La auditora informtica integrada en la auditora financiera

Manual de Fiscalizacin de la Sindicatura de Comptes de la Comunitat ValencianaSeccin 310:El enfoque de auditora basado en el anlisis de los riesgosReferencia:ISSAI-ES 200 y NIA-ES 200 Acuerdo del Consejo de la Sindicatura de 15 de mayo de 2014, Manual de Fiscalizacin de la Sindicatura de Comptes de la Comunitat ValencianaSeccin 310:El enfoque de auditora basado en el anlisis de los riesgos1.El enfoque de Auditora Basado en el Anlisis de los Riesgos La NIA-ES 315 (MF315) establece que el objetivo del auditor es identificar y valorar los riesgos de incorreccin material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseo y la implementacin de respuestas a los riesgos valorados de incorreccin material.Es decir, el auditor, al planificar una auditora, debe realizar un anlisis de los riesgos de auditora que pueden existir al ejecutar el trabajo y al emitir su informe. Teniendo en cuenta ese anlisis debe disear un conjunto de procedimientos de forma que los riesgos queden reducidos a un nivel aceptable a la hora de emitir el informe de auditora. Es el denominado enfoque de auditora basado en el anlisis de los riesgos (ABAR). De acuerdo con este enfoque, el objetivo del auditor es obtener una seguridad razonable de que las cuentas anuales en su conjunto estn libres de incorrecciones materiales, debidas a fraude o error. Una seguridad razonable es un grado alto de seguridad y se alcanza cuando el auditor ha obtenido evidencia de auditora suficiente y adecuada para reducir el riesgo de auditora (es decir, el riesgo de expresar una opinin inadecuada cuando las cuentas anuales contengan incorrecciones materiales) a un nivel aceptablemente bajo. No obstante una seguridad razonable no significa un grado absoluto de seguridad, debido a que existen limitaciones inherentes a la auditora que hacen que la mayor parte de la evidencia de auditora a partir de la cual el auditor alcanza sus conclusiones y en la que basa su opinin sea ms convincente que concluyente. (NIA-ES 200 p5).As, este enfoque implica, bsicamente, tres pasos:1. Identificar y valorar el riesgo de incorrecciones materiales en las cuentas anuales (MF 315),2. Disear y ejecutar los procedimientos de auditora precisos en respuesta a los riesgos valorados y reducir el riesgo de auditora a un nivel aceptablemente bajo (MF330), y 3. Emitir un informe escrito basado en la evidencia de auditora obtenida y en las conclusiones de auditora a las que se ha llegado.2.DefinicionesA efectos del Manual de Fiscalizacin, los siguientes trminos tienen los significados que figuran a continuacin:AfirmacionesManifestaciones de la direccin, explcitas o no, incluidas en las cuentas anuales y tenidas en cuenta por el auditor al considerar los distintos tipos de incorrecciones que pueden existir.Control internoEl proceso diseado, implementado y mantenido por los responsables del gobierno de la entidad, la direccin y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecucin de los objetivos de la entidad relativos a la fiabilidad de la informacin financiera, la eficacia y eficiencia de las operaciones, as como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. El trmino "controles" se refiere a cualquier aspecto relativo a uno o ms componentes del control interno.EvaluarIdentificar y analizar los aspectos relevantes, incluyendo la aplicacin de procedimientos posteriores cuando fuere necesario, para alcanzar una conclusin especfica sobre dichos aspectos. "Evaluacin", por convencin, se utiliza nicamente en relacin con un rango de cuestiones, entre ellas la evidencia, los resultados de los procedimientos y la eficacia de la respuesta de la direccin ante un riesgo (vase tambin Valorar).ErrorUna incorreccin no intencionada contenida en las cuentas anuales, incluyendo la omisin de una cantidad o de una informacin a revelar.FraudeUn acto intencionado realizado por una o ms personas de la direccin, los responsables del gobierno de la entidad, los empleados o terceros, que conlleve la utilizacin del engao con el fin de conseguir una ventaja injusta o ilegal. (Tiene el mismo significado que la expresin irregularidad).

Generalizado (pervasive en el original ingls)Trmino utilizado al referirse a las incorrecciones, para describir los efectos de stas en las cuentas anuales o los posibles efectos de las incorrecciones que, en su caso, no se hayan detectado debido a la imposibilidad de obtener evidencia de auditora suficiente y adecuada. Son efectos generalizados sobre los estados financieros aquellos que, a juicio del auditor:(i) no se limitan a elementos, cuentas o partidas especficos de las cuentas anuales;(ii) en caso de limitarse a elementos, cuentas o partidas especficos, stos representan o podran representar una parte sustancial de las cuentas anuales; o(iii) en relacin con las revelaciones de informacin, son fundamentales para que los usuarios comprendan las cuentas anuales.Gobierno de la entidadDescribe la funcin de la persona o personas u organizaciones responsables de la supervisin de la direccin estratgica de la entidad y de las obligaciones relacionadas con la rendicin de cuentas de la entidad.Hallazgo de auditoraLos diferentes tipos de deficiencias, desviaciones con respecto a lo que debera ser o esperarse o incorrecciones que pudieran detectarse en relacin con la materia o asunto objeto de fiscalizacin. Puede tratarse de deficiencias en los controles internos; desviaciones de las normas contables y presupuestarias; incumplimiento de las disposiciones legales, normativas, contratos o acuerdos de subvencin; fraude o abuso. Incorreccin Diferencia entre la cantidad, clasificacin, presentacin o informacin revelada respecto de una partida incluida en las cuentas anuales y la cantidad, clasificacin, presentacin o revelacin de informacin requeridas respecto de dicha partida de conformidad con el marco de informacin financiera aplicable. Las incorrecciones pueden deberse a errores o fraudes. Cuando el auditor manifiesta una opinin sobre si las cuentas anuales expresan la imagen fiel, o se presentan fielmente, en todos los aspectos materiales, las incorrecciones incluyen tambin aquellos ajustes que, a juicio del auditor, es necesario realizar en las cantidades, las clasificaciones, la presentacin o la revelacin de informacin para que las cuentas anuales expresen la imagen fiel o se presenten fielmente, en todos los aspectos materiales.Procedimientos de valoracin del riesgoProcedimientos de auditora aplicados para obtener conocimiento sobre la entidad y su entorno, incluido su control interno, con el objetivo de identificar y valorar los riesgos de incorreccin material, debida a fraude o error, tanto en las cuentas anuales como en las afirmaciones concretas contenidas en stos.Procedimiento sustantivo Procedimiento de auditora diseado para detectar incorrecciones materiales en las afirmaciones. Los procedimientos sustantivos comprenden: pruebas de detalle (de tipos de transacciones, saldos contables e informacin a revelar); y procedimientos analticos sustantivos.Pruebas de controlesTambin denominadas pruebas de cumplimiento, son procedimientos de auditora diseados para evaluar la eficacia operativa de los controles en la prevencin o en la deteccin y correccin de incorrecciones materiales en las afirmaciones.Riesgo de negocio o riesgo de gestinRiesgo derivado de condiciones, hechos, circunstancias, acciones u omisiones significativos que podran afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias o derivado del establecimiento de objetivos y estrategias inadecuados.Riesgo de auditoraRiesgo de que el auditor exprese una opinin de auditora inadecuada cuando los estados financieros contienen incorrecciones materiales. El riesgo de auditora es una funcin del riesgo de incorreccin material y del riesgo de deteccin.

Riesgo de incorreccin materialRiesgo de que las cuentas anuales contengan incorrecciones materiales antes de la realizacin de la auditora. El riesgo comprende dos componentes, descritos del siguiente modo, en las afirmaciones:Riesgo inherenteSusceptibilidad de una afirmacin sobre un tipo de transaccin, saldo contable u otra revelacin de informacin a una incorreccin que pudiera ser material, ya sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los posibles controles relacionados.Riesgo de controlRiesgo de que una incorreccin que pudiera existir en una afirmacin sobre un tipo de transaccin, saldo contable u otra relevacin de informacin, y que pudiera ser material ya sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida, o detectada y corregida oportunamente, por el sistema de control interno de la entidad.Riesgo de deteccinRiesgo de que los procedimientos aplicados por el auditor para reducir el riesgo de auditora a un nivel aceptablemente bajo no detecten la existencia de una incorreccin que podra ser material, considerada individualmente o de forma agregada con otras incorrecciones.Riesgo significativoRiesgo identificado y valorado de incorreccin material que, a juicio del auditor, requiere una consideracin especial en la auditora.Seguridad razonable Un grado de seguridad alto, aunque no absoluto.ValorarAnalizar los riesgos identificados para determinar su significatividad. "Valorar" por convencin, se usa solo en relacin con el riesgo (vase tambin Evaluar).3.Etapas de la fiscalizacinMuy esquemticamente, las etapas de una auditora ejecutada con el enfoque basado en el anlisis de los riesgos son: Conocimiento de la entidadPlanificacinEjecucin

Anlisis de las cuentas anuales auditadas, valoracin de los riesgos tanto a nivel global como afirmaciones e identificacin de las reas significativas. Identificacin de los saldos, transacciones y clases de transacciones significativas. Identificacin de las actividades, de los procesos de gestin significativos, de las aplicaciones que los soportan y de los flujos de datos relacionados. Revisin de los controles generales. Adquisicin de un conocimiento de los procesos de gestin significativos, de las aplicaciones significativas y de las principales interfaces. Identificacin de los riesgos y de los controles clave de los procesos y de las aplicaciones de gestin significativas. Realizacin de pruebas de recorrido o walkthrough y evaluacin del diseo de los controles. Realizacin de pruebas del funcionamiento de los controles clave.Informe

Realizacin de procedimientos sustantivos. Anlisis de los hallazgos, elaboracin de las conclusiones y del informe.Debe tenerse presente que la planificacin de una fiscalizacin no es un proceso discreto, sino continuo, en el que si bien la mayor parte de las actividades de planificacin se realizan en las primeras etapas de la auditora, debe reajustarse, siempre que sea necesario, a lo largo del trabajo.De una forma grfica, se puede describir el proceso que se debe seguir en una auditora realizada con el enfoque basado en el anlisis de los riesgos mediante los siguientes flujogramas, en los que se aprecian las etapas o pasos a seguir por el auditor financiero con la colaboracin, en su caso, del auditor de sistemas de informacin para comprender y valorar los riesgos y los controles existentes en el ente auditado, y ejecutar los procedimientos de auditora.En el grfico se asume que la entidad opera en un entorno informatizado, circunstancia habitual hoy da. Si no fuera el caso, por tratarse de una entidad de pequea dimensin por ejemplo, el proceso sera similar, ms simplificado, pero similar.En primer lugar se realizarn los procedimientos iniciales de planificacin, y despus todos los procedimientos necesarios hasta la emisin del informe:MF315.3, MF850

Realizar pruebas de los Controles Generales relevantes (a nivel entidad, sistema y aplicaciones)

AMF850 y ssS

NO

S

Hecho por el auditor consultando al especialista en ASI

Hecho por el especialista en ASI consultando al auditor

MF315.2Anlisis de las CCAA auditadasIdentificar los procesos de gestin significativos, las aplicaciones que los soportan y sus interfacesDisear un enfoque que considere el riesgo de control como elevado.No se confiar en el C.I.Desarrollar hallazgosInformar de los resultadosFINRealizar pruebas sustantivasNO

Realizar una evaluacin preliminar del diseo de los Controles Generales TIMF315.2Parecen efectivos los CG?Son efectivos los CG?Conocimiento de la entidadIdentificar y valorar los riesgos de incorrecciones materialesMF315.1, MF315.3MF315.4, MF315.5

Figura 1

A continuacin, si la evaluacin de los controles generales ha sido positiva, se darn los siguientes pasos para cada proceso de gestin significativo:Realizar pruebas del funcionamiento de los CCAFuncionan eficazmente los CCA?Modificar la valoracin del riesgo de control y las pruebas sustantivas relacionadasRealizar pruebas sustantivas NO

SIDesarrollar hallazgosInformar de los resultados FINRealizar las pruebas sustantivas planificadas Identificar los riesgos y los Controles Clave de la Aplicacin No modificar la valoracin del riesgo de controlRealizar pruebas de recorrido

Evaluacin del diseo de los CCAMF315.3, MF86XHecho por el auditor consultando al especialista en ASIHecho por el especialista en ASI consultando al auditorMF591MF330.1MF330.1MF330.2MF330.2A

Figura 2No obstante el proceso general descrito, en determinados casos, el auditor pblico puede decidir comprobar la efectividad de los controles generales incluso si no es probable que sean efectivos o revisar los controles de los procesos/aplicaciones incluso cuando los controles generales no sean efectivos, con objeto de hacer recomendaciones para subsanar las debilidades de control que pudieran existir.Las actividades relacionadas con la identificacin y valoracin de los riesgos de incorreccin material mediante el conocimiento de la entidad y de su entorno se recogen en la seccin 315 del Manual de Fiscalizacin, y la respuesta del auditor a los riesgos valorados, en la seccin 330.12