contable se vea afectada, tanto por la subjetividad como por la incertidumbre.

Cuanto mayor sea el grado en que una clase de transacciones, saldo contable o información a revelar sea susceptible a incorrección debido a la complejidad o subjetividad, mayor será la necesidad de que el auditor aplique el escepticismo profesional. Además, cuando una clase de transacciones, saldo contable o información a revelar es susceptible a incorrección debido a la complejidad, subjetividad, cambio o incertidumbre, estos factores de riesgo inherentes pueden crear una oportunidad para el sesgo de la dirección ya sea intencional o no intencional, y afectar la susceptibilidad a incorrección debido a sesgo de la administración. La identificación por el auditor de los riesgos de incorrección material y la valoración del riesgo inherente en las afirmaciones también se ven afectadas por las interrelaciones entre los factores de riesgo inherentes.

Los hechos o condiciones que pueden afectar la susceptibilidad a incorrección debido al sesgo de la dirección también pueden afectar la susceptibilidad a incorrección debido a otros factores de riesgo de fraude. Por consiguiente, esta puede ser información relevante para su uso de conformidad con el apartado 24 de la NIA 240, que requiere que el auditor evalúe si la información obtenida de los otros procedimientos de evaluación del riesgo y actividades relacionadas indica que uno o más factores de riesgo de fraude están presentes.

El conocimiento que tiene el auditor del sistema de control interno de la entidad se obtiene a través de los procedimientos de valoración de riesgo realizados para comprender y evaluar cada uno de los componentes del sistema de control interno de conformidad con los apartados 21 a 27.

Los componentes del sistema de control interno de la entidad para la finalidad de esta NIA no necesariamente reflejan cómo la entidad diseña, implementa y mantiene su sistema de control interno o cómo puede clasificar cualquier componente en particular. Las entidades utilizan diferentes tecnologías o marcos de referencia para describir varios aspectos del sistema de control interno. Para la finalidad de una auditoría, los auditores también pueden usar diferentes terminologías o marcos de referencia siempre que se aborden todos los componentes descritos en esta NIA.

La manera en que se diseña, implementa y mantiene el sistema de control interno de la entidad varía según la dimensión y la complejidad de la entidad. Por ejemplo, las entidades menos complejas pueden utilizar controles menos estructurados o más simples (es decir, políticas y procedimientos) para lograr sus objetivos.

Los auditores de entidades del sector público a menudo tienen responsabilidades adicionales con respecto al control interno, por ejemplo, informar sobre el cumplimiento de un determinado código de conducta o informar sobre los gastos presupuestarios ejecutados. Los auditores de entidades del sector público pueden igualmente tener responsabilidades de informar sobre el cumplimiento de las disposiciones legales, reglamentarias o de otro tipo. En consecuencia, sus consideraciones sobre el sistema de control interno, pueden ser más amplias y detalladas.

El objetivo general y el alcance de una auditoría no difieren si una entidad opera en un entorno principalmente manual, un entorno completamente automatizado o un entorno que involucra alguna combinación de elementos manuales y automatizados (es decir, controles manuales y automatizados y otros recursos utilizados en el sistema de control interno de la entidad).

Al evaluar la eficacia del diseño de los controles y si se han implementado (véanse los apartados A175 a A181), el conocimiento del auditor de cada uno de los componentes del sistema de control interno de la entidad proporciona un conocimiento preliminar de cómo la entidad identifica los riesgos de negocio y cómo responde a ellos. También puede influir en la identificación y valoración del auditor de los riesgos de incorrección material de diferentes formas (véase el apartado A86). Esto ayuda al auditor a diseñar y realizar los procedimientos de auditoría posteriores, incluido cualquier plan para probar la eficacia operativa de los controles. Por ejemplo:

Los controles en el entorno de control, el proceso de valoración de riesgos de la entidad y el proceso de la entidad para dar seguimiento del sistema de control interno son principalmente controles indirectos (es decir, controles que no son lo suficientemente precisos para prevenir, detectar o corregir incorrecciones en las afirmaciones, pero que respaldan otros controles y, por lo tanto, puede tener un efecto indirecto sobre la probabilidad de que se detecte o prevenga una incorrección en el momento oportuno). Sin embargo, algunos controles dentro de estos componentes también pueden ser controles directos.

El entorno de control proporciona un sustento general para el funcionamiento de los demás componentes del sistema de control interno. El entorno de control no previene, detecta ni corrige directamente las incorrecciones. Sin embargo, puede influir en la eficacia de los controles en los otros componentes del sistema de control interno. De manera similar, el proceso de valoración de riesgos de la entidad y su proceso para dar seguimiento al sistema de control interno están diseñados para operar de una manera que también respalde todo el sistema de control interno.

Debido a que estos componentes son fundamentales para el sistema de control interno de la entidad, cualquier deficiencia en su operación podría tener efectos generalizados en la preparación de los estados financieros. Por lo tanto, el conocimiento y las evaluaciones del auditor de estos componentes afectan la identificación y valoración del auditor de los riesgos de incorrección material en los estados financieros, y también pueden afectar la identificación y valoración de los riesgos de incorrección material en las afirmaciones. Los riesgos de incorrección material en los estados financieros afectan el diseño del auditor de las respuestas generales, incluyendo, como se explica en la NIA 330, una influencia en la naturaleza, oportunidad y alcance de los procedimientos posteriores del auditor.35

Es probable que la naturaleza del entorno de control en una entidad menos compleja sea diferente del entorno de control en una entidad más compleja. Por ejemplo, puede ocurrir que entre los responsables del gobierno de una entidad menos compleja no tenga un miembro independiente o externo, y la función de gobierno pueda ser desempeñada directamente por el propietario-gerente cuando no existen otros propietarios. Por consiguiente, algunas consideraciones sobre el entorno de control de la entidad pueden ser menos relevantes o pueden no ser aplicables.

Además, la evidencia de auditoría sobre los elementos del entorno de control en entidades menos complejas puede no estar disponible en forma documental, en particular cuando la comunicación entre la dirección y otro personal es informal, pero la evidencia aún puede ser relevante y fiable en las circunstancias. Ejemplos:

La evidencia de auditoría para el conocimiento del auditor del entorno de control puede obtenerse a través de una combinación de indagaciones y otros procedimientos de valoración de riesgos (es decir, corroborar indagaciones mediante la observación o inspección de documentos).

Al considerar hasta qué punto la dirección muestra un compromiso con la integridad y los valores éticos, el auditor puede obtener un conocimiento a través de indagaciones ante la dirección y ante los empleados, y al considerar información de fuentes externas, acerca de:

La evaluación del auditor de cómo la entidad demuestra un comportamiento congruente con su compromiso con la integridad y los valores éticos; si el entorno de control proporciona una base adecuada para los otros componentes del sistema de control interno de la entidad; y si las deficiencias de control identificadas desvirtúan los otros componentes del sistema de control interno, ayuda al auditor a identificar cuestiones potenciales en los otros componentes del sistema de control interno. Esto se debe a que el entorno de control es la base para los demás componentes del sistema de control interno de la entidad. Esta evaluación también puede ayudar al auditor a conocer los riesgos que enfrenta la entidad y, por lo tanto, a identificar y valorar los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).

La evaluación del auditor del entorno de control se fundamenta en el conocimiento obtenido de conformidad con el apartado 21(a).

Algunas entidades pueden estar dominadas por una sola persona que puede ejercer una gran discrecionalidad. Las acciones y actitudes de ese individuo pueden tener un efecto generalizado sobre la cultura de la entidad, que a su vez puede tener un efecto generalizado en el entorno de control. Ese efecto puede ser positivo o negativo. Ejemplo: La participación directa de un solo individuo puede ser clave para permitir que la entidad cumpla con su objetivo de crecimiento y otros objetivos y también puede contribuir significativamente a un eficaz sistema de control interno. Por otro lado, esa concentración de conocimiento y autoridad también puede conducir a una mayor susceptibilidad a incorrecciones a través de la elusión de los controles por parte de la dirección.

El auditor considerará cómo los diferentes elementos del entorno de control pueden verse influenciados por la filosofía y el estilo operativo de la alta dirección, tomando en cuenta la participación de miembros independientes de los responsables del gobierno de la entidad.

Aunque el entorno de control puede proporcionar un fundamento adecuado para el sistema de control interno y puede ayudar a reducir el riesgo de fraude, un entorno de control adecuado no es necesariamente un elemento disuasorio eficaz del fraude. Ejemplo: Las políticas y procedimientos de recursos humanos dirigidos a la contratación de personal competente en finanzas, contabilidad y TI, pueden mitigar el riesgo de errores en el procesamiento y registro de la información financiera. Sin embargo, esas políticas y procedimientos pueden no mitigar la elusión de los controles por parte de la alta dirección (por ejemplo, para sobrestimar los ingresos).

La evaluación del auditor sobre el entorno de control en lo que se refiere al uso de las TI de la entidad puede incluir cuestiones tales como:

Como se explica en el apartado A62, no todos los riesgos de negocio originan riesgos de incorrección material. Al conocer cómo la dirección y los responsables del gobierno de la entidad han identificado los riesgos de negocio relevantes para la preparación de los estados financieros, y decidido sobre las acciones para abordar esos riesgos, las cuestiones que el auditor puede considerar incluyen cómo la dirección o, en su caso, los responsables del gobierno de la entidad ha:

El auditor puede considerar las implicaciones de esos riesgos de negocio para la preparación de los estados financieros de la entidad y otros aspectos de su sistema de control interno.

La evaluación del auditor del proceso de valoración de riesgos de la entidad puede ayudar al auditor a conocer dónde ha identificado la entidad riesgos que pueden ocurrir y cómo ha respondido a esos riesgos. La valoración del auditor de cómo la entidad

La evaluación del auditor de la idoneidad del proceso de valoración del riesgo de la entidad se basa en el entendimiento obtenido de acuerdo con el párrafo 22(a).

Si el proceso de valoración de riesgos de la entidad es adecuado para las circunstancias de la entidad considerando la naturaleza y complejidad de la entidad es una cuestión del juicio profesional del auditor. Ejemplo: En algunas entidades menos complejas, y en particular en las entidades gestionadas por el propietario, se puede realizar una valoración de riesgos adecuada mediante la participación directa de la dirección o del propietario-gerente (por ejemplo, el gerente o el propietario-gerente pueden dedicar tiempo de manera rutinaria a dar seguimiento a las actividades de los competidores y otros desarrollos en el mercado para identificar riesgos de negocio emergentes). La evidencia de que esta valoración del riesgo ocurre en este tipo de entidades, a menudo no está documentada formalmente, pero puede ser evidente a partir de las discusiones que el auditor tiene con la dirección acerca de que de hecho está realizando procedimientos de valoración del riesgo.

En entidades menos complejas, y en particular en las entidades gestionadas por el propietario-gerente, el conocimiento del auditor sobre el proceso de la entidad para dar seguimiento al sistema de control interno a menudo se centra en cómo la dirección o el propietario-gerente están directamente involucrados en las operaciones, ya que puede no haber otras actividades de seguimiento. Ejemplo: La dirección puede recibir quejas de los clientes sobre inexactitudes en su estado de cuenta mensual que alerta al propietario-gerente sobre cuestiones con el momento en que los pagos de los clientes se reconocen en los registros contables.

Para las entidades en que no existe un proceso formal para dar seguimiento al sistema de control interno, comprender el proceso para dar seguimiento al mismo puede incluir conocer las revisiones periódicas de la dirección sobre la información contable que está diseñada para contribuir a cómo la entidad previene o detecta errores.

Cuestiones que pueden ser relevantes para que el auditor las considere al comprender cómo la entidad da seguimiento a su sistema de control interno incluyen:

El auditor también puede considerar cómo el proceso de la entidad para dar seguimiento al sistema de control interno aborda el seguimiento de los controles de procesamiento de información que involucran el uso de las TI. Esto puede incluir, por ejemplo:

El Anexo 4 establece consideraciones adicionales para conocer la función de auditoría interna de la entidad. Las indagaciones del auditor ante las personas adecuadas dentro de la función de auditoría interna le ayudan a obtener conocimiento sobre la naturaleza de las responsabilidades de la función de auditoría interna. Si el auditor determina que las responsabilidades de la función de auditoría interna están relacionadas con la información financiera de la entidad, puede obtener un mayor conocimiento de las actividades realizadas, o que serán realizadas, por la función de auditoría interna mediante la revisión, en su caso, del plan de auditoría de la función de auditoría interna para el periodo, así como la discusión de dicho plan con las personas adecuadas dentro de la función. Este conocimiento, junto con la información obtenida de las indagaciones del auditor pueden también proporcionar información directamente relevante para la identificación y valoración de los riesgos de incorrección material por parte del auditor. Si sobre la base de su conocimiento preliminar de la función de auditoría interna, el auditor tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar, o bien para reducir su extensión es de aplicación la NIA 610 (Revisada 2013).37

Las actividades de seguimiento por la dirección pueden utilizar información procedente de comunicaciones de terceros externos tales como quejas de clientes o comentarios de las autoridades reguladoras, que pueden ser indicativos de problemas o resaltar áreas en las que se necesitan mejoras.

El conocimiento del auditor de las fuentes de información utilizadas por la entidad en el seguimiento de su sistema de control interno, incluido si la información utilizada es relevante y fiable, ayuda al auditor a evaluar si el proceso de la entidad para el seguimiento de su sistema de control interno es adecuado. Si la dirección asume que la información utilizada para el seguimiento es relevante y fiable sin disponer de un fundamento para dicha hipótesis, los errores que pueden existir en la información podrían llevar a la dirección a conclusiones erróneas derivadas de sus actividades de seguimiento.

La evaluación del auditor sobre cómo la entidad realiza evaluaciones continuas y separadas para dar seguimiento a la eficacia de los controles, ayuda al auditor a conocer si los otros componentes del sistema de control interno de la entidad están presentes y funcionando y, por lo tanto, ayuda a conocer los otros componentes del sistema de control interno de la entidad. Esta evaluación también puede ayudar al auditor a identificar y valorar los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).

La evaluación del auditor de la idoneidad del proceso de la entidad para dar seguimiento al sistema de control interno se fundamente en el conocimiento del auditor del proceso de la entidad para dar seguimiento al sistema de control interno.

Los controles en el sistema de información y comunicación y los componentes de las actividades de control son principalmente controles directos (es decir, controles que son lo suficientemente precisos para prevenir, detectar o corregir incorrecciones en las afirmaciones).

Se requiere que el auditor conozca el sistema de información y comunicación de la entidad porque conocer las políticas de la entidad que definen los flujos de transacciones y otros aspectos de las actividades de procesamiento de información de la entidad relevantes para la preparación de los estados financieros, y el evaluar si el componente apoya adecuadamente la preparación de los estados financieros de la entidad, respalda la identificación y valoración del auditor de los riesgos de incorrección material en las afirmaciones. Este conocimiento y evaluación también puede resultar en la identificación de riesgos de incorrección material en los estados financieros cuando los resultados de los procedimientos del auditor son incongruentes con las expectativas sobre el sistema de control interno de la entidad que pueden haberse establecido con fundamento en la información obtenida durante el proceso de aceptación o continuidad del encargo (véase el apartado A86).

Se requiere que el auditor identifique controles específicos en el componente de las actividades de control y evalúe el diseño y determine si los controles han sido implementados, ya que ayuda al conocimiento del auditor sobre el enfoque de la dirección para abordar ciertos riesgos y por consiguiente proporciona una base para el diseño y resultado de los procedimientos de auditoría posteriores que respondan a estos riesgos como lo requiere la NIA 330. Cuanto más alto en el espectro de riesgo inherente se evalúe un riesgo, más persuasiva debe ser la evidencia de auditoría. Aun cuando el auditor no planea probar la eficacia operativa de los controles identificados, el conocimiento del auditor aún puede afectar el diseño de la naturaleza, oportunidad y extensión de los procedimientos sustantivos de auditoría que responden a los riesgos de incorrección material relacionados.

Como se explica en el apartado A49, el conocimiento del auditor sobre la entidad y su entorno y el marco de información financiera aplicable, puede ayudar al auditor a desarrollar expectativas iniciales sobre las clases de transacciones, saldos contables e información a revelar que pueden ser clases significativas de transacciones, saldos contables e información a revelar. Al obtener un conocimiento del componente del sistema de información y comunicación de conformidad con el apartado 25(a), el auditor puede utilizar estas expectativas iniciales para fines de determinar el grado de conocimiento de las actividades de procesamiento de información de la entidad que se van a obtener.

El conocimiento del auditor sobre el sistema de información incluye el conocimiento de las políticas que definen los flujos de información relacionados con las clases significativas de transacciones, saldos contables e información a revelar de la entidad y otros aspectos relacionados de las actividades de procesamiento de información de la entidad. Esta información y la obtenida de la evaluación del auditor del sistema de información, puede confirmar o influir en las expectativas del auditor sobre las clases significativas de transacciones, saldos contables e información a revelar identificadas inicialmente (véase el apartado A126).

Al obtener un entendimiento de cómo la información relacionada con clases significativas de transacciones, saldos de cuentas y revelaciones hacia, y fuera a través del sistema de información de la entidad, el auditor también puede identificar controles en el componente de actividades de control que se requiere identificar de conformidad con el apartado 26(a). La identificación y evaluación del auditor de los controles en el componente de actividades de control puede enfocarse primero en los controles sobre los asientos de diario y los controles con los que el auditor planea probar la eficacia operativa en el diseño de la naturaleza, oportunidad y extensión de los procedimientos sustantivos.

La valoración del auditor del riesgo inherente también puede influir en la identificación de controles en el componente de actividades de control. Por ejemplo, la identificación del auditor de los controles relacionados con los riesgos significativos sólo puede ser identificable cuando el auditor ha valorado el riesgo inherente en las afirmaciones de conformidad con el apartado 31. Además, los controles que abordan riesgos para los cuales el auditor ha determinado que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada (de conformidad con el apartado 33) también pueden ser identificables solo una vez que se han realizado las valoraciones de riesgo inherente del auditor.

La identificación y valoración del auditor de los riesgos de incorrección material en las afirmaciones está influenciada por:

Es probable que el sistema de información, y los procesos de negocio relacionados, en entidades menos complejas sean menos sofisticados que en entidades más grandes y es probable que involucren un entorno de TI menos complejo; sin embargo, la función del sistema de información es igualmente importante. Las entidades menos complejas que cuenten con una participación directa de la dirección puede que no necesiten descripciones detalladas de procedimientos contables, registros contables sofisticados o políticas escritas. Conocer los aspectos relevantes del sistema de información de la entidad puede, por lo tanto, requerir menos esfuerzo en una auditoría de una entidad menos compleja y puede involucrar una mayor cantidad de indagación que la de observación o inspección de la documentación. Sin embargo, la necesidad de obtener un conocimiento sigue siendo importante para proporcionar un fundamento para el diseño de procedimientos de auditoría posteriores de conformidad con la NIA 330 y puede ayudar más al auditor a identificar o valorar los riesgos de incorrección material (véase el apartado A86).

Se incluyen dentro del sistema de control interno de la entidad los aspectos que se relacionan con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero también pueden incluir aspectos que se relacionan con sus operaciones u objetivos de cumplimiento, cuando dichos aspectos son relevantes para la información financiera. Conocer cómo la entidad inicia las transacciones y captura información como parte del conocimiento del auditor del sistema de información, puede incluir información sobre los sistemas de la entidad (sus políticas) diseñados para abordar los objetivos de cumplimiento y de operación, ya que dicha información es relevante para la preparación de los estados financieros. Además, algunas entidades pueden tener sistemas de información que están altamente integrados, de modo que los controles pueden diseñarse de manera que logren simultáneamente la información financiera, los objetivos operativos y de cumplimiento y combinaciones de los mismos.

Conocer el sistema de información de la entidad también incluye conocer los recursos que se utilizarán en las actividades de procesamiento de la información de la entidad. La información sobre los recursos humanos involucrados, que pueden ser relevantes para conocer los riesgos a la integridad del sistema de información incluye:

Las cuestiones que el auditor puede considerar al conocer las políticas que definen los flujos de información relacionados con las clases significativas de transacciones, saldos contables e información a revelar de la entidad en el componente del sistema de información y comunicación incluyen la naturaleza de:

La obtención de conocimiento de los procesos de negocio de la entidad, que incluyen el modo en que se originan las transacciones, facilita al auditor la obtención de conocimiento del sistema de información de un modo adecuado a las circunstancias de la entidad.

El conocimiento del auditor del sistema de información puede obtenerse de diversas formas y puede incluir:

El auditor también puede usar técnicas automatizadas para obtener acceso directo a, o una descarga digital de, las bases de datos en el sistema de información de la entidad que almacenan los registros contables de transacciones. Al aplicar herramientas o técnicas automatizadas a esta información, el auditor puede confirmar el conocimiento obtenido acerca de cómo fluyen las transacciones a través del sistema de información rastreando los asientos de diario u otros registros digitales relacionados con una transacción en particular, o una población completa de transacciones, desde el inicio en los registros contables hasta su registro en el libro mayor. El análisis de conjuntos completos o grandes de transacciones también puede resultar en la identificación de variaciones de los procedimientos de procesamiento normales o esperados para estas transacciones, lo que puede resultar en la identificación de riesgos de incorrección material.

Los estados financieros pueden contener información que se obtiene al margen del mayor y de los auxiliares. Ejemplos de esa información que el auditor puede considerar incluyen:

Ciertos montos o revelaciones en los estados financieros de la entidad (tales como revelaciones sobre el riesgo crediticio, riesgo de liquidez y riesgo de mercado) pueden fundamentarse en información obtenida del sistema de gestión de riesgos de la entidad. Sin embargo, no se requiere que el auditor conozca todos los aspectos del sistema de gestión de riesgos, y utilice su juicio profesional para determinar el conocimiento necesario.

El conocimiento del auditor del sistema de información incluye el entorno de las TI relevante para los flujos de transacciones y el procesamiento de información en el sistema de información de la entidad, debido a que el uso de las aplicaciones de las TI por parte de la entidad u otros aspectos en el entorno de las TI pueden dar lugar a riesgos que surgen del uso de las TI.

El conocimiento del modelo de negocio de la entidad y cómo integra el uso de las TI, también puede proporcionar un contexto útil para la naturaleza y extensión de las TI esperada en el sistema de información.

La comprensión del auditor del entorno de TI puede enfocarse en identificar y conocer la naturaleza y el número de las aplicaciones de las TI específicas y otros aspectos del entorno de TI que son relevantes para los flujos de transacciones y procesamiento de información en el sistema de información. Los cambios en el flujo de transacciones o la información dentro del sistema de información pueden ser el resultado de cambios en los programas de las aplicaciones de TI o cambios directos en los datos en las bases de datos involucradas en el procesamiento o almacenamiento de esas transacciones o información.

El auditor puede identificar las aplicaciones de las TI y la infraestructura de apoyo simultáneamente con el conocimiento del auditor de cómo la información relacionada con las clases significativas de transacciones, saldos contables e información a revelar fluye hacia y fuera a través del sistema de información de la entidad.

En entidades más grandes y complejas, la información que el auditor puede considerar al conocer la comunicación de la entidad puede provenir de manuales de políticas y de información financiera.

En entidades menos complejas, la comunicación puede estar menos estructurada (por ejemplo, es posible que no se utilicen manuales formales) debido a menos niveles de responsabilidad y a la mayor visibilidad y disponibilidad de la dirección. Independientemente del tamaño de la entidad, los canales de comunicación abiertos facilitan la información de excepciones y como se actúa sobre ellas.

La evaluación del auditor de si el sistema de información y comunicación de la entidad apoyan de manera adecuada la preparación de los estados financieros se fundamenta en el conocimiento obtenido de conformidad con los apartados 25(a)-(b).

El componente de las actividades de control incluye controles que están diseñados para asegurar la aplicación adecuada de políticas (que también son controles) en todos los demás componentes del sistema de control interno de la entidad, e incluye controles tanto directos como indirectos. Ejemplo: Los controles que una entidad ha establecido para asegurar que su personal está contando y registrando adecuadamente el inventario físico anual se relacionan directamente con los riesgos de incorrección material relevantes para las afirmaciones de existencia e integridad para el saldo contable de la cuenta de inventario.

La identificación y evaluación del auditor de los controles en el componente de actividades de control se centra en los controles de procesamiento de información, que son controles aplicados durante el procesamiento de información en el sistema de información de la entidad que abordan directamente los riesgos para la integridad de la información (es decir, la integridad, precisión y validez de las transacciones y otra información). Sin embargo, no se requiere que el auditor identifique y evalúe todos los controles de procesamiento de información relacionados con las políticas de la entidad que definen los flujos de transacciones y otros aspectos de las actividades de procesamiento de información de la entidad, para las clases significativas de transacciones, saldos contables e información a revelar.

También pueden existir controles directos en el entorno de control, el proceso de valoración de riesgos de la entidad o el proceso de la entidad para dar seguimiento al sistema de control interno, que pueden identificarse de conformidad con el apartado 26. Sin embargo, cuanto más indirecta sea la relación entre los controles que apoyan a otros controles y el control que se está considerando, menos efectivo puede ser ese control para prevenir, o detectar y corregir, las incorrecciones relacionadas. Ejemplo: La revisión por el director de ventas de un resumen de las ventas de determinadas tiendas por región, normalmente sólo está indirectamente relacionada con el riesgo de incorrección material relevante para la integridad de los ingresos por ventas. En consecuencia, puede ser menos eficaz para abordar esos riesgos que los controles más directamente relacionados con ellos, como hacer coincidir los documentos de envío con los documentos de facturación.

El apartado 26 también requiere que el auditor identifique y evalúe los controles generales de TI para las aplicaciones de TI y otros aspectos del entorno que el auditor ha determinado que están sujetos a riesgos que surgen del uso de TI, porque los controles generales de TI apoyan el funcionamiento eficaz continuo de los controles de procesamiento de información. Por lo general, un control general de TI por sí solo no es suficiente para abordar un riesgo de incorrección material en las afirmaciones.

Los controles por los que se requiere que el auditor identifique y evalúe el diseño y determine la implementación de los mismos, de conformidad con el apartado 26, son los siguientes:

Se requiere que los controles en el componente de actividades de control se identifiquen cuando cumplen uno o más de los criterios incluidos en el apartado 26(a). Sin embargo, cuando varios controles logran cada uno el mismo objetivo, no es necesario identificar cada uno de los controles relacionados con dicho objetivo.

Los ejemplos de controles en el componente de actividades de control incluyen autorizaciones y aprobaciones, conciliaciones, verificaciones (tal como revisiones de edición y validación o cálculos automatizados), segregación de funciones y controles físicos o lógicos, incluidos los que abordan la protección de activos.

Los controles en el componente de las actividades de control también pueden incluir controles establecidos por la dirección que abordan los riesgos de incorrección material relacionada con la información a revelar que no se prepara de conformidad con el marco de información financiera aplicable. Esos controles pueden relacionarse con información incluida en los estados financieros que se obtiene fuera de los libros mayores y auxiliares.

Independientemente de si los controles se encuentran dentro del entorno de TI o en sistemas manuales, los controles pueden tener varios objetivos y pueden aplicarse en varios niveles organizacionales y funcionales.

Los controles en el componente de las actividades de control de las entidades menos complejas, probablemente sean similares a los de entidades de gran dimensión, pero pueden diferir en cuanto al grado de formalización con el que funcionan. Además, en entidades menos complejas, la dirección puede aplicar más controles directamente. Ejemplo: La autoridad exclusiva de la dirección para otorgar crédito a los clientes y aprobar compras importantes puede proporcionar un fuerte control sobre los saldos contables y sobre las transacciones importantes.

Puede ser menos factible establecer la segregación de funciones en entidades menos complejas que tienen menos empleados. Sin embargo, en una entidad gestionada por el propietario, el propietario-gerente puede ejercer una supervisión más eficaz mediante la participación directa que en una entidad más grande, lo que puede compensar las oportunidades generalmente más limitadas de segregación de funciones. Aunque, como también se explica en la NIA 240, el dominio de la dirección por parte de un solo individuo puede ser una potencial deficiencia de control, ya que existe la oportunidad de que la dirección eluda los controles.39

La NIA 24041 requiere que el auditor conozca los controles relacionados con los riesgos valorados de incorrección materia debida a fraude (que se tratan como riesgos significativos), y además explica que es importante que el auditor obtenga un conocimiento de los controles que la dirección ha diseñado, implementado y mantenido para prevenir y detectar fraudes.

Los controles que abordan los riesgos de incorrección material en las afirmaciones que se espera identificar para todas las auditorías, son controles sobre los asientos de diario, porque la manera en que una entidad incorpora la información del procesamiento de transacciones en el libro mayor normalmente implica el uso de asientos de diario, ya sea estándar o no estándar, o automatizado o manual. La extensión en que se identifican otros controles puede variar según la naturaleza de la entidad y el enfoque planeado por el auditor para los procedimientos de auditoría posteriores. Ejemplo: En una auditoría de una entidad menos compleja, el sistema de información de la entidad puede no ser complejo y el auditor puede no planear confiar en la eficacia operativa de los controles. Además, es posible que el auditor no haya identificado ningún riesgo significativo o cualquier otro riesgo de incorrección material por lo que es necesario que el auditor evalúe el diseño de los controles y determine que se han implementado. En dicha auditoría, el auditor puede determinar que no existen controles identificados distintos de los controles de la entidad sobre los asientos del diario.

En los sistemas de mayores manuales, los asientos no estándar en el diario pueden ser identificados mediante la inspección de los mayores, diarios y documentación de soporte. Cuando se utilizan procesos automatizados para mantener el libro mayor y preparar los estados financieros, es posible que dichos registros existan sólo en formato electrónico y puedan ser por tanto más fácilmente identificadas mediante el uso de técnicas automatizadas. Ejemplo: En la auditoría de una entidad menos compleja, el auditor puede extraer una lista total de todos los asientos de diario en una simple hoja de cálculo. Entonces puede ser posible que el auditor clasifique los asientos de diario aplicando una variedad de filtros como el importe de la moneda, el nombre del preparador o revisor, los asientos de diario que se acumulan, solo el balance general y el estado de resultados, o ver el listado por la fecha en que se registró el asiento de diario en el libro mayor, para ayudar al auditor a diseñar respuestas a los riesgos identificados relacionados con los asientos de diario.

El auditor determina si existe algún riesgo de incorrección material en las afirmaciones para la cual no es posible obtener evidencia de auditoría suficiente y adecuada únicamente a través de procedimientos sustantivos. Se requiere que el auditor, de conformidad con la NIA 330,42 diseñe y realice pruebas de controles que aborden esos riesgos de incorrección material cuando los procedimientos sustantivos por sí solos no brindan evidencia de auditoría suficiente y adecuada de las afirmaciones. Como resultado, cuando existen controles que abordan esos riesgos, se requiere que sean identificados y evaluados.

Los planes del auditor para probar la eficacia operativa de los controles también pueden estar influenciados por los riesgos identificados de incorrección material en los estados financieros. Por ejemplo, si se identifican deficiencias relacionadas con el entorno de control, esto puede afectar las expectativas generales del auditor sobre la eficacia operativa de los controles directos.

Otros controles que el auditor puede considerar adecuados para identificar, evaluar el diseño y determinar la implementación, pueden incluir:

Para las aplicaciones de TI relevantes para el sistema de información, conocer la naturaleza y complejidad de los procesos específicos de TI y los controles generales de TI que la entidad tiene implementados, puede ayudar al auditor a determinar en qué aplicaciones de TI confía la entidad para procesar y mantener la integridad de la información en el sistema de información de la entidad. Esas aplicaciones de TI pueden estar sujetas a riesgos derivados del uso de las TI.

Identificar las aplicaciones de TI que están sujetas a riesgos que surgen del uso de TI, implica tomar en cuenta los controles identificados por el auditor porque esos controles pueden involucrar el uso de TI o depender de TI. El auditor puede enfocarse en si una aplicación de TI incluye controles automatizados en los que confía la dirección y que el auditor ha identificado, incluidos controles que abordan riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada. El auditor también puede considerar cómo se almacena y procesa la información en el sistema de información, relacionada con clases importantes de transacciones, saldos de cuentas y revelaciones y si la dirección confía en los controles generales de TI para mantener la integridad de esa información.

Los controles identificados por el auditor pueden depender de informes generados por el sistema, en cuyo caso las aplicaciones de TI que producen esos informes, pueden estar sujetas a riesgos que surgen del uso de TI. En otros casos, el auditor puede no planear confiar en los controles sobre los informes generados por el sistema y planea probar directamente las entradas y salidas de esos informes, en cuyo caso el auditor no podría identificar las aplicaciones de TI sujetas a los riesgos que surgen de TI.

Cuando una entidad tiene una mayor complejidad en su entorno de TI, identificar las aplicaciones de TI y otros aspectos del entorno de TI, determinar los riesgos relacionados que surgen del uso de TI e identificar los controles generales de TI, probablemente requiera la participación de los miembros del equipo con habilidades especializadas en TI. Es probable que esa participación sea esencial, y puede necesitar ser extensa, para entornos de TI complejos.

Los otros aspectos del entorno de TI que pueden estar sujetos a riesgos derivados del uso de TI incluyen la red, el sistema operativo y las bases de datos y, en determinadas circunstancias, las interfaces entre las aplicaciones de TI. Otros aspectos del entorno de TI generalmente no se identifican cuando el auditor no identifica las aplicaciones que están sujetas a riesgos que surgen del uso de TI. Cuando el auditor ha identificado aplicaciones que están sujetas a riesgos que surgen de TI, es probable que se identifiquen otros aspectos del entorno de TI (por ejemplo, base de datos, sistema operativo, red) porque dichos aspectos soportan e interactúan con las aplicaciones de TI identificadas.

Al identificar los riesgos que surgen del uso de TI, el auditor puede considerar la naturaleza de las aplicaciones identificadas u otros aspectos del entorno de TI y las razones por las que está sujeto a los riesgos que surgen del uso de TI. Para algunas aplicaciones de TI identificadas u otros aspectos del entorno de TI, el auditor puede identificar los riesgos que surgen del uso de TI que se relacionan principalmente con el acceso no autorizado o con el cambio de programas no autorizado, así como eso aborda los riesgos relativos a cambios inadecuados en los datos (por ejemplo, el riesgo de cambios inadecuados en los datos a través del acceso directo a la base de datos o la capacidad para manipular directamente la información).

La extensión y naturaleza de los riesgos aplicables que surgen del uso de TI varían dependiendo de la naturaleza y las características de las aplicaciones de las TI identificadas y otros aspectos del entorno de TI. Los riesgos aplicables de TI pueden surgir cuando una entidad utiliza proveedores de servicios externos o internos para identificar aspectos de su entorno de TI (por ejemplo, subcontratar el alojamiento de su entorno de TI a un tercero o utilizar un centro de servicios compartido para la gestión centralizada de los procesos de TI en un grupo). Los riesgos aplicables que surgen del uso de TI también se pueden identificar como que están relacionados con la ciberseguridad. Es más probable que haya más riesgos derivados del uso de TI cuando el volumen o complejidad de los controles automatizados de las aplicaciones es mayor y la dirección confía más en esos controles para el procesamiento eficaz de las transacciones o el mantenimiento eficaz de la integridad de la información subyacente.

La evaluación del diseño de un control identificado implica la consideración del auditor de si el control, individualmente o en combinación con otros controles, es capaz de prevenir, detectar y corregir eficazmente, incorrecciones materiales (es decir, el objetivo de control).

El auditor determina la implementación de un control identificado, al establecer que el control existe y que la entidad lo está utilizando. Tiene poco sentido que el auditor evalúe la implementación de un control que no está diseñado de manera eficaz. Por lo tanto, el auditor evalúa primero el diseño de un control. Un control diseñado incorrectamente puede representar una deficiencia de control.

El auditor puede esperar, con base en la experiencia de la auditoría anterior o con fundamento en los procedimientos de valoración de riesgos del periodo actual, que la dirección no ha diseñado o implementado eficazmente controles para abordar un riesgo significativo. En esas circunstancias, los procedimientos realizados para abordar el requerimiento del apartado 26(d) pueden consistir en determinar si esos controles han sido diseñados e implementados eficazmente. Si los resultados de los procedimientos indican que los controles se han diseñado o implementado recientemente, se requiere que el auditor aplique los procedimientos del apartado 26(b)–(d) en los controles que han sido diseñados o implementados recientemente.

El auditor puede concluir que puede ser adecuado probar un control, que está diseñado e implementado eficazmente, con el fin de tener en consideración su eficacia operativa en el diseño de los procedimientos sustantivos. Sin embargo, cuando un control no está diseñado o implementado eficazmente, no hay ningún beneficio al probarlo. Cuando el auditor planea probar un control, la información obtenida sobre la extensión en que el control aborda el(los) riesgo(s) de incorrección material es una entrada para la valoración del auditor del riesgo de control en las afirmaciones.

Evaluar el diseño y determinar la implementación de los controles identificados en el componente de las actividades de control, no es suficiente para probar su eficacia operativa. Sin embargo, para los controles automatizados, el auditor puede planear probar la eficacia operativa de los controles automatizados al identificar y probar los controles generales de TI que proporcionan una operación congruente de un control automatizado, en lugar de realizar pruebas de eficacia operativa directamente en los controles automatizados. Obtener evidencia de auditoría sobre la implementación de un control manual en un determinado momento no proporciona evidencia de auditoría sobre la eficacia operativa del control en otros momentos del periodo que comprende la auditoría. Probar la eficacia operativa de los controles, incluidas las pruebas de los controles indirectos, se describen con más detalle en la NIA 330.45

Cuando el auditor no planea probar la eficacia operativa de los controles identificados, el conocimiento del auditor aún puede ayudar en el diseño de la naturaleza, oportunidad y extensión de los procedimientos sustantivos de auditoría que responden a los riesgos de incorrección material relacionados. Ejemplo: Los resultados de estos procedimientos de valoración de riesgos pueden proporcionar el fundamento para las consideraciones del auditor sobre posibles desviaciones en una población, al diseñar muestras de auditoría.

Al realizar las evaluaciones de cada uno de los componentes del sistema de control interno de la entidad,46 el auditor puede determinar que algunas de las políticas de la entidad en un componente, no son adecuadas para la naturaleza y circunstancias de la entidad. Esa determinación puede ser un indicador que ayude al auditor a identificar deficiencias de control. Si el auditor ha identificado una o más deficiencias de control, el auditor puede considerar el efecto de esas deficiencias de control en el diseño de procedimientos de auditoría posteriores de conformidad con la NIA 330.

Los riesgos de incorrección material son identificados y valorados por el auditor con el fin de determinar la naturaleza, oportunidad y extensión de los procedimientos de auditoría posteriores necesarios para obtener evidencia de auditoría suficiente y adecuada. Dicha evidencia permite al auditor expresar una opinión sobre los estados financieros con un nivel de riesgo de auditoría aceptablemente bajo.

La información obtenida al realizar los procedimientos de valoración de riesgos se utiliza como evidencia de auditoría para proporcionar el fundamento para la identificación y valoración de riesgos de incorrección material. Por ejemplo, la evidencia de auditoría obtenida al evaluar el diseño de los controles identificados y al determinar si esos controles se han implementado en el componente de actividades de control, se utiliza como evidencia de auditoría para apoyar la valoración de riesgos. Dicha evidencia también proporciona un fundamento para que el auditor diseñe las respuestas globales para abordar los riesgos valorados de incorrección material en el estado financiero, así como para diseñar y realizar procedimientos de auditoría posteriores cuya naturaleza, oportunidad y extensión respondan a los riesgos valorados de incorrección material en las afirmaciones, de conformidad con la NIA 330.

La identificación de los riesgos de incorrección material se realiza antes de la consideración de cualquier control relacionado (es decir, el riesgo inherente) y se fundamenta en la consideración preliminar del auditor sobre las incorrecciones que tienen una posibilidad razonable de que ocurran y que sean materiales si ocurrieran.49

Identificar los riesgos de incorrección material también proporciona el fundamento para la determinación por parte del auditor de las afirmaciones relevantes, lo que le ayuda a determinar las clases significativas de transacciones, saldos de cuentas e información a revelar.

Al identificar y valorar los riesgos de incorrección material, el auditor utiliza afirmaciones para considerar los diferentes tipos de potenciales incorrecciones que pueden ocurrir. Las afirmaciones para las que el auditor ha identificado riesgos de incorrección material son afirmaciones relevantes.

Al identificar y valorar los riesgos de incorrección material, el auditor puede utilizar las categorías de afirmaciones descritas en el apartado A190 (a)-(b) siguiente, o puede expresarlas de manera diferente siempre que se hayan cubierto todos los aspectos descritos a continuación. El auditor puede optar por combinar las afirmaciones sobre clases de transacciones y hechos y las revelaciones correspondientes, con las afirmaciones sobre saldos de cuentas y la información a revelar relacionada.

Las afirmaciones utilizadas por el auditor al considerar las distintas clases de incorrecciones potenciales que pueden ocurrir se pueden clasificar en las categorías siguientes:

Las afirmaciones descritas en el apartado 129(a)–(b) anterior, adaptadas según corresponda, también pueden ser utilizadas por el auditor al considerar los diferentes tipos de incorrecciones que pueden ocurrir en la información a revelar que no está directamente relacionada con tipos de transacciones, eventos o saldos contables registrados. Ejemplo: Un ejemplo de esa información a revelar incluye si el marco de información financiera aplicable requiere que la entidad describa su exposición a los riesgos que surgen de los instrumentos financieros, incluido cómo surgen los riesgos; los objetivos, políticas y procesos para gestionar los riesgos; y los métodos utilizados para medir los riesgos.

Al efectuar afirmaciones acerca de los estados financieros de entidades del sector público, además de las afirmaciones mencionadas en el apartado A190(a)-(b), la dirección puede afirmar a menudo que las transacciones y eventos se han desarrollado de conformidad con las disposiciones legales o reglamentarias, o de otro tipo. Dichas afirmaciones pueden incluirse en el alcance de la auditoría de los estados financieros.

El auditor identifica los riesgos de incorrección material en los estados financieros para determinar si los riesgos tienen un efecto generalizado en los estados financieros y, por lo tanto, requeriría una respuesta general de conformidad con la NIA 330.50

Además, los riesgos de incorrección material en los estados financieros también pueden afectar afirmaciones individuales, y la identificación de estos riesgos puede ayudar al auditor a valorar los riesgos de incorrección material en las afirmaciones y a diseñar procedimientos de auditoría posteriores para abordar los riesgos identificados.

Los riesgos de incorrección material en los estados financieros se refieren a los que se relacionan de manera generalizada con los estados financieros en su conjunto y, potencialmente, afectan a varias afirmaciones. Los riesgos de esta naturaleza no son necesariamente riesgos que se puedan identificar con afirmaciones específicas sobre las clases de transacciones, saldos contables o información a revelar (por ejemplo, el riesgo de que la dirección eluda los controles). Más bien, representan circunstancias que pueden aumentar, de manera generalizada, los riesgos de incorrección material en las afirmaciones. La evaluación del auditor de si los riesgos identificados se relacionan de manera generalizada con los estados financieros respalda la valoración del auditor de los riesgos de incorrección material en los estados financieros. En otros casos, una serie de afirmaciones también pueden identificarse como susceptibles al riesgo y, por lo tanto, pueden afectar la identificación del riesgo del auditor y la valoración de los riesgos de incorrección material en las afirmaciones. Ejemplo: La entidad enfrenta pérdidas operativas y cuestiones de liquidez y depende de financiamiento que todavía no ha sido asegurado. En esas circunstancias, el auditor puede determinar que la base contable de empresa en funcionamiento origina un riesgo de incorrección material en los estados financieros. En esta situación, es posible que sea necesario aplicar el marco contable utilizando una base de liquidación, lo que probablemente afectaría todas las afirmaciones de manera generalizada.

Los riesgos de incorrección material debido a fraude pueden ser particularmente relevante para la consideración del auditor sobre los riesgos de incorrección material en los estados financieros. Ejemplo: El auditor conoce, a partir de las indagaciones a la dirección, que los estados financieros de la entidad deben usarse en discusiones con los prestamistas con el fin de asegurar financiamiento adicional para mantener el capital de trabajo. Por lo tanto, el auditor puede determinar que existe una mayor susceptibilidad a incorrecciones debido a factores de riesgo de fraude que afectan el riesgo inherente (es decir, la susceptibilidad de los estados financieros a incorrecciones materiales debido al riesgo de información financiera fraudulenta, tal como la sobrevaloración de activos e ingresos y subestimación de pasivos y gastos para asegurar que se obtendrá financiamiento).

La NIA 705 (Revisada)51 establece los requerimientos y proporciona orientaciones para determinar si es necesario que el auditor exprese una opinión con salvedades o deniegue la opinión, o como puede ser necesario en algunos casos, renuncie al encargo si las disposiciones legales o reglamentarias aplicables así lo permiten.

Para las entidades del sector público, la identificación de riesgos en los estados financieros puede incluir la consideración de cuestiones relacionadas con el clima político, el interés público y la sensibilidad del programa.

Los riesgos de incorrección material que no se relacionan de forma generalizada con los estados financieros son riesgos de incorrección material en las afirmaciones.

Determinar las afirmaciones relevantes y las clases significativas de transacciones, saldos contables e información a revelar, proporciona el fundamento para el alcance del conocimiento del auditor sobre el sistema de información de la entidad que se requiere obtener de conformidad con el apartado 25(a). Este conocimiento puede ayudar al auditor a identificar y valorar los riesgos de incorrección material (véase A86).

El auditor evalúa la probabilidad y la magnitud de la incorrección para los riesgos identificados de incorrección material, porque la importancia de la combinación de la probabilidad de que ocurra una incorrección y la magnitud potencial de la incorrección, cuando el que la incorrección ocurra determina en qué lugar del espectro de riesgo inherente se valora el riesgo valorado, lo que forma el diseño del auditor sobre los procedimientos de auditoría posteriores para abordar el riesgo.

Valorar el riesgo inherente de los riesgos identificados de incorrección material, también ayuda al auditor a determinar los riesgos significativos. El auditor determina los riesgos significativos debido a que se requieren respuestas específicas a los riesgos significativos de conformidad con la NIA 330 y otras NIA.

Los factores de riesgo inherentes influyen en la evaluación del auditor de la probabilidad y la magnitud de la incorrección para los riesgos identificados de incorrección material en las afirmaciones. Cuanto mayor sea el grado en que una clase de transacciones, saldo contable o información a revelar sea susceptible a incorrección material, es más probable que la valoración del riesgo inherente sea más alta. Considerar el grado en que los factores de riesgo inherentes afectan la susceptibilidad de una afirmación a incorrección, ayuda al auditor a valorar adecuadamente el riesgo inherente de los riesgos de incorrección material en las afirmaciones y a diseñar una respuesta más precisa a dicho riesgo.

Al valorar el riesgo inherente, el auditor usa el juicio profesional al determinar la importancia de la combinación de la probabilidad y magnitud de la incorrección.

La valoración del riesgo inherente relativa a un riesgo particular de incorrección material en las afirmaciones representa un juicio dentro de un rango, de menor a mayor, en el espectro del riesgo inherente. El juicio sobre en qué parte del rango se valora el riesgo inherente puede variar en función de la naturaleza, el tamaño y la complejidad de la entidad y toma en cuenta la probabilidad y la magnitud evaluadas de incorrección y los factores de riesgo inherentes.

Al considerar la probabilidad de una incorrección, el auditor considera la posibilidad de que puede haber una incorrección, con fundamento en la consideración de los factores de riesgo inherente.

Al considerar la magnitud de una incorrección, el auditor considera los aspectos cualitativas y cuantitativas de la posible incorrección (es decir, las incorrecciones en las afirmaciones sobre las clases de transacciones, saldos contables o información a revelar pueden considerarse materiales debido al tamaño, naturaleza o circunstancias).

El auditor utiliza la importancia de la combinación de la probabilidad y la magnitud de una posible incorrección al determinar en qué parte del espectro de riesgo inherente (es decir, el rango) se valora el riesgo inherente. Cuanto mayor sea la combinación de probabilidad y magnitud, mayor será la valoración del riesgo inherente; cuanto menor sea la combinación de probabilidad y magnitud, menor será la valoración del riesgo inherente.

El que un riesgo se valore como más alto en el espectro de riesgo inherente, no significa que tanto la magnitud como la probabilidad deban evaluarse como altas. Más bien, es la intersección de la magnitud y la probabilidad de la incorrección material en el espectro del riesgo inherente lo que determinará si el riesgo inherente valorado es mayor o menor en el espectro del riesgo inherente. Una valoración de riesgo inherente más alta también puede surgir de diferentes combinaciones de probabilidad y magnitud, por ejemplo, una valoración de riesgo inherente más alta podría resultar de una probabilidad más baja pero de una magnitud muy alta.

Con la finalidad de desarrollar estrategias adecuadas para responder a los riesgos de incorrección material, el auditor puede designar riesgos de incorrección material dentro de categorías a lo largo del espectro de riesgo inherente, con fundamento en su valoración del riesgo inherente. Estas categorías pueden describirse de diferentes maneras. Independientemente del método de categorización utilizado, la valoración del auditor del riesgo inherente es adecuada cuando el diseño y la implementación de los procedimientos de auditoría posteriores para abordar los riesgos identificados de incorrección material en las afirmaciones, responde adecuadamente a la valoración de riesgo inherente y las razones para esa valoración.

Al valorar los riesgos identificados de incorrección material en las afirmaciones, el auditor puede concluir que algunos riesgos de incorrección material se relacionan de forma más generalizada en los estados financieros en su conjunto y afectan potencialmente a muchas afirmaciones, en cuyo caso el auditor puede actualizar la identificación de los riesgos de incorrección material en los estados financieros.

En circunstancias en las que los riesgos de incorrección material se identifican como riesgos en los estados financieros debido a su efecto generalizado en una serie de afirmaciones, y son identificables con afirmaciones específicas, se requiere que el auditor tenga en cuenta esos riesgos al valorar el riesgo inherente para los riesgos de incorrección material en las afirmaciones.

Al ejercer su juicio profesional en cuanto a la valoración del riesgo de incorrección material, los auditores del sector público pueden considerar la complejidad de las regulaciones y directivas y los riesgos de incumplimiento de las autoridades.

A219. Al determinar los riesgos significativos, el auditor puede identificar primero aquellos riesgos valorados de incorrección material que han sido valorados más alto en el espectro de riesgo inherente para formar el fundamento para considerar qué riesgos pueden estar cerca del límite superior. Estar cerca del extremo superior del espectro de riesgo inherente diferirá de una entidad a otra, y no será necesariamente el mismo para una entidad de un periodo a otro. Puede depender de la naturaleza y las circunstancias de la entidad para la que se valora el riesgo.

A222. Debido a la naturaleza del riesgo de incorrección material y a las actividades de control que abordan ese riesgo, en algunas circunstancias la única forma de obtener evidencia de auditoría suficiente y adecuada es probar la eficacia operativa de los controles. Por consiguiente, existe un requerimiento para que el auditor identifique dichos riesgos debido a las implicaciones para el diseño y resultado de los procedimientos de auditoría posteriores, de conformidad con la NIA 330, para abordar los riesgos de incorrección material en las afirmaciones.

A223. El apartado 26(a)(iii) también requiere la identificación de los controles que abordan los riesgos por los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada ya que se requiere que el auditor, de conformidad con la NIA 330,59 diseñe y realice pruebas de esos controles.

A225. La NIA 540 (Revisada) proporciona orientación adicional relacionada con las estimaciones contables sobre los riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada.60 En relación con las estimaciones contables, esto puede no estar limitado al procesamiento automatizado, sino que también puede ser aplicable a modelos complejos.

A226. Los planes del auditor para probar la eficacia operativa de los controles se fundamentan en la expectativa de que los controles están operando de manera eficaz, y esto formará el fundamento de la valoración del auditor del riesgo de control. La expectativa inicial sobre la eficacia operativa de los controles se fundamenta en la evaluación del auditor del diseño, y la determinación de la implementación, de los controles identificados en el componente de actividades de control. Una vez que el auditor ha probado la eficacia operativa de los controles de conformidad con la NIA 330, el auditor podrá confirmar la expectativa inicial sobre la eficacia operativa de los controles. Si los controles no están operando eficazmente como se esperaba, entonces el auditor necesitará revisar la valoración del riesgo de control de conformidad con el apartado 37.

A227. La valoración del auditor sobre el riesgo de control puede realizarse de diferentes maneras dependiendo de las técnicas o metodologías de auditoría preferidas, y puede expresarse de diferentes maneras.

A228. Si el auditor planea probar la eficacia operativa de los controles, puede ser necesario probar una combinación de controles para confirmar la expectativa del auditor de que los controles están operando eficazmente. El auditor puede planificar probar tanto los controles directos como los indirectos, incluidos los controles generales de TI y, de ser así, tomar en cuenta el efecto combinado esperado de los controles al valorar el riesgo de control. En la medida en que el control que se va a probar no aborde completamente el riesgo inherente valorado, el auditor determinará las implicaciones en el diseño de los procedimientos de auditoría posteriores para reducir el riesgo de auditoría a un nivel aceptablemente bajo.

A229. Cuando el auditor planea probar la eficacia operativa de un control automatizado, el auditor también puede planear probar la eficacia operativa de los controles generales de TI relevantes, que apoyan el funcionamiento continuo de ese control automatizado para abordar los riesgos que surgen del uso de TI, y proporcionar un fundamento para la expectativa del auditor de que el control automatizado operó eficazmente durante todo el periodo. Cuando el auditor espera que los controles generales de TI sean ineficaces, esta determinación puede afectar la valoración del auditor del riesgo de control en las afirmaciones y, los procedimientos de auditoría posteriores del auditor pueden necesitar incluir procedimientos sustantivos para abordar los riesgos aplicables que surgen del uso de TI. En la NIA 330 se proporciona orientación adicional sobre los procedimientos que el auditor puede realizar en estas circunstancias.61

A230. La evidencia de auditoría obtenida de la realización de procedimientos de valoración de riesgos proporciona el fundamento para la identificación y valoración de riesgos de incorrección material. Esto proporciona el fundamento para el diseño del auditor de la naturaleza, oportunidad y extensión de los procedimientos de auditoría posteriores que responden a los riesgos valorados de incorrección material, en las afirmaciones, de conformidad con la NIA 330. En consecuencia, la evidencia de auditoría obtenida de los procedimientos de valoración de riesgos proporciona un fundamento para la identificación y valoración de los riesgos de incorrección material, ya sea debido a fraude o error, en los estados financieros y en las afirmaciones.

A231. La evidencia de auditoría de los procedimientos de valoración de riesgos comprende tanto la información que sustenta y corrobora las afirmaciones de la dirección como cualquier información que contradiga dichas afirmaciones.62

A232. Al evaluar la evidencia de auditoría de los procedimientos de valoración de riegos, el auditor considera si se ha obtenido suficiente conocimiento sobre la entidad y su entorno, sobre el marco de información financiera aplicable y del sistema de control interno de la entidad para poder identificar los riesgos de incorrección material, así como si existe alguna evidencia contradictoria que pueda indicar un riesgo de incorrección material.

A233. Como se explica en la NIA 320,63 la materialidad y el riesgo de auditoría se consideran al identificar y valorar los riesgos de incorrección material en tipos de transacciones, saldos contables e información a revelar. La determinación por el auditor de la importancia relativa viene dada por el ejercicio de su juicio profesional, y se ve afectada por su percepción de las necesidades de información financiera de los usuarios de los estados financieros.64 Para la finalidad de esta NIA y del apartado 18 de la NIA 330, las clases de transacciones, saldos contables o información a revelar son materiales si se puede esperar razonablemente que omitir, presentar incorrectamente u ocultar información sobre ellos influye en las decisiones económicas que los usuarios toman sobre la base de los estados financieros en su conjunto.

A234. Puede haber clases de transacciones, saldos contables o información a revelar que son materiales pero que no se determinan como clases de transacciones, saldos contables o información a revelar significativas (es decir, no se han identificado afirmaciones relevantes). Ejemplo: La entidad puede tener información a revelar sobre la compensación de ejecutivos para la cual el auditor no ha identificado un riesgo de incorrección material. Sin embargo, el auditor puede determinar que esta información a revelar es material con fundamento en las consideraciones del apartado A233.

A235. Los procedimientos de auditoría para abordar las clases de transacciones, saldos contables o información a revelar que son materiales pero que no se determinan como significativas, se abordan en la NIA 330.65 Cuando se determina que las clases de transacciones, saldos contables o información a revelar son significativas como lo requiere el apartado 29, las clases de transacciones, saldos contables o información a revelar también son clases de transacciones, saldos contables o información a revelar materiales para los efectos del apartado 18 de la NIA 330.

A236. Durante la realización de la auditoría puede llegar a conocimiento del auditor información nueva u otra información que difiera significativamente de la información sobre la que se basó la valoración del riesgo. Ejemplo: La valoración del riesgo de la entidad puede basarse en la expectativa de que ciertos controles están funcionando de manera eficaz. Al realizar las pruebas sobre dichos controles, el auditor puede obtener evidencia de auditoría de que no funcionaron de manera eficaz en momentos importantes durante la realización de la auditoría. Del mismo modo, al aplicar procedimientos sustantivos, el auditor puede detectar incorrecciones por cantidades superiores o con mayor frecuencia de lo que corresponde a las valoraciones del riesgo realizadas por el auditor. En tales circunstancias, puede ocurrir que la valoración del riesgo no refleje adecuadamente las verdaderas circunstancias de la entidad y los procedimientos de auditoría posteriores planificados pueden no ser eficaces para detectar incorrecciones materiales. Los apartados 16 y 17 de la NIA 330 proporcionan orientación adicional sobre la evaluación de la eficacia operativa de los controles.

A237. En el caso de auditorías recurrentes, puede utilizarse cierta documentación de periodos anteriores, actualizada según resulte necesario para reflejar los cambios en los negocios o procesos de la entidad.

A239. El modo en que se deben documentar los requerimientos del apartado 38 debe determinarlo el auditor de acuerdo con su juicio profesional.

A240. Se puede requerir documentación más detallada, que sea suficiente para permitir que un auditor experimentado, sin experiencia previa con la auditoría, comprenda la naturaleza, oportunidad y alcance de los procedimientos de auditoría realizados, para apoyar el razonamiento de los juicios difíciles hechos.

A241. Para las auditorías de entidades menos complejas, la forma y extensión de la documentación puede ser simple y relativamente breve. La forma y extensión de la documentación del auditor, depende de la naturaleza, dimensión y complejidad de la entidad, así como de su sistema de control interno, de la disponibilidad de la información por parte de la entidad y de la metodología y tecnología de auditoría utilizadas en el transcurso de la auditoría. No es necesario documentar la totalidad del conocimiento del auditor sobre la entidad y las cuestiones relacionadas con dicho conocimiento. Los elementos clave67 del conocimiento documentados por el auditor pueden incluir aquellos que sirven como fundamento al auditor para valorar los riesgos de incorrección material. Sin embargo, el auditor no está obligado a documentar cada factor de riesgo inherente considerado al identificar y valorar los riesgos de incorrección material en las afirmaciones. Ejemplo: En auditorías de entidades menos complejas, la documentación de auditoría puede incorporarse en la documentación del auditor sobre la estrategia general y el plan de auditoría.68 Del mismo modo, por ejemplo, los resultados de la valoración del riesgo se pueden documentar por separado o se pueden incluir en la documentación del auditor sobre los procedimientos de auditoría posteriores.69

1. El modelo de negocio de una entidad describe cómo una entidad considera, por ejemplo, su estructura organizacional, las operaciones o alcance de las actividades, líneas de negocio (incluidos competidores y clientes de los mismos), procesos, oportunidades de crecimiento, globalización, requerimientos regulatorios y tecnologías. El modelo de negocio de la entidad describe cómo la entidad crea, preserva y obtiene valor financiero o más amplio para sus terceros interesados.

2. Las estrategias son enfoques mediante los cuales la dirección planea lograr los objetivos de la entidad, incluida la forma en que la entidad planea abordar los riesgos y las oportunidades que enfrenta. La dirección cambia las estrategias de una entidad con el tiempo para responder a los cambios en sus objetivos y en las circunstancias internas y externas en las que opera.

4. Un riesgo de negocio puede tener una consecuencia inmediata sobre el riesgo de incorrección material para tipos de transacciones, saldos contables e información a revelar en las afirmaciones o en los estados financieros. Por ejemplo, el riesgo de negocio que surge de una caída significativa en los valores del mercado inmobiliario puede aumentar el riesgo de incorrección material asociado con las afirmaciones de valuación para un prestamista que otorga préstamos a mediano plazo respaldados por bienes raíces. Sin embargo, el mismo riesgo, particularmente en combinación con una grave recesión económica que al mismo tiempo aumenta el riesgo subyacente de pérdidas crediticias de por vida en sus préstamos, también puede tener una consecuencia a más largo plazo. La exposición neta resultante de las pérdidas crediticias puede generar dudas significativas sobre la capacidad de la entidad para continuar como empresa en funcionamiento. Si es así, esto podría tener implicaciones para las conclusiones de la dirección y del auditor en cuanto a la idoneidad del uso por parte de la entidad de la base contable de empresa en funcionamiento, y la determinación de si existe una incertidumbre material. Si un riesgo comercial puede resultar en un riesgo de incorrección material se considera, por lo tanto, a la luz de las circunstancias de la entidad. En el Anexo 2 se indican ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material.

5. Ejemplos de cuestiones que el auditor puede considerar al obtener el conocimiento sobre las actividades de la entidad (incluidas en el modelo de negocio de la entidad) incluye:

6. Una entidad con cometido especial (denominada en algunos casos vehículo con cometido especial) es una entidad generalmente constituida con un propósito limitado y bien definido, como por ejemplo llevar a cabo un arrendamiento o una titulización de activos financieros, o desarrollar actividades de investigación y desarrollo. Puede adoptar la forma de una sociedad anónima, otro tipo de asociación, un fideicomiso o una entidad no constituida con forma jurídica de sociedad. La entidad por cuenta de la que se ha constituido la entidad con cometido especial puede a menudo transferirle activos (por ejemplo, como parte de una transacción para dar de baja activos financieros), obtener el derecho a utilizar sus activos, o prestarle servicios, a la vez que la entidad con cometido especial puede obtener financiación de otras partes. La NIA 550 indica que, en algunas circunstancias, una entidad con cometido especial puede ser una parte vinculada de la entidad.70

7. Los marcos de información financiera a menudo establecen condiciones detalladas para delimitar lo que se entiende por control, o circunstancias en las cuales la entidad con cometido especial debería ser tenida en cuenta para la consolidación. La interpretación de los requerimientos de dichos marcos a menudo exige un conocimiento detallado de los acuerdos relevantes en los que participa la entidad con cometido especial.

1. Los factores de riesgo inherente son características de hechos o condiciones que afectan la susceptibilidad de una afirmación sobre una clase de transacciones, saldo contable o información a revelar, a errores, debido a fraude o error y antes de la consideración de los controles. Esos factores pueden ser cualitativos o cuantitativos, e incluye la complejidad, subjetividad, cambio, incertidumbre o susceptibilidad a incorrección debido a sesgo de la dirección u otros factores de riesgo71 en la medida que afecten el riesgo inherente. Al obtener el conocimiento de la entidad y su entorno y el marco de información financiera aplicable y las políticas contables de la entidad, de conformidad con los apartados 19(a)-(b), el auditor también conocerá cómo los factores de riesgo inherente afectan la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros.

3. Cuando la complejidad es un factor de riesgo inherente, puede haber una necesidad inherente de procesos más complejos en la preparación de la información y esos procesos pueden ser inherentemente más difíciles de aplicar. Como resultado, su aplicación puede requerir habilidades o conocimientos especializados y puede requerir el uso de un experto de la dirección.

4. Cuando el juicio de la dirección es más subjetivo, también puede aumentar la susceptibilidad a incorrecciones debidas al sesgo de la dirección, ya sea intencional o no intencional. Por ejemplo, pueden estar involucrados juicios significativos por parte de la dirección al hacer las estimaciones contables que han sido identificadas como que tienen una alta incertidumbre en la estimación, y las conclusiones referentes a los métodos, datos e hipótesis, puede reflejar un sesgo de la dirección intencional o no intencional.

1. El sistema de control interno de la entidad puede estar reflejado en los manuales de políticas y procedimientos, en los sistemas y formularios, y la información incorporada en ellos y en las personas que lo realizan. El sistema de control interno de la entidad es implementado por la dirección, los responsables del gobierno de la entidad y otro personal fundamentado en la estructura de la entidad. El sistema de control interno de la entidad puede aplicarse, con fundamento en las decisiones de la dirección, de los responsables del gobierno de la entidad u otro personal, y en el contexto de los requerimientos legales o regulatorios, al modelo operativo de la entidad, la estructura legal de la entidad o a una combinación de estos.

2. Este anexo, explica más a fondo los componentes, así como las limitaciones, del sistema de control interno de la entidad como se establece en los apartados 12(m), 21–26, y A90–A181, en lo que respecta a una auditoría de estados financieros.

3. Se incluyen dentro del sistema de control interno de la entidad los aspectos que se relacionan con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero también pueden incluir aspectos que se relacionan con sus operaciones u objetivos de cumplimiento, cuando dichos aspectos son relevantes para la información financiera. Ejemplo: Los controles sobre el cumplimiento con las leyes y regulaciones pueden ser relevantes para la información financiera cuando esos controles son relevantes para la preparación de la entidad de la información a revelar sobre las contingencias en los estados financieros.

4. El entorno de control incluye las funciones de gobierno y de dirección, así como las actitudes, grado de percepción y acciones de los responsables del gobierno de la entidad y de la dirección en relación con el sistema de control interno de la entidad y su importancia para ella. El entorno de control establece el tono de una organización, influye en la conciencia de control de su gente y proporciona el fundamento general para el funcionamiento de los otros componentes del sistema de control interno de la entidad.

6. El entorno de control engloba los siguientes elementos: La idoneidad de las cuestiones anteriores será diferente para cada entidad dependiendo de su tamaño, la complejidad de su estructura y la naturaleza de sus actividades.

7. El proceso de valoración de riesgos de la entidad es un proceso repetitivo para la identificación y valoración de riesgos para alcanzar los objetivos de la entidad, y forma las bases de cómo la dirección o los responsables del gobierno de la entidad determina el riesgo a gestionar.

8. Para los fines de la información financiera, el proceso de valoración del riesgo por la entidad incluye el modo en que la dirección identifica los riesgos de negocio relevantes para la preparación de los estados financieros de conformidad con el marco de información financiera aplicable a la entidad, estima su significatividad, valora su probabilidad de ocurrencia y toma decisiones con respecto a las actuaciones necesarias para gestionarlos, así como los resultados de todo ello. Por ejemplo, el proceso de valoración del riesgo por la entidad puede tratar el modo en que la entidad considera la posibilidad de que existan transacciones no registradas o identifica y analiza estimaciones significativas registradas en los estados financieros.

10. El proceso de la entidad para dar seguimiento al sistema de control interno es un proceso continuo para evaluar la eficacia del control interno de la entidad, y para tomar las acciones de corrección necesarias de manera oportuna. El proceso de la entidad para dar seguimiento al sistema de control interno puede consistir en actividades continuas, evaluaciones separadas (realizadas periódicamente) o una combinación de las dos. Las actividades de seguimiento continuas a menudo forman parte de las actividades recurrentes normales de una entidad y pueden incluir actividades de gestión y supervisión habituales. El proceso de la entidad probablemente variará en alcance y frecuencia dependiendo de la valoración de los riesgos de la entidad.

11. Los objetivos y el alcance de las funciones de auditoría interna generalmente incluyen actividades diseñadas para evaluar o dar seguimiento a la eficacia del sistema de control interno de la entidad.72 El proceso de la entidad para dar seguimiento a su sistema de control interno, puede incluir actividades como la revisión por la dirección de si las conciliaciones bancarias se preparan oportunamente, la evaluación por los auditores internos del cumplimiento por el personal de ventas de las políticas de la entidad sobre condiciones de los contratos de venta, y la supervisión por el departamento jurídico del cumplimiento de las políticas de la entidad en materia de ética o de práctica de negocios. El seguimiento se realiza también para asegurarse de que los controles siguen funcionando de manera eficaz con el transcurso del tiempo. Por ejemplo, si la puntualidad y la exactitud de las conciliaciones bancarias no son objeto de seguimiento, es probable que el personal deje de prepararlas.

12. Los controles relacionados con el proceso de la entidad para dar seguimiento a su sistema de control interno, incluidos los que dan seguimiento a los controles automatizados subyacentes, pueden ser automáticos o manuales, o una combinación de ambos. Por ejemplo, una entidad puede usar controles de seguimientos automatizados sobre el acceso a cierta tecnología con informes automatizados de actividad inusual a la dirección, quien investiga manualmente las anomalías identificadas.

13. Al distinguir entre una actividad de seguimiento y un control relacionado con el sistema de información, se consideran los detalles subyacentes de la actividad, especialmente cuando la actividad implica algún nivel de revisión de supervisión. Las revisiones de supervisión no se clasifican automáticamente como actividades de seguimiento y puede ser una cuestión de juicio si una revisión se clasifica como un control relativo al sistema de información o una actividad de seguimiento. Por ejemplo, la intención de un control integral mensual sería detectar y corregir errores, donde una actividad de seguimiento preguntaría por qué ocurren los errores y asignaría a la dirección la responsabilidad de corregir el proceso para evitar futuros errores. En términos simples, un control relacionado con el sistema de información responde a un riesgo específico, mientras que una actividad de seguimiento evalúa si los controles dentro de cada uno de los cinco componentes del sistema de control interno de la entidad están operando según lo previsto.

14. Las actividades de seguimiento pueden incluir la utilización de información de comunicaciones de terceros externos que pueden indicar problemas o resaltar áreas que necesitan mejoras. Los clientes implícitamente corroboran los datos de facturación al pagar sus facturas o al reclamar por sus cargos. Además, las autoridades reguladoras se pueden comunicar con la entidad en relación con cuestiones que afectan al funcionamiento del sistema de control interno de la entidad; por ejemplo, comunicaciones relativas a inspecciones por autoridades de supervisión bancaria. Además, la dirección puede considerar, al realizar las actividades de seguimiento, cualquier comunicación relacionada con el sistema de control interno de la entidad por parte de los auditores externos.

17. La calidad de la información influye en la capacidad de la dirección de tomar las decisiones adecuadas en materia de dirección y control de las actividades de la entidad, así como de preparar informes financieros fiables.

18. La comunicación, que implica proporcionar conocimiento de las funciones y responsabilidades individuales del control interno sobre el sistema de información financiera de la entidad, puede adoptar la forma de manuales de políticas, manuales contables y de información financiera y circulares. La comunicación también puede ser realizada por vía electrónica, verbal y a través de las actuaciones de la dirección.

19. La comunicación por la entidad de las funciones y responsabilidades y de las cuestiones significativas relacionadas con la información financiera implica proporcionar un conocimiento de las funciones y responsabilidades individuales del sistema de control interno de la entidad sobre la información financiera. Puede incluir cuestiones tales como el grado de conocimiento que tiene el personal sobre el modo en que sus actividades, en el sistema de información financiera, se relacionan con el trabajo de otras personas, así como los medios para informar sobre las excepciones a un nivel superior adecuado dentro de la entidad.

21. Algunos controles pueden depender de la existencia de controles de supervisión adecuados establecidos por la dirección o los responsables del gobierno de la entidad. Por ejemplo, los controles de autorización pueden delegarse de acuerdo con directrices establecidas, tales como criterios de inversión fijados por los responsables del gobierno de la entidad; por el contrario, las transacciones no rutinarias, tales como adquisiciones o desinversiones importantes, pueden requerir una aprobación específica a un nivel alto, incluso en algunos casos por parte de los accionistas.

22. El sistema de control interno de la entidad, por muy eficaz que sea, solo puede proporcionar a la entidad una seguridad razonable del cumplimiento de sus objetivos de información financiera. La probabilidad de que se cumplan se ve afectada por las limitaciones inherentes al control interno. Estas incluyen el hecho de que los juicios humanos a la hora de tomar decisiones pueden ser erróneos y de que el sistema de control interno de la entidad puede dejar de funcionar debido al error humano. Por ejemplo, puede haber un error en el diseño o el cambio de un control interno. Del mismo modo, el funcionamiento de un control puede no ser eficaz, como sucede en el caso de que la información producida para los fines del sistema del control interno de la entidad (por ejemplo, un informe de excepciones) no se utilice de manera eficaz porque la persona responsable de la revisión de la información no comprenda su finalidad o no adopte las medidas adecuadas.

23. Además, se pueden sortear los controles por colusión entre dos o más personas o por la inadecuada elusión de los controles por la dirección. Por ejemplo, la dirección puede suscribir acuerdos paralelos con clientes que alteren los términos y condiciones de los contratos de venta estándar de la entidad, lo que puede dar lugar a un reconocimiento de ingresos incorrecto. Asimismo, se pueden eludir o invalidar filtros de una aplicación de TI diseñados para identificar e informar sobre transacciones que superen determinados límites de crédito.

24. Por otro lado, en el diseño e implementación de los controles, la dirección puede realizar juicios sobre la naturaleza y extensión de los controles que decide implementar y sobre la naturaleza y extensión de los riesgos que decide asumir.

1. Los objetivos y el alcance de la función de auditoría interna, la naturaleza de sus responsabilidades y su estatus dentro de la organización, así como su autoridad y rendición de cuentas, varían ampliamente y dependen de la dimensión, complejidad y estructura de la entidad y de los requerimientos de la dirección y, cuando proceda, de los responsables del gobierno de la entidad. Es posible que estas cuestiones estén establecidas en un reglamento de la auditoría interna o en sus términos de referencia.

2. Las responsabilidades de la función de auditoría interna pueden incluir la aplicación de procedimientos y la valoración de sus resultados con el fin de proporcionar seguridad a la dirección y a los responsables del gobierno de la entidad en relación con el diseño y efectividad de los procesos de gestión del riesgo, el sistema de control interno de la entidad y del proceso de gobierno de la entidad. Si es así, la función de auditoría interna puede desempeñar un papel importante en el proceso de la entidad para dar seguimiento al sistema de control interno de la entidad. Sin embargo, es posible que las responsabilidades de la función de auditoría interna se centren en la evaluación de la economía, eficiencia y eficacia de las operaciones, en cuyo caso, el trabajo de la función de auditoría interna puede no estar directamente relacionado con la información financiera de la entidad.

3. En el caso de que la entidad disponga de una función de auditoría interna, las indagaciones a las personas adecuadas pertenecientes a esa función pueden proporcionar información útil para la obtención por el auditor de conocimiento de la entidad y su entorno, el marco de información financiera aplicable y el sistema de control interno de la entidad y para la identificación y valoración de riesgos de incorrección material en los estados financieros y en las afirmaciones. En la realización de su trabajo, es probable que la función de auditoría interna haya obtenido información acerca de las operaciones y riesgos de negocio de la entidad y que disponga de hallazgos basados en dicho trabajo, tales como deficiencias de control o riesgos identificados, que pueden proporcionar datos valiosos para el entendimiento del auditor sobre de la entidad y su entorno, el marco de información financiera aplicable, el sistema de control interno de la entidad, sus valoraciones del riesgo u otros aspectos de la auditoría. En consecuencia, las indagaciones se realizan con independencia de si el auditor tiene o no tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o la oportunidad, de los procedimientos de auditoría a aplicar, o bien para reducir su extensión.73 Otras indagaciones especialmente relevantes pueden tratar de cuestiones que la función de auditoría interna haya comunicado a los responsables del gobierno de la entidad y de los resultados del proceso de valoración del riesgo obtenidos por la propia función.

4. Si, sobre la base de las respuestas a las indagaciones del auditor, parece que existen hallazgos que pueden ser relevantes para la información financiera de la entidad y para la auditoría de los estados financieros, el auditor puede considerar adecuado leer los correspondientes informes de la función de auditoría interna. Como ejemplos de informes de la función de auditoría interna que pueden ser relevantes se incluyen sus documentos de estrategia y planificación, así como los informes preparados para la dirección o los responsables del gobierno de la entidad en los que se describen los hallazgos de las revisiones realizadas por la función de auditoría interna.

5. Adicionalmente, de conformidad con la NIA 240,74 si la función de auditoría interna proporciona al auditor información relativa a algún fraude, indicio de fraude o denuncia de fraude, el auditor lo tendrá en cuenta en su identificación del riesgo de incorrección material debida a fraude.

6. Las personas adecuadas dentro de la función de auditoría interna a los que se realizan las indagaciones son aquéllas que, a juicio del auditor, poseen el conocimiento, experiencia y autoridad adecuados, tales como el responsable de auditoría interna o, según las circunstancias, otras personas que pertenezcan a la función. El auditor también puede considerar adecuado mantener reuniones periódicas con estas personas.

7. Al conocer el entorno de control, el auditor puede tener en cuenta la forma en que la dirección ha respondido a los hallazgos y recomendaciones de la función de auditoría interna en relación con deficiencias del control interno detectadas relevantes para la preparación de los estados financieros, incluido si dichas respuestas se han implementado y el modo en que lo han sido, así como, si con posterioridad, han sido evaluadas por la función de auditoría interna.

8. Si la naturaleza de las responsabilidades y actividades de obtención de un grado de seguridad de la función de auditoría interna está relacionada con el proceso de información financiera de la entidad, el auditor también puede utilizar el trabajo de la función de auditoría interna para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar directamente por él en la obtención de evidencia de auditoría, o bien para reducir su extensión. Puede ser más probable que los auditores puedan utilizar el trabajo de la función de auditoría interna de la entidad cuando se evidencie, por ejemplo, sobre la base de su experiencia de auditorías anteriores o en sus procedimientos de valoración del riesgo, que la entidad cuenta con una función de auditoría interna dotada de recursos adecuados y apropiados en relación con la complejidad de la entidad y la naturaleza de sus operaciones, y que informa directamente a los responsables del gobierno de la entidad.

9. Si sobre la base de su conocimiento preliminar de la función de auditoría interna, el auditor tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar, o bien para reducir su extensión es de aplicación la NIA 610 (Revisada 2013).

10. Como se comenta con más detalle en la NIA 610 (Revisada 2013), las actividades de la función de auditoría interna se diferencian de otros controles de seguimiento que puedan ser relevantes para la información financiera, tales como revisiones de información contable de gestión diseñadas para contribuir al modo en que la entidad previene o detecta incorrecciones.

11. El establecimiento de una comunicación con las personas adecuadas dentro de la función de auditoría interna de la entidad al comienzo del encargo y el mantenimiento de esa comunicación durante todo el encargo puede dar lugar a que se comparta la información de manera efectiva. Crea un entorno en el que el auditor puede ser informado de cuestiones significativas detectadas por la función de auditoría interna cuando es posible que esas cuestiones afecten a su trabajo. La NIA 200 analiza la importancia de que el auditor planifique y realice la auditoría con escepticismo profesional,75 así como de que preste especial atención a información que cuestione la fiabilidad de los documentos y las respuestas a las indagaciones que vayan a ser utilizados como evidencia de auditoría. En consecuencia, la comunicación con la función de auditoría interna durante todo el encargo puede proporcionar oportunidades para que los auditores internos pongan en conocimiento del auditor esa información. El auditor puede entonces tener en cuenta esa información en su identificación y valoración de los riesgos de incorrección material.

3. El sistema de información de la entidad puede incluir el uso de elementos manuales y automatizados, lo cual también afecta la forma en que las transacciones se inician, registran, procesan e informan. En particular, los procedimientos para iniciar, registrar, procesar e informar reportar transacciones se pueden hacer cumplir a través de las aplicaciones de las TI utilizadas por la entidad y cómo la entidad ha configurado esas aplicaciones. Además, los registros en forma de información digital pueden reemplazar o complementar los registros en forma de documentos en papel.