NORMAS INTERNACIONALES DE AUDITORÍA - NIA … · Alcance de esta NIA 1 Fecha de entrada en vigor 2...

19/8/2014 Dofiscal Editores

http://pg.dofiscal.com/nxt/onlinepg/index.html# 1/54

NIAS Normas Internacionales de Audi... Normas Internacionales de Audi... Auditorías de Información Fina...

300-499 Evaluación del riesgo ...

NORMAS INTERNACIONALES DE AUDITORÍA - NIA 315 (REVISADA)

NIA 315. Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidady de su entorno

(Aplicable a las auditorías de estados financieros correspondientes a periodos terminados a partir del 15 de diciembre de 2013)

CONTENIDO

Apartado

Introducción

Alcance de esta NIA 1

Fecha de entrada en vigor 2

Objetivo 3

Definiciones 4

Requerimientos

Procedimientos de valoración del riesgo y actividadesrelacionadas 5-10

El conocimiento requerido de la entidad y su entorno,incluido su control interno 11-24

Identificación y valoración de los riesgos de incorrecciónmaterial 25-31

Documentación 32

Guía de aplicación y otras anotaciones explicativas

Procedimientos de valoración del riesgo y actividadesrelacionadas A1-A23

El conocimiento requerido de la entidad y su entorno,incluido su control interno A24-A117

Identificación y valoración de los riesgos de incorrecciónmaterial A118-A143

Documentación A144-A147

Anexo1:

Componentes del control interno

Anexo2:

Condiciones y hechos que pueden indicar la existencia deriesgos de incorrección material

La Norma Internacional de Auditoría (NIA) 315 (Revisada),Identificación y valoración de los riesgos de incorrección material



mediante el conocimiento de la entidad y de su entorno, debe

interpretarse junto con la NIA 200, Objetivos globales del auditorindependiente y realización de la auditoría de conformidad con lasNormas Internacionales de Auditoría.

Introducción

Alcance de esta NIA

1. Esta Norma Internacional de Auditoría (NIA) trata de laresponsabilidad que tiene el auditor de identificar y valorar losriesgos de incorrección material en los estados financieros,mediante el conocimiento de la entidad y de su entorno, incluidoel control interno de la entidad.

Fecha de entrada en vigor

2. Esta NIA es aplicable a las auditorías de estados financieroscorrespondientes a periodos terminados a partir del 15 dediciembre de 2013.

Objetivo

3. El objetivo del auditor es identificar y valorar los riesgos deincorrección material, debida a fraude o error, tanto en losestados financieros como en las afirmaciones, mediante elconocimiento de la entidad y de su entorno, incluido su controlinterno, con la finalidad de proporcionar una base para el diseño yla implementación de respuestas a los riesgos valorados deincorrección material.

Definiciones

4. A efectos de las NIA, los siguientes términos tienen lossignificados que figuran a continuación:

(a) Afirmaciones: manifestaciones de la dirección, explícitas ono, incluidas en los estados financieros y tenidas en cuentapor el auditor al considerar los distintos tipos deincorrecciones que pueden existir.

(b) Riesgo de negocio: riesgo derivado de condiciones, hechos,circunstancias, acciones u omisiones significativos quepodrían afectar negativamente a la capacidad de la entidadpara conseguir sus objetivos y ejecutar sus estrategias oderivado del establecimiento de objetivos y estrategiasinadecuados.

(c) Control interno: el proceso diseñado, implementado ymantenido por los responsables del gobierno de la entidad, ladirección y otro personal, con la finalidad de proporcionaruna seguridad razonable sobre la consecución de losobjetivos de la entidad relativos a la fiabilidad de lainformación financiera, la eficacia y eficiencia de lasoperaciones, así como sobre el cumplimiento de lasdisposiciones legales y reglamentarias aplicables. El término"controles" se refiere a cualquier aspecto relativo a uno omás componentes del control interno.

(d) Procedimientos de valoración del riesgo: procedimientos deauditoría aplicados para obtener conocimiento sobre laentidad y su entorno, incluido su control interno, con elobjetivo de identificar y valorar los riesgos de incorrección



material, debida a fraude o error, tanto en los estados

financieros como en las afirmaciones concretas contenidasen éstos.

(e) Riesgo significativo: riesgo identificado y valorado deincorrección material que, a juicio del auditor, requiere unaconsideración especial en la auditoría.

Requerimientos

Procedimientos de valoración del riesgo y actividadesrelacionadas

5. El auditor aplicará procedimientos de valoración del riesgo con elfin de disponer de una base para identificar y valorar los riesgosde incorrección material en los estados financieros y en lasafirmaciones. No obstante, los procedimientos de valoración delriesgo por sí solos no proporcionan evidencia de auditoríasuficiente y adecuada en la que basar la opinión de auditoría.(Ref: Apartados A1-A5)

6. Los procedimientos de valoración del riesgo incluirán lossiguientes:

(a) Indagaciones ante la dirección, ante las personas adecuadasde la función de auditoría interna (en caso de que existaesta función) y ante otras personas de la entidad que, ajuicio del auditor, puedan disponer de información que puedafacilitar la identificación de los riesgos de incorrecciónmaterial, debida a fraude o error. (Ref: Apartados A6-A13).

(b) Procedimientos analíticos. (Ref: Apartados A14-A17)

(c) Observación e inspección. (Ref: Apartado A18)

7. El auditor considerará si la información obtenida durante elproceso de aceptación y continuidad del cliente realizado por elauditor es relevante para identificar riesgos de incorrecciónmaterial.

8. Si el socio del encargo ha realizado otros encargos para laentidad, considerará si la información obtenida es relevante paraidentificar riesgos de incorrección material.

9. Cuando el auditor tenga la intención de utilizar informaciónobtenida de su experiencia anterior con la entidad y deprocedimientos de auditoría aplicados en auditorías anteriores,determinará si se han producido cambios desde la anteriorauditoría que puedan afectar a su relevancia para la auditoríaactual. (Ref: Apartados A19-A20)

10. El socio del encargo y otros miembros clave del equipo discutiránla probabilidad de que en los estados financieros de la entidadexistan incorrecciones materiales, y la aplicación del marco deinformación financiera aplicable a los hechos y circunstancias dela entidad. El socio del encargo determinará las cuestiones quedeben ser comunicadas a los miembros del equipo que noparticiparon en la discusión. (Ref: Apartados A21-A23)

El conocimiento requerido de la entidad y su entorno, incluido sucontrol interno

La entidad y su entorno

11. El auditor obtendrá conocimiento de lo siguiente:

(a) Factores relevantes sectoriales y normativos, así como otros



factores externos, incluido el marco de información financiera

aplicable. (Ref: Apartados A24-A29)

(b) La naturaleza de la entidad, en particular:

(i) sus operaciones;

(ii) sus estructuras de gobierno y propiedad;

(iii) los tipos de inversiones que la entidad realiza o tiene

previsto realizar, incluidas las inversiones en entidadescon cometido especial; y

(iv) el modo en que la entidad se estructura y la forma enque se financia para permitir al auditor comprender lostipos de transacciones, saldos contables e información arevelar que se espera encontrar en los estadosfinancieros. (Ref: Apartados A30-A34)

(c) La selección y aplicación de políticas contables por laentidad, incluidos los motivos de cambios en ellas. El auditorevaluará si las políticas contables de la entidad sonadecuadas a sus actividades y congruentes con el marco deinformación financiera aplicable, así como con las políticascontables utilizadas en el sector correspondiente. (Ref:Apartado A35)

(d) Los objetivos y las estrategias de la entidad, así como losriesgos de negocio relacionados, que puedan dar lugar aincorrecciones materiales. (Ref: Apartados A36-A42)

(e) La medición y revisión de la evolución financiera de laentidad. (Ref: Apartados A43-A48)

El control interno de la entidad

12. El auditor obtendrá conocimiento del control interno relevantepara la auditoría. Si bien es probable que la mayoría de loscontroles relevantes para la auditoría estén relacionados con lainformación financiera, no todos los controles relativos a lainformación financiera son relevantes para la auditoría. El hechode que un control, considerado individualmente o en combinacióncon otros, sea o no relevante para la auditoría es una cuestión dejuicio profesional del auditor. (Ref: Apartados A49-A72)

Naturaleza y extensión del conocimiento de los controles relevantes

13. Al obtener conocimiento de los controles relevantes para laauditoría, el auditor evaluará el diseño de dichos controles ydeterminará si se han implementado, mediante la aplicación deprocedimientos adicionales a la indagación realizada entre elpersonal de la entidad. (Ref: Apartados A73-A75)


Entorno de control

14. El auditor obtendrá conocimiento del entorno de control. Comoparte de este conocimiento, el auditor evaluará si:

(a) la dirección, bajo la supervisión de los responsables delgobierno de la entidad, ha establecido y mantenido unacultura de honestidad y de comportamiento ético; y si

(b) los puntos fuertes de los elementos del entorno de control



proporcionan colectivamente una base adecuada para losdemás componentes del control interno y si estos otroscomponentes no están menoscabados como consecuencia

de deficiencias en el entorno de control. (Ref: ApartadosA76-A86)

El proceso de valoración del riesgo por la entidad

15.El auditor obtendrá conocimiento de si la entidad tiene un procesopara:

(a) la identificación de los riesgos de negocio relevantes para losobjetivos de la información financiera;

(b) la estimación de la significatividad de los riesgos;

(c) la valoración de su probabilidad de ocurrencia; y

(d) la toma de decisiones con respecto a las actuaciones pararesponder a dichos riesgos. (Ref: Apartado A87)

10. Cuando el auditor identifique riesgos de incorrección material noidentificados por la dirección, evaluará si existía un riesgosubyacente de tal naturaleza que, a juicio del auditor, deberíahaber sido identificado por el proceso de valoración del riesgo porla entidad. Si existe dicho riesgo, el auditor obtendráconocimiento del motivo por el que el citado proceso no loidentificó, y evaluará si dicho proceso es adecuado en esascircunstancias o determinará si existe una deficiencia significativaen el control interno en relación con el proceso de valoración delriesgo por la entidad.

17. Si la entidad no ha establecido dicho proceso, o cuenta con unoad hoc, el auditor discutirá con la dirección si han sidoidentificados riesgos de negocio relevantes para los objetivos dela información financiera y el modo en que se les ha dadorespuesta. El auditor evaluará si es adecuada, en función de lascircunstancias, la ausencia de un proceso de valoración del riesgodocumentado o determinará si constituye una deficienciasignificativa en el control interno. (Ref: Apartado A88)

El sistema de información, incluidos los procesos de negociorelacionados, relevante para la información financiera, y lacomunicación.

18. El auditor obtendrá conocimiento del sistema de información,incluidos los procesos de negocio relacionados, relevante para lainformación financiera, incluidas las siguientes áreas:

(a) los tipos de transacciones en las operaciones de la entidadque son significativos para los estados financieros;

(b) los procedimientos, relativos tanto a las Tecnologías de laInformación (TI) como a los sistemas manuales, mediante losque dichas transacciones se inician, se registran, seprocesan, se corrigen en caso necesario, se trasladan al libromayor y se incluyen en los estados financieros;

(c) los registros contables relacionados, la información que sirvede soporte y las cuentas específicas de los estadosfinancieros que son utilizados para iniciar, registrar yprocesar transacciones e informar sobre ellas; esto incluye lacorrección de información incorrecta y el modo en que lainformación se traslada al libro mayor; los registros puedenser tanto manuales como electrónicos;



(d) el modo en que el sistema de información captura los hechosy condiciones, distintos de las transacciones, significativospara los estados financieros;

(e) el proceso de información financiera utilizado para lapreparación de los estados financieros de la entidad,incluidas las estimaciones contables y la información arevelar significativas; y

(f) los controles sobre los asientos en el libro diario, incluidosaquellos asientos que no son estándar y que se utilizan pararegistrar transacciones o ajustes no recurrentes o inusuales.(Ref: Apartados A89-A93)

19. El auditor obtendrá conocimiento del modo en que la entidadcomunica las funciones y responsabilidades relativas a lainformación financiera y las cuestiones significativas relacionadascon dicha información financiera, incluidas: (Ref: Apartados A94-A95)

(a) comunicaciones entre la dirección y los responsables delgobierno de la entidad; y

(b) comunicaciones externas, tales como las realizadas con lasautoridades reguladoras.

Actividades de control relevantes para la auditoría

20. El auditor obtendrá conocimiento de las actividades de controlrelevantes para la auditoría, que serán aquellas que, a su juicio,es necesario conocer para valorar los riesgos de incorrecciónmaterial en las afirmaciones y para diseñar los procedimientos deauditoría posteriores que respondan a los riesgos valorados. Unaauditoría no requiere el conocimiento de todas las actividades decontrol relacionadas con cada tipo significativo de transacción,de saldo contable y de información a revelar en los estadosfinancieros o con cada afirmación correspondiente a ellos. (Ref:Apartados A96-A102)

21. Para llegar a conocer las actividades de control de la entidad, elauditor obtendrá conocimiento del modo en que la entidad harespondido a los riesgos derivados de las TI. (Ref: ApartadosA103-A105)

Seguimiento de los controles

22. El auditor obtendrá conocimiento de las principales actividadesque la entidad lleva a cabo para realizar un seguimiento delcontrol interno relativo a la información financiera, incluidas lasactividades de control interno relevantes para la auditoría, y delmodo en que la entidad inicia medidas correctoras de lasdeficiencias en sus controles. (Ref: Apartados A106-A108)

23. Si la entidad cuenta con una función de auditoría interna1, elauditor obtendrá conocimiento de:

1 A efectos de las NIA el término "función de auditoría interna" sedefine en la NIA 610 (Revisada), Utilización del trabajo de losauditores internos, apartado 14.

(a) la naturaleza de las responsabilidades de la función deauditoría interna, su estatus dentro de la organización y

(b) las actividades que han sido o que serán realizadas. (Ref:Apartados A109-A116)



24. El auditor obtendrá conocimiento de las fuentes de informaciónutilizadas en las actividades de seguimiento realizadas por laentidad y la base de la dirección para considerar que dichainformación es suficientemente fiable para dicha finalidad. (Ref:Apartado A117)

Identificación y valoración de los riesgos de incorrecciónmaterial

25. El auditor identificará y valorará los riesgos de incorrecciónmaterial en:

(a) los estados financieros; y (Ref: Apartados A118-A121)

(b) las afirmaciones sobre tipos de transacciones, saldoscontables e información a revelar (Ref: Apartados A122-A126)

que le proporcionen una base para el diseño y la realización de losprocedimientos de auditoría posteriores.

26. Con esta finalidad, el auditor:

(a) identificará los riesgos mediante el proceso de conocimientode la entidad y de su entorno, incluidos los controlesrelevantes relacionados con los riesgos, y por medio de laconsideración de los tipos de transacciones, saldoscontables e información a revelar en los estados financieros;(Ref: Apartados A127-A128)

(b) valorará los riesgos identificados y evaluará si se relacionande modo generalizado con los estados financieros en suconjunto y si pueden afectar a muchas afirmaciones;

(c) relacionará los riesgos identificados con posiblesincorrecciones en las afirmaciones, teniendo en cuenta loscontroles relevantes que el auditor tiene intención de probar;y (Ref: Apartados A129-A131)

(d) considerará la probabilidad de que existan incorrecciones,incluida la posibilidad de múltiples incorrecciones, y si laincorrección potencial podría, por su magnitud, constituir unaincorrección material.

Riesgos que requieren una consideración especial de auditoría

27. Como parte de la valoración del riesgo descrita en el apartado 25,el auditor determinará si alguno de los riesgos identificados es, asu juicio, un riesgo significativo. En el ejercicio de dicho juicio, elauditor excluirá los efectos de los controles identificadosrelacionados con el riesgo.

28. Para juzgar los riesgos que son significativos, el auditorconsiderará, al menos, lo siguiente:

(a) si se trata de un riesgo de fraude;

(b) si el riesgo está relacionado con significativos y recientesacontecimientos económicos, contables o de otra naturalezay, en consecuencia, requiere una atención especial;

(c) la complejidad de las transacciones;

(d) si el riesgo afecta a transacciones significativas con partesvinculadas;



(e) el grado de subjetividad de la medición de la informaciónfinanciera relacionada con el riesgo, en especial aquellasmediciones que conllevan un elevado grado de incertidumbre;y

(f) si el riesgo afecta a transacciones significativas ajenas alcurso normal de los negocios de la entidad, o que, por otrasrazones, parecen inusuales. (Ref: Apartados A132-A136)

29. Si el auditor ha determinado que existe un riesgo significativo,obtendrá conocimiento de los controles de la entidad, incluidaslas actividades de control, correspondientes a dicho riesgo. (Ref:Apartados A137-A139)

Riesgos para los que los procedimientos sustantivos por sí solos noproporcionan evidencia de auditoría suficiente y adecuada

30. Con respecto a ciertos riesgos, el auditor puede juzgar que no esposible o factible obtener evidencia de auditoría suficiente yadecuada aplicando únicamente procedimientos sustantivos.Dichos riesgos pueden estar relacionados con el registro inexactoo incompleto de tipos de transacciones o saldos contablesrutinarios y significativos, cuyas características permiten amenudo un procesamiento muy automatizado con escasa oninguna intervención manual. En tales casos, los controles de laentidad sobre dichos riesgos son relevantes para la auditoría y elauditor obtendrá conocimiento de ellos. (Ref: Apartados A140-A142)

Revisión de la valoración del riesgo

31. La valoración de los riesgos de incorrección material en lasafirmaciones puede variar en el transcurso de la auditoría, amedida que se obtiene evidencia de auditoría adicional. Cuando elauditor haya obtenido evidencia de auditoría de la aplicación deprocedimientos de auditoría posteriores, o bien cuando hayaobtenido nueva información, y en uno y otro caso seanincongruentes con la evidencia de auditoría sobre la que elauditor basó inicialmente la valoración, el auditor revisará lavaloración y modificará, en consecuencia, los procedimientos deauditoría posteriores que hubiera planificado. (Ref: ApartadoA143)

Documentación

32. El auditor incluirá en la documentación de auditoría:2

2 NIA 230, Documentación de auditoría, apartados 8-11 y A6.

(a) los resultados de la discusión entre el equipo del encargo,cuando lo requiera el apartado 10, así como las decisionessignificativas que se tomaron;

(b) los elementos clave del conocimiento obtenido en relacióncon cada uno de los aspectos de la entidad y de su entorno,detallados en el apartado 11, así como de cada uno de loscomponentes del control interno enumerados en losapartados 14-24; las fuentes de información de las queproviene dicho conocimiento; y los procedimientos devaloración del riesgo aplicados;

(c) los riesgos de incorrección material en los estados



financieros y en las afirmaciones, identificados y valorados

de conformidad con lo requerido en el apartado 25; y

(d) los riesgos identificados, así como los controles relacionadoscon ellos, respecto de los que el auditor ha obtenidoconocimiento como resultado de los requerimientos de losapartados 27-30. (Ref: Apartados A144-A147)

***

Guía de aplicación y otras anotaciones explicativas

Procedimientos de valoración del riesgo y actividadesrelacionadas (Ref: Apartado 5)

A1. La obtención de conocimiento de la entidad y su entorno,incluido el control interno de la entidad (denominado en losucesivo "conocimiento de la entidad"), es un procesocontinuo y dinámico de recopilación, actualización y análisisde información durante toda la auditoría. El conocimientoconstituye un marco de referencia dentro del cual el auditorplanifica la auditoría y aplica su juicio profesional a lo largo deella. Por ejemplo:

• en la valoración de los riesgos de incorrección material enlos estados financieros;

• en la determinación de la importancia relativa, de

conformidad con la NIA 320;3

3 NIA 320, Importancia relativa o materialidad en laplanificación y ejecución de la auditoría.

• al considerar la adecuación de la selección y aplicación depolíticas contables, así como de las revelaciones deinformación en los estados financieros;

• en la identificación de las áreas en las que puede resultarnecesaria una consideración especial de la auditoría; porejemplo, en transacciones con partes vinculadas, en laadecuación de la aplicación, por parte de la dirección, dela hipótesis de empresa en funcionamiento, o en laconsideración de la finalidad empresarial de lastransacciones;

• en el desarrollo de expectativas para su utilización en laaplicación de procedimientos analíticos;

• al responder a los riesgos valorados de incorrecciónmaterial, incluido el diseño y la aplicación deprocedimientos de auditoría posteriores con el fin deobtener evidencia de auditoría suficiente y adecuada; y

• en la evaluación de la suficiencia y adecuación de laevidencia de auditoría obtenida, tal como la adecuaciónde las hipótesis y de las manifestaciones verbales yescritas de la dirección.

A2. La información obtenida de la aplicación de procedimientos devaloración del riesgo y de las actividades relacionadas puede



ser utilizada por el auditor como evidencia de auditoría parasustentar valoraciones de riesgos de incorrección material.Asimismo, el auditor puede obtener evidencia de auditoríasobre tipos de transacciones, saldos contables o información

a revelar y las afirmaciones relacionadas, así como sobre laeficacia operativa de los controles, incluso aunque dichosprocedimientos no fueran específicamente planificados comoprocedimientos sustantivos o como pruebas de controles. Elauditor también puede elegir aplicar procedimientossustantivos o pruebas de controles junto con procedimientosde valoración del riesgo porque resulte eficiente.

A3. El auditor aplica su juicio profesional para determinar el gradode conocimiento necesario. La principal consideración delauditor es determinar si el conocimiento obtenido essuficiente para alcanzar los objetivos establecidos en lapresente NIA. El grado de conocimiento general de la entidadque se requiere al auditor es inferior al poseído por ladirección para dirigir la entidad.

A4. Los riesgos que deben ser valorados incluyen, tanto los quese deben a error como los debidos a fraude, y ambos setratan en la presente NIA. Sin embargo, la significatividad delfraude es tal que la NIA 240 incluye requerimientos yorientaciones adicionales sobre los procedimientos devaloración del riesgo y actividades relacionadas para obtenerinformación con el fin de identificar los riesgos de incorrección

material debida a fraude.4

4 NIA 240, Responsabilidades del auditor en la auditoría deestados financieros con respecto al fraude, apartados 12-24.

A5. Si bien se requiere que el auditor aplique todos losprocedimientos de valoración del riesgo descritos en elapartado 6 para la obtención del conocimiento de la entidad(véanse los apartados 11-24), no se requiere que el auditoraplique todos ellos para cada aspecto de dicho conocimiento.Se pueden aplicar otros procedimientos cuando la informaciónque se va a obtener de ellos pueda ser útil para laidentificación de riesgos de incorrección material. Comoejemplos de dichos procedimientos cabe citar:

• La revisión de información obtenida de fuentes externas,tales como revistas de negocios y económicas, informesde analistas, de entidades bancarias o de agencias decalificación, o bien de publicaciones regulatorias ofinancieras.

• La realización de indagaciones entre los asesores jurídicosexternos o entre los expertos en valoraciones a los que laentidad haya acudido.

Indagaciones ante la dirección, ante la función de auditoría interna yante otras personas de la entidad [Ref: Apartado 6(a)]

A6. Una parte importante de la información obtenida por medio delas indagaciones del auditor procede de la dirección y de losresponsables de la información financiera. El auditor tambiénpuede obtener información mediante indagaciones ante lafunción de auditoría interna, en caso de que la entidad



disponga de esta función, y entre otras personas de la

entidad.

A7. El auditor también puede obtener información, o unaperspectiva diferente en la identificación de riesgos deincorrección material mediante indagaciones entre otras

personas de la entidad y entre otros empleados condiferentes niveles de autoridad. Por ejemplo:

• Las indagaciones ante los responsables del gobierno de laentidad pueden ayudar al auditor a comprender el entornoen el que se preparan los estados financieros. La NIA

2605 subraya la importancia de una comunicaciónrecíproca eficaz para facilitar al auditor la obtención deinformación de los responsables del gobierno de la entidada este respecto.

5 NIA 260, Comunicación con los responsables del gobiernode la entidad, apartado 4(b).

• Las indagaciones entre empleados que participan en lapuesta en marcha, procesamiento o registro detransacciones complejas o inusuales pueden ayudar alauditor a evaluar la adecuación de la selección yaplicación de ciertas políticas contables.

• Las indagaciones ante los asesores jurídicos internospueden proporcionar información acerca de cuestiones,tales como: litigios, cumplimiento de las disposicioneslegales y reglamentarias, conocimiento de fraude o deindicios de fraude que afecten a la entidad, garantías,obligaciones post-venta, acuerdos (como negociosconjuntos) con socios comerciales y el significado detérminos contractuales.

• Las indagaciones entre el personal de los departamentosde mercadotecnia o de ventas pueden proporcionarinformación acerca de los cambios en las estrategias demarketing de la entidad, tendencias de las ventas oacuerdos contractuales con los clientes.

• Las indagaciones ante la función de administración delriesgo (o ante los que desempeñan ese papel) puedenproporcionar información acerca de los riesgos operativosy regulatorios que pueden afectar a la informaciónfinanciera.

• Las indagaciones dirigidas al personal de sistemas deinformación pueden proporcionar información acerca decambios en sistemas, fallos de sistemas o de controles uotros riesgos relacionados con los sistemas deinformación.

A8. Puesto que la obtención de conocimiento de la entidad y suentorno es un proceso continuo y dinámico, las indagacionesdel auditor pueden tener lugar durante toda la auditoría.

Indagaciones ante la función de auditoría interna

A9. En el caso de que la entidad disponga de una función deauditoría interna, las indagaciones entre las personasadecuadas pertenecientes a esa función pueden proporcionar



información útil para el auditor en su obtención deconocimiento de la entidad y su entorno, y en la identificacióny valoración de riesgos de incorrección material en losestados financieros y en las afirmaciones. En la realización desu trabajo, es probable que la función de auditoría internahaya obtenido información acerca de las operaciones yriesgos de negocio de la entidad y que disponga de hallazgos

basados en dicho trabajo, tales como deficiencias de controlo riesgos identificados, que pueden proporcionar datosvaliosos para el conocimiento de la entidad por el auditor, susvaloraciones del riesgo u otros aspectos de la auditoría. Enconsecuencia, las indagaciones se realizan, tanto si el auditortiene o no previsto utilizar el trabajo de los auditores internospara modificar la naturaleza o el momento de realización, obien, para reducir la extensión de los procedimientos de

auditoría a aplicar.6 Indagaciones especialmente relevantes

pueden tratar de cuestiones que la función de auditoríainterna haya comunicado a los responsables del gobierno de laentidad y de los resultados del proceso de valoración delriesgo por la propia función.

6 Los requerimientos al respecto se encuentran en la NIA 610(Revisada).

A10. Si, sobre la base de las indagaciones del auditor, parece queexisten hallazgos que pueden ser relevantes para lainformación financiera de la entidad y para la auditoría, elauditor puede considerar adecuado leer los correspondientesinformes de la función de auditoría interna. Como ejemplos deinformes de la función de auditoría interna que pueden serrelevantes están sus documentos de estrategia yplanificación e informes que han sido preparados para ladirección o los responsables del gobierno de la entidad en losque se describen los hallazgos de las revisiones realizadas porla función de auditoría interna.

A11. Adicionalmente, de conformidad con la NIA 240,7 si la funciónde auditoría interna proporciona al auditor información relativaa algún fraude, indicio de fraude o denuncia de fraude, elauditor lo tendrá en cuenta en su identificación del riesgo deincorrección material debida a fraude.

7 NIA 240, apartado 19

A12. Las personas adecuadas de la función de auditoría internaentre los que se realizan las indagaciones son aquéllas que, ajuicio del auditor, poseen el conocimiento, experiencia yautoridad adecuados, tales como el responsable de auditoríainterna o, según las circunstancias, otras personas dentro dela función. El auditor también puede considerar adecuadomantener reuniones periódicas con estas personas.

Consideraciones específicas para entidades del sector público [Ref:Apartado 6(a)]

A13. Los auditores de entidades del sector público a menudotienen responsabilidades adicionales en relación con el controlinterno y con el cumplimiento de las disposiciones legales yreglamentarias aplicables. Las indagaciones entre las personas



adecuadas de la función de auditoría interna pueden facilitaral auditor la identificación de riesgos de incumplimientosmateriales de disposiciones legales y reglamentarias aplicablesy de riesgos de deficiencias del control interno sobre la

información financiera.

Procedimientos analíticos [Ref: Apartado 6(b)]

A14. Los procedimientos analíticos aplicados como procedimientosde valoración del riesgo pueden identificar aspectos de laentidad que el auditor no conocía y facilitar la valoración deriesgos de incorrección material con el fin de disponer de unabase para el diseño y la implementación de respuestas a losriesgos valorados. Los procedimientos analíticos aplicadoscomo procedimientos de valoración del riesgo pueden incluirinformación, tanto financiera como no financiera, como, porejemplo, la relación entre las ventas y la superficie destinadaa las ventas o el volumen de los productos vendidos.

A15. Los procedimientos analíticos pueden ayudar a laidentificación de la existencia de transacciones o hechosinusuales, así como de cantidades, ratios y tendencias quepueden poner de manifiesto cuestiones que tenganimplicaciones para la auditoría. Las relaciones inusuales oinesperadas que se identifiquen pueden facilitar al auditor laidentificación de riesgos de incorrección material,especialmente los debidos al fraude.

A16. Sin embargo, cuando en dichos procedimientos analíticos seutilicen datos con un elevado grado de agregación (comopuede ser el caso de procedimientos analíticos aplicadoscomo procedimientos de valoración del riesgo), los resultadosde dichos procedimientos analíticos sólo proporcionan unaindicación general inicial sobre la posible existencia de unaincorrección material. En consecuencia, en dichos casos, laconsideración de otra información obtenida durante laidentificación de riesgos de incorrección material, junto conlos resultados de dichos procedimientos analíticos puedefacilitar al auditor la comprensión y la evaluación de losresultados de los procedimientos analíticos.

Consideraciones específicas para entidades de pequeña dimensión

A17. Algunas entidades de pequeña dimensión pueden no disponerde información financiera intermedia o mensual que puedautilizarse para la aplicación de procedimientos analíticos. Enestas circunstancias, aunque el auditor pueda aplicarprocedimientos analíticos limitados con el fin de planificar laauditoría u obtener alguna información mediante laindagación, puede resultar necesario que el auditor planifiqueaplicar procedimientos analíticos para identificar y valorar losriesgos de incorrección material cuando esté disponible unprimer borrador de los estados financieros de la entidad.

Observación e inspección [Ref: Apartado 6(c)]



A18. La observación y la inspección pueden dar soporte a lasindagaciones ante la dirección y ante otras personas, ypueden asimismo proporcionar información acerca de laentidad y de su entorno. Ejemplos de dichos procedimientosde auditoría incluyen la observación o inspección de:

• Las operaciones de la entidad.

•Documentos (como planes y estrategias de negocio),registros y manuales de control interno.

•

Informes preparados por la dirección (como por ejemploinformes de gestión trimestrales y estados financieros

intermedios) y por los responsables del gobierno de laentidad (como por ejemplo actas de las reuniones delconsejo de administración).

• Los locales e instalaciones industriales de la entidad.

Información obtenida en periodos anteriores (Ref: Apartado 9)

A19. La experiencia previa del auditor con la entidad y losprocedimientos de auditoría aplicados en auditorías anteriorespueden proporcionar al auditor información sobre cuestionescomo:

•Incorrecciones pasadas y si fueron oportunamentecorregidas.

•La naturaleza de la entidad y su entorno, y el controlinterno de la entidad (incluidas las deficiencias en elcontrol interno).

•

Cambios significativos que pueden haberse producido enla entidad o en sus operaciones desde el periodo anterior,que pueden facilitar al auditor la obtención deconocimiento suficiente de la entidad para identificar yvalorar los riesgos de incorrección material.

A20. Si el auditor tiene intención de utilizar la información obtenidaen periodos anteriores para los fines de la auditoría actual,determinará si sigue siendo relevante. Esto se debe a que loscambios en el entorno de control, por ejemplo, puedenafectar a la relevancia de la información obtenida en elejercicio anterior. Con el fin de determinar si se han producidocambios que puedan afectar a la relevancia de dichainformación, el auditor puede realizar indagaciones y aplicarotros procedimientos de auditoría adecuados, tales como lacomprobación paso a paso de sistemas relevantes.

Discusión entre los miembros del equipo del encargo (Ref: Apartado10)

A21. La discusión entre los miembros del equipo del encargo sobrela probabilidad de que en los estados financieros de la entidadexistan incorrecciones materiales:

• Proporciona una oportunidad a los miembros del equipo delencargo con más experiencia, incluido el socio delencargo, de compartir su información basada en suconocimiento de la entidad.



• Permite a los miembros del equipo del encargointercambiar información sobre los riesgos de negocio alos que está sometida la entidad, así como sobre el modoen que los estados financieros de la entidad pueden estarexpuestos a incorrecciones materiales debidas a fraude oerror y sobre su posible localización.

• Facilita a los miembros del equipo del encargo laobtención de un mejor conocimiento de la posibilidad deque los estados financieros contengan una incorrecciónmaterial en el área específica que les ha sido asignada,así como la comprensión de la manera en que losresultados de los procedimientos de auditoría aplicados

por ellos pueden afectar a otros aspectos de la auditoría,incluidas las decisiones sobre la naturaleza, momento derealización y extensión de procedimientos de auditoríaposteriores.

• Proporciona una base para que los miembros del equipodel encargo se comuniquen y compartan nuevainformación, obtenida en el curso de la auditoría, quepuede afectar a la valoración del riesgo de incorrecciónmaterial o a los procedimientos de auditoría realizadospara responder a dichos riesgos.

La NIA 240 proporciona requerimientos y orientacionesadicionales en relación con la discusión entre los miembros del

equipo del encargo sobre los riesgos de fraude.8

8 NIA 240, apartado 15

A22. No siempre es necesario o práctico que participen todos losmiembros en una misma discusión (como, por ejemplo, en elcaso de una auditoría en múltiples ubicaciones), ni esnecesario que todos los miembros del equipo del encargoestén informados de todas las decisiones que se tomen en ladiscusión. El socio del encargo puede discutir las cuestionescon miembros clave del equipo del encargo, incluidos, si seconsidera adecuado, aquéllos con aptitudes o conocimientosespecíficos y los responsables de las auditorías de loscomponentes, delegando la discusión con otros miembros,teniendo en cuenta la extensión de la comunicación a latotalidad del equipo del encargo que se considera necesaria.Puede ser útil un plan de comunicaciones acordado por elsocio del encargo.


A23. Numerosas auditorías pequeñas las lleva a cabo en sutotalidad el socio del encargo (que puede ser un profesionalejerciente individual). En estas situaciones, el socio delencargo, que ha desarrollado personalmente la planificaciónde la auditoría, tiene la responsabilidad de considerar lasusceptibilidad de los estados financieros de la entidad aincorrecciones materiales debidas a fraude o error.

El conocimiento requerido de la entidad y su entorno, incluido sucontrol interno



La entidad y su entorno

Factores sectoriales, normativos y otros factores externos [Ref:Apartado 11(a)]

Factores sectoriales

A24. Los factores sectoriales relevantes incluyen las condicionesrelativas al sector, tales como el entorno competitivo, lasrelaciones con proveedores y clientes y los avancestecnológicos. Ejemplos de cuestiones que el auditor puedeconsiderar incluyen:

•El mercado y la competencia, incluida la demanda, lacapacidad y la competencia en precios.

• Actividad cíclica o estacional.

•Tecnología productiva relativa a los productos de laentidad.

• Disponibilidad y coste de la energía.

A25. El sector en el que la entidad desarrolla su actividad puededar lugar a riesgos específicos de incorrección materialdebidos a la naturaleza de los negocios o al grado deregulación. Por ejemplo, contratos a largo plazo puedenimplicar estimaciones significativas de ingresos y gastos queden lugar a riesgos de incorrección material. En estos casos,es importante que el equipo del encargo incluya miembros con

el conocimiento y la experiencia suficientes. 9

9 NIA 220, Control de calidad de la auditoría de estadosfinancieros, apartado 14.

Factores normativos

A26. Los factores normativos relevantes incluyen el entornonormativo. El entorno normativo comprende, entre otros, elmarco de información financiera aplicable y el entorno legal ypolítico. Los siguientes son ejemplos de cuestiones que elauditor puede tener en cuenta:

• Principios contables y prácticas sectoriales específicas.

• Marco normativo en el caso de un sector regulado.

• La legislación y regulación que afecten significativamentea las operaciones de la entidad, incluidas las actividadesde supervisión directa.

• Régimen fiscal (societario y otro).

• Políticas gubernamentales que afecten en la actualidad aldesarrollo de la actividad de la entidad, tales comopolítica monetaria, incluidos los controles de cambio,política fiscal, incentivos financieros (por ejemplo,programas de ayuda públicos), y políticas arancelarias ode restricción al comercio.

• Requerimientos medioambientales que afecten al sector ya la actividad de la entidad.

A27. La NIA 250 incluye algunos requerimientos específicos enrelación con el marco normativo aplicable a la entidad y al



sector en el que opera.10

10 NIA 250, Consideración de las disposiciones legales yreglamentarias en la auditoría de estados financieros, apartado12.

Consideraciones específicas para entidades del sector público

A28. En el caso de la auditoría de entidades del sector público, lasdisposiciones legales, reglamentarias u otras disposicionespueden afectar a las operaciones de la entidad. Esindispensable considerar estos elementos para conocer laentidad y su entorno.

Otros factores externos

A29. Como ejemplos de otros factores externos que afectan a laentidad y que el auditor puede considerar están lascondiciones económicas generales, los tipos de interés y ladisponibilidad de financiación, así como la inflación o larevaluación de la moneda.

Naturaleza de la entidad [Ref: Apartado 11(b)]

A30. El conocimiento de la naturaleza de la entidad permite alauditor comprender cuestiones como:

• Si la entidad tiene una estructura compleja; por ejemplo,con entidades dependientes u otros componentes enmúltiples ubicaciones. Las estructuras complejas amenudo implican cuestiones que pueden dar lugar ariesgos de incorrección material. Entre esas cuestionesestán, por ejemplo, las relativas a la adecuadacontabilización del fondo de comercio, de los negociosconjuntos, de las inversiones o de las entidades concometido especial.

• La propiedad y las relaciones entre los propietarios y otraspersonas o entidades. Dicho conocimiento facilita ladeterminación de si las transacciones con partesvinculadas han sido adecuadamente identificadas y

contabilizadas. La NIA 55011 establece requerimientos yproporciona orientaciones para las consideraciones delauditor relativas a las partes vinculadas.

11 NIA 550, Partes vinculadas.

A31. Entre los ejemplos de cuestiones que el auditor puedeconsiderar para obtener conocimiento de la naturaleza de laentidad, se incluyen:

• Actividad operativa, tales como:

º Naturaleza de las fuentes de ingresos, productos oservicios, y mercados, incluida la participación en elcomercio electrónico, como las ventas por Internet ylas actividades de marketing.

º Desarrollo de las operaciones (por ejemplo, etapas y

métodos de producción, o actividades expuestas ariesgos medioambientales).



º Alianzas, negocios conjuntos y externalización deactividades.

º Dispersión geográfica y segmentación sectorial.

º Ubicación de las instalaciones de producción,

almacenes y oficinas, así como ubicación y cantidadesde existencias.

º Clientes clave y proveedores importantes de bienes yservicios, acuerdos laborales (incluida la existencia deconvenios colectivos, compromisos por pensiones uotros beneficios posteriores a la jubilación, acuerdos deopciones sobre acciones y de bonos de incentivos, asícomo la regulación gubernamental en relación con lascuestiones laborales).

º Actividades y gastos en investigación y desarrollo.

º Transacciones con partes vinculadas.

• Inversiones y actividades de inversión, tales como:

º Adquisiciones o desinversiones previstas o

recientemente realizadas.

º Inversiones y disposiciones de valores y préstamos.

º Actividades de inversión en capital.

º Inversiones en entidades no consolidadas, incluidas

sociedades, negocios conjuntos y entidades concometido especial.

• Financiación y actividades de financiación, tales como:

º Principales entidades dependientes y asociadas,

incluidas estructuras consolidadas y no consolidadas.

º Estructura de la deuda y sus condiciones, incluidos los

acuerdos de financiación fuera de balance y losacuerdos de arrendamiento.

º Beneficiarios efectivos (nacionales, extranjeros,

reputación comercial y experiencia) y partesvinculadas.

º Uso de instrumentos financieros derivados.

• Información financiera, tal como:

º Principios contables y prácticas sectoriales específicas,incluidas las categorías significativas específicas delsector (por ejemplo, préstamos e inversiones en elcaso del sector bancario, o investigación y desarrolloen la industria farmacéutica).

º Prácticas de reconocimiento de ingresos.

º Contabilización a valor razonable.

º Activos, pasivos y transacciones en moneda

extranjera.

º Contabilización de transacciones inusuales o complejas

incluidas aquéllas en áreas controvertidas o novedosas(por ejemplo, contabilización de pagos en acciones).

A32. Los cambios significativos en la entidad con respecto aperiodos anteriores pueden originar o modificar los riesgos de



incorrección material.

Naturaleza de las entidades con cometido especial

A33. Una entidad con cometido especial (denominada en algunoscasos vehículo con cometido especial) es una entidadgeneralmente constituida con un propósito limitado y biendefinido, como por ejemplo llevar a cabo un arrendamiento ouna titulización de activos financieros, o desarrollaractividades de investigación y desarrollo. Puede adoptar laforma de una sociedad anónima, otro tipo de sociedad, unfideicomiso o una entidad no constituida con forma jurídica desociedad. La entidad por cuenta de la que se ha constituidola entidad con cometido especial puede a menudo transferirleactivos (por ejemplo, como parte de una transacción para darde baja activos financieros), obtener el derecho a utilizar sus

activos, o prestarle servicios, a la vez que la entidad concometido especial puede obtener financiación de otras partes.Como se indica en la NIA 550, en algunas circunstancias, unaentidad con cometido especial puede ser una parte vinculada

de la entidad.12

12 NIA 550, apartado A7.

A34. Los marcos de información financiera a menudo establecencondiciones detalladas para delimitar lo que se entiende porcontrol, o circunstancias en las cuales la entidad concometido especial debería ser considerada consolidable. Lainterpretación de los requerimientos de dichos marcos amenudo exige un conocimiento detallado de los acuerdosrelevantes en los que participa la entidad con cometidoespecial.

La selección y aplicación de políticas contables por la entidad [Ref:Apartado 11(c)]

A35. El conocimiento de la selección y aplicación de políticascontables puede comprender cuestiones como:

• Los métodos utilizados por la entidad para contabilizartransacciones significativas e inusuales.

• El efecto de políticas contables significativas en áreasemergentes o controvertidas para las que hay una faltade orientaciones autorizadas o de consenso.

• Cambios en las políticas contables de la entidad.

• Normas de información financiera y disposiciones legales yreglamentarias que son nuevas para la entidad, así comoel modo y momento en que la entidad adoptará dichosrequerimientos.

Objetivos y estrategias, así como riesgos de negocio relacionados

[Ref: Apartado 11(d)]

A36. La entidad desarrolla su actividad dentro de un contexto defactores sectoriales y regulatorios, así como de otros factoresinternos y externos. Para responder a dichos factores, la



dirección o los responsables del gobierno de la entidad definenobjetivos, que constituyen los planes generales de la entidad.Las estrategias son los enfoques que utilizará la direcciónpara intentar alcanzar sus objetivos. Los objetivos yestrategias de la entidad pueden cambiar con el transcurso

del tiempo.

A37. El riesgo de negocio es más amplio que el riesgo deincorrección material en los estados financieros, aunque loengloba. El riesgo de negocio puede surgir del cambio o de lacomplejidad. No reconocer la necesidad de cambio tambiénpuede dar lugar a un riesgo de negocio. El riesgo de negociopuede originarse, por ejemplo, por:

• el desarrollo de nuevos productos o servicios que puedenresultar fallidos;

• un mercado que, incluso si ha sido desarrollado con éxito,es inadecuado para sustentar un producto o servicio; o

• defectos en un producto o servicio que pueden dar lugara obligaciones y poner en riesgo la reputación.

A38. El conocimiento de los riesgos de negocio a los que seenfrenta la entidad aumenta la probabilidad de identificar losriesgos de incorrección material, puesto que la mayor partede los riesgos de negocio acaban teniendo consecuenciasfinancieras y, por lo tanto, un efecto en los estadosfinancieros. Sin embargo, el auditor no tiene la responsabilidadde identificar o valorar todos los riesgos de negocio ya que notodos ellos originan riesgos de incorrección material.

A39. Como ejemplos de cuestiones que el auditor puede tener encuenta para obtener conocimiento de los objetivos, lasestrategias y los correspondientes riesgos de negocio de laentidad que puedan dar lugar a un riesgo de incorrecciónmaterial en los estados financieros cabe citar los siguientes:

• Desarrollos sectoriales (un riesgo de negocio potencialrelacionado puede ser, por ejemplo, que la entidad nocuente con el personal o la especialización para hacerfrente a los cambios en el sector).

• Nuevos productos y servicios (un riesgo de negociopotencial relacionado puede ser, por ejemplo, el aumentode las responsabilidades ligadas a los productos).

• Expansión del negocio (un riesgo de negocio potencialrelacionado con ello puede ser, por ejemplo, que lademanda no haya sido estimada correctamente).

• Nuevos requerimientos contables (un riesgo de negociopotencial relacionado puede ser, por ejemplo, unaimplementación incompleta o incorrecta, o un incrementode los costos).

• Requerimientos normativos (un riesgo de negociopotencial relacionado puede ser, por ejemplo, una mayorvulnerabilidad desde un punto de vista jurídico).

• Requerimientos de financiación actuales y prospectivos(un riesgo de negocio potencial relacionado puede ser,por ejemplo, la pérdida de financiación debido a la



incapacidad de la entidad de cumplir los requerimientos).

• La utilización de TI (un riesgo de negocio potencialrelacionado puede ser, por ejemplo, que los sistemas yprocesos sean incompatibles).

• Los efectos de implementar una estrategia, en especialcualquier efecto que pueda dar lugar a nuevosrequerimientos contables (un riesgo de negocio potencialrelacionado puede ser, por ejemplo, una implementaciónincompleta o incorrecta).

A40. Un riesgo de negocio puede tener una consecuenciainmediata sobre el riesgo de incorrección material para tiposde transacciones, saldos contables e información a revelar enlas afirmaciones o en los estados financieros. Por ejemplo, elriesgo de negocio originado por una reducción de la clientelapuede incrementar el riesgo de incorrección material ligada ala valoración de las cuentas a cobrar. Sin embargo, ese mismoriesgo, especialmente si se combina con un empeoramiento dela situación económica, puede tener también una

consecuencia a más largo plazo, que el auditor tiene encuenta al valorar la idoneidad de la hipótesis de empresa enfuncionamiento. En consecuencia, el considerar si un riesgode negocio puede originar un riesgo de incorrección materiales una cuestión que se valora teniendo en cuenta lascircunstancias de la entidad. En el anexo 2 se enumeranejemplos de condiciones y hechos que pueden indicar laexistencia de riesgos de incorrección material.

A41. Por lo general, la dirección identifica los riesgos de negocio ydesarrolla enfoques para darles respuesta. Dicho proceso devaloración del riesgo es un componente del control interno yse trata en el apartado 15 y en los apartados A79-A80.


A42. En el caso de auditorías de entidades del sector público, los"objetivos de la dirección" pueden estar influenciados porcuestiones relativas a la rendición de cuentas públicas eincluir objetivos que tengan su origen en las disposicioneslegales, reglamentarias o de otro tipo.

Medición y revisión de la evolución financiera de la entidad [Ref:Apartado 11(e)]

A43. La dirección y otras personas medirán y revisarán aquello queconsideren importante. Las mediciones del resultado, tantoexternas como internas, crean presiones sobre la entidad. Asu vez, estas presiones pueden llevar a la dirección a tomarmedidas para mejorar los resultados o a preparar estadosfinancieros con incorrecciones. En consecuencia, elconocimiento de las mediciones del resultado de la entidadfacilita al auditor la consideración de si las presiones paraalcanzar los resultados previstos pueden desencadenaractuaciones de la dirección que incrementen los riesgos deincorrección material, incluidos los que se deben a fraude.Véase la NIA 240 en relación con los requerimientos y



orientaciones sobre los riesgos de fraude.

A44. La medición y revisión de la evolución financiera no es lomismo que el seguimiento de los controles (que se trata comocomponente del control interno en los apartados A106-A117),aunque sus propósitos se pueden solapar:

• La medición y revisión de la evolución financiera tienecomo finalidad comprobar si éstos cumplen los objetivosfijados por la dirección (o por terceros).

• El seguimiento de los controles se ocupa específicamentede la eficacia del funcionamiento del control interno.

Sin embargo, en algunos casos, los indicadores de evoluciónpueden proporcionar también información que permite a ladirección identificar deficiencias en el control interno.

A45. Ejemplos de información generada internamente utilizada porla dirección para la medición y revisión de la evoluciónfinanciera y que el auditor puede tener en cuenta, son, entreotros:

• Indicadores claves de evolución (financieros y nofinancieros), así como ratios, tendencias y estadísticas deoperaciones claves.

• Análisis comparativo de la evolución financiera entreperiodos.

• Presupuestos, pronósticos, análisis de desviaciones,información por segmentos, así como informes deresultados por divisiones, departamentos u otros niveles.

• Mediciones del desempeño de los empleados y políticas deincentivos.

• Comparación de la actuación de una entidad con los de lacompetencia.

A46. Terceros externos a la entidad también pueden medir yrevisar su evolución financiera. Por ejemplo, tanto lainformación externa como los informes de los analistas y delas agencias de calificación crediticia pueden constituirinformación útil para el auditor. Dichos informes se pueden amenudo obtener de la entidad auditada.

A47. Las mediciones internas pueden poner de manifiestoresultados o tendencias inesperados que requieren que ladirección determine su causa y adopte medidas correctoras(incluida, en algunos casos, la oportuna detección ycorrección de incorrecciones). Las mediciones de resultadostambién pueden indicar al auditor la existencia de riesgos deincorrección de la correspondiente información en los estadosfinancieros. Por ejemplo, las mediciones de resultados puedenindicar que la entidad experimenta un rápido crecimiento ouna rentabilidad inusuales en comparación con otrasentidades del mismo sector. Dicha información, en especial sise combina con otros factores, como bonos o incentivosbasados en los resultados, puede indicar un riesgo potencialde sesgo de la dirección en la preparación de los estadosfinancieros.




A48. A menudo las entidades de pequeña dimensión no disponen deprocesos para la medición y revisión de la evoluciónfinanciera. La indagación ante la dirección puede revelar queésta se basa en algunos indicadores clave para evaluar laevolución financiera y adoptar medidas adecuadas. Si dichaindagación indica la ausencia de medición o revisión deresultados, puede haber un mayor riesgo de que lasincorrecciones no sean detectadas y corregidas.

El control interno de la entidad (Ref: Apartado 12)

A49. El conocimiento del control interno facilita al auditor laidentificación de tipos de incorrecciones potenciales y defactores que afectan a los riesgos de incorrección material,así como el diseño de la naturaleza, momento de realización yextensión de los procedimientos de auditoría posteriores.

A50. La guía de aplicación siguiente relativa al control interno sedivide en cuatro secciones:

• Naturaleza general y características del control interno.

• Controles relevantes para la auditoría.

• Naturaleza y extensión del conocimiento de los controlesrelevantes.

• Componentes del control interno.

Naturaleza general y características del control interno

Finalidad del control interno

A51. El control interno se diseña, implementa y mantiene con el finde responder a los riesgos de negocio identificados queamenazan la consecución de cualquiera de los objetivos de laentidad referidos a:

• La fiabilidad de la información financiera de la entidad;

• la eficacia y eficiencia de sus operaciones; y

• el cumplimiento de las disposiciones legales yreglamentarias aplicables.

La manera en que se diseña, implementa y mantiene el controlinterno varía según la dimensión y la complejidad de laentidad.


A52. Es posible que las entidades de pequeña dimensión utilicenmedios menos estructurados, así como procesos yprocedimientos más sencillos para alcanzar sus objetivos.

Limitaciones del control interno

A53. El control interno, por muy eficaz que sea, sólo puedeproporcionar a la entidad una seguridad razonable del



cumplimiento de sus objetivos de información financiera. Laprobabilidad de que se cumplan se ve afectada por laslimitaciones inherentes al control interno. Estas incluyen elhecho de que los juicios humanos a la hora de tomardecisiones pueden ser erróneos y de que el control internopuede dejar de funcionar debido al error humano. Por ejemplo,puede haber un error en el diseño o el cambio de un controlinterno. Del mismo modo, el funcionamiento de un controlpuede no ser eficaz, como sucede en el caso de que lainformación producida para los fines del control interno (porejemplo, un informe de excepciones) no se utilice de maneraeficaz porque la persona responsable de la revisión de lainformación no comprenda su finalidad o no adopte las

medidas adecuadas.

A54. Además, se pueden sortear los controles por colusión entredos o más personas o por la inadecuada elusión del controlinterno por la dirección. Por ejemplo, la dirección puedesuscribir acuerdos paralelos con clientes que alteren lostérminos y condiciones de los contratos de venta estándar dela entidad, lo que puede dar lugar a un reconocimiento deingresos incorrecto. Asimismo, se pueden eludir o invalidarfiltros de un programa informático diseñados para identificar einformar sobre transacciones que superen determinadoslímites de crédito.

A55. Por otro lado, en el diseño e implementación de los controles,la dirección puede realizar juicios sobre la naturaleza yextensión de los controles que decide implementar y sobre lanaturaleza y extensión de los riesgos que decide asumir.


A56. Las entidades de pequeña dimensión suelen tener menosempleados, lo que puede limitar en la práctica la posibilidad desegregación de funciones. Sin embargo, en una entidadpequeña dirigida por el propietario, es posible que elpropietario-gerente sea capaz de ejercer una supervisión máseficaz que en una entidad de gran dimensión. Dichasupervisión puede compensar la menor capacidad deestablecer una segregación de funciones.

A57. Por otro lado, el propietario-gerente puede tener másposibilidades de eludir los controles porque el sistema decontrol interno está menos estructurado. El auditor tiene encuenta lo anterior en la identificación de los riesgos deincorrección material debida a fraude.

División del control interno en componentes

A58. La división del control interno en los cinco componentessiguientes, a efectos de las NIA, proporciona un marco útilpara que los auditores consideren el modo en que distintosaspectos del control interno de una entidad pueden afectar ala auditoría.

(a) el entorno de control;



(b) el proceso de valoración del riesgo por la entidad;

(c) el sistema de información, incluidos los procesos denegocio relacionados, relevantes para la informaciónfinanciera, y la comunicación;

(d) actividades de control; y

(e) seguimiento de los controles

Esta división no refleja necesariamente el modo en que unaentidad diseña, implementa y mantiene el control interno, o elmodo en que puede clasificar un determinado componente.Los auditores pueden utilizar una terminología o marcosdistintos de los que se utilizan en la presente NIA paradescribir los diversos aspectos del control interno y su efectoen la auditoría, siempre que se traten todos los componentesdescritos en esta NIA.

A59. En los apartados A69-A104 se recoge la guía de aplicaciónrelativa a los cinco componentes del control interno y surelación con la auditoría de estados financieros. En el anexo 1se proporciona una explicación adicional de dichoscomponentes del control interno.

Características de los elementos manuales y automatizados del controlinterno relevantes para la valoración del riesgo por el auditor

A60. El sistema de control interno de una entidad comprendeelementos manuales y, a menudo, elementos automatizados.

Las características de los elementos manuales oautomatizados son relevantes para la valoración del riesgo porel auditor y para los procedimientos de auditoría posterioresbasados en dicha valoración.

A61. La utilización de elementos manuales o automatizados en elcontrol interno también afecta al modo en que se inician,registran y procesan las transacciones y se informa sobreellas:

• Los controles en un sistema manual pueden comprenderprocedimientos tales como aprobaciones y revisiones detransacciones, así como conciliaciones y seguimiento delas partidas en conciliación. De forma alternativa, esposible que la entidad emplee procedimientosautomatizados para iniciar, registrar y procesartransacciones e informar sobre ellas, en cuyo caso losdocumentos en papel se sustituyen por registros enformato electrónico.

• Los controles en los sistemas de TI consisten en unacombinación de controles automatizados (por ejemplo,controles integrados en programas informáticos) y decontroles manuales. Además, los controles manualespueden ser independientes de las TI, pueden utilizarinformación producida por las TI, o pueden limitarse alseguimiento del funcionamiento efectivo de las TI y de loscontroles automatizados, así como al tratamiento de lasexcepciones. Cuando se utilizan las TI para iniciar,



registrar, procesar o notificar transacciones u otros datosfinancieros, para su inclusión en los estados financieros,los sistemas y programas pueden incluir controlesrelacionados con las correspondientes afirmaciones en elcaso de cuentas materiales o pueden ser decisivos paraun funcionamiento eficaz de los controles manuales que

dependen de las TI.

La combinación por la entidad de elementos manuales yautomatizados en su control interno varía según la naturalezay complejidad de la utilización de las TI por la entidad.

A62. Por lo general, las TI son beneficiosas para el control internode la entidad, al permitirle:

• aplicar de manera congruente las normas de actuaciónpredefinidas y realizar cálculos complejos en elprocesamiento de grandes volúmenes de transacciones ode datos;

• mejorar la oportunidad, disponibilidad y exactitud de lainformación;

• facilitar un análisis adicional de la información;

• mejorar la capacidad para hacer un seguimiento delresultado de las actividades de la entidad y de suspolíticas y procedimientos;

• reducir el riesgo de que los controles se sorteen; y

• mejorar la capacidad de lograr una segregación defunciones efectiva mediante la implementación decontroles de seguridad en las aplicaciones, bases dedatos y sistemas operativos;

A63. Las TI también originan riesgos específicos para el controlinterno de la entidad, incluidos, por ejemplo:

• La confianza en sistemas o programas que procesan datosde manera inexacta, que procesan datos inexactos, oambos.

• Accesos no autorizados a los datos que pueden tenercomo resultado la destrucción de datos o cambiosindebidos de ellos, incluido el registro de transacciones noautorizadas o inexistentes, o un registro inexacto de lastransacciones. Pueden producirse riesgos específicoscuando múltiples usuarios acceden a una misma base dedatos.

• La posibilidad de que el personal del departamento de TIobtenga permisos de acceso más allá de los necesariospara realizar sus tareas, dejando así de funcionar lasegregación de funciones.

• Cambios no autorizados en los datos de los archivosmaestros.

• Cambios no autorizados en los sistemas o programas.

• No realizar cambios necesarios en los sistemas oprogramas.



• Intervención manual inadecuada.

• Pérdida potencial de datos o incapacidad de acceder a losdatos del modo requerido.

A64. Los elementos manuales en el control interno pueden ser másadecuados cuando se requiera hacer uso de juicio y dediscrecionalidad, como, por ejemplo, en las siguientescircunstancias:

• Transacciones importantes, inusuales o no recurrentes.

• Circunstancias en las que los errores son difíciles dedefinir, anticipar o predecir.

• En circunstancias cambiantes que requieren unarespuesta de control que está fuera del alcance de uncontrol automatizado existente.

• Al realizar el seguimiento de la eficacia de los controlesautomatizados.

A65. Los elementos manuales en el control interno pueden resultarmenos fiables que los elementos automatizados debido a quepueden ser más fácilmente evitados, ignorados o eludidos ytambién a que están más expuestos a simples errores yequivocaciones. En consecuencia, no puede asumirse que unelemento del control manual será aplicado de maneracongruente. Los controles manuales pueden resultar menosadecuados en las siguientes circunstancias:

• Un número elevado de transacciones o transaccionesrecurrentes, o bien en situaciones en las que los erroresque se puedan anticipar o predecir pueden prevenirse, odetectarse y corregirse, mediante parámetros de controlautomatizados.

• Actividades de control en las que los modos específicosde realizar el control pueden diseñarse y automatizarseadecuadamente.

A66. La extensión y la naturaleza de los riesgos para el controlinterno varían según la naturaleza y las características delsistema de información de la entidad. La entidad responde alos riesgos que surgen de la utilización de las TI o de lautilización de elementos manuales en el control internomediante el establecimiento de controles eficaces teniendo encuenta las características del sistema de información de laentidad.

Controles relevantes para la auditoría

A67. Existe una relación directa entre los objetivos de una entidady los controles que implementa para proporcionar unaseguridad razonable sobre su cumplimiento. Los objetivos dela entidad y, por lo tanto, los controles, están relacionadoscon la información financiera, las operaciones y elcumplimiento de la normativa; sin embargo, no todos estosobjetivos y controles son relevantes para la valoración delriesgo por el auditor.

A68. Los factores relevantes para el auditor al enjuiciar si un



control, de manera individual o en combinación con otros, esrelevante para la auditoría pueden incluir cuestiones como las

siguientes:

• Importancia relativa.

• La significatividad del riesgo relacionado.

• La dimensión de la entidad.

• La naturaleza de los negocios de la entidad, así como suorganización y las características de su propiedad.

• La diversidad y la complejidad de las operaciones de laentidad.

• Los requerimientos normativos aplicables.

• Las circunstancias y el correspondiente componente decontrol interno.

• La naturaleza y complejidad de los sistemas que formanparte del control interno de la entidad, incluida lautilización de una organización de servicios.

• Si un determinado control, de manera individual o encombinación con otros, previene o detecta y corrige unaincorrección material, y el modo en que lo hace.

A69. Los controles sobre la integridad y exactitud de la informacióngenerada por la entidad pueden ser relevantes para laauditoría si el auditor tiene previsto utilizar dicha informaciónen el diseño y aplicación de procedimientos de auditoríaposteriores. Los controles relativos a los objetivos operativosy de cumplimiento también pueden ser relevantes para laauditoría si están relacionados con datos que el auditorevalúa o utiliza en la aplicación de procedimientos deauditoría.

A70. El control interno sobre la salvaguarda de los activos contrala adquisición, utilización o venta no autorizadas puede incluircontroles relacionados, tanto con la información financieracomo con los objetivos operativos. La consideración de dichos

controles por el auditor se limita, por lo general, a aquéllosque son relevantes para la fiabilidad de la informaciónfinanciera.

A71. Por lo general, una entidad dispone de controles relacionadoscon objetivos que no son relevantes para la auditoría y que,en consecuencia, no es necesario considerar. Por ejemplo,una entidad puede contar con un sofisticado sistema decontroles automatizados para garantizar un funcionamientoeficiente y eficaz (como, por ejemplo, el sistema de controlesautomatizados de una aerolínea para el mantenimiento dehorarios de vuelos), pero normalmente dichos controles noserían relevantes para la auditoría. Además, aunque el controlinterno se aplique a toda la entidad o a cualquiera de susunidades operativas o procesos de negocio, el conocimientodel control interno relativo a cada una de las unidadesoperativas y procesos de negocio de la entidad puede no serrelevante para la auditoría.




A72. Los auditores del sector público a menudo tienenresponsabilidades adicionales con respecto al control interno.Por ejemplo, informar sobre el cumplimiento de un determinadocódigo de conducta. Los auditores del sector público puedenigualmente tener responsabilidades de informar sobre elcumplimiento de las disposiciones legales, reglamentarias o deotro tipo. En consecuencia, es posible que su revisión delcontrol interno sea más amplia y detallada.

Naturaleza y extensión del conocimiento de los controles relevantes (Ref: Apartado 13)

A73. La evaluación del diseño de un control implica la consideraciónde si el control, de manera individual o en combinación conotros controles, es capaz de prevenir de modo eficaz, o dedetectar y corregir, incorrecciones materiales. Laimplementación de un control significa que el control existe yque la entidad lo está utilizando. No tiene mucho sentidoevaluar la implementación de un control que no sea eficaz,por lo que se considera en primer lugar el diseño del control.Un control incorrectamente diseñado puede representar unadeficiencia significativa en el control interno.

A74. Los procedimientos de valoración del riesgo para la obtenciónde evidencia de auditoría sobre el diseño e implementación decontroles relevantes pueden incluir:

• La indagación entre los empleados de la entidad.

• La observación de la aplicación de controles específicos.

• La inspección de documentos e informes.

• El seguimiento de transacciones mediante el sistema deinformación relevante para la información financiera.

Sin embargo, la indagación como único procedimiento no essuficiente para dichos fines.

A75. La obtención de conocimiento de los controles de la entidadno es suficiente para la comprobación de su eficacia

operativa, salvo que exista algún grado de automatizaciónque permita un funcionamiento congruente de los controles.Por ejemplo, la obtención de evidencia de auditoría sobre laimplementación de un control manual en un determinadomomento no proporciona evidencia de auditoría sobre laeficacia operativa del control en otros momentos del periodoque comprende la auditoría. Sin embargo, debido a lacongruencia inherente al procesamiento por medio de TI(véase el apartado A62), aplicar procedimientos de auditoríapara determinar si un control automatizado ha sidoimplementado puede servir como comprobación de la eficaciaoperativa de dicho control, dependiendo de la valoración ycomprobación por el auditor de controles tales como loscontroles sobre cambios en los programas. En la NIA 330 sedescriben las pruebas sobre la eficacia operativa de los

controles. 13

13 NIA 330, Respuestas del auditor a los riesgos valorados.



Componentes del control interno-Entorno de control (Ref: Apartado14)

A76. El entorno de control incluye las funciones de gobierno y dedirección, así como las actitudes, grado de percepción yacciones de los responsables del gobierno de la entidad y dela dirección en relación con el control interno de la entidad ysu importancia para ella. El entorno de control establece eltono de una organización, influyendo en la conciencia decontrol de sus miembros.

A77. Entre los elementos del entorno de control que pueden serrelevantes para la obtención de su conocimiento están lossiguientes:

(a) La comunicación y la vigilancia de la integridad y de losvalores éticos. Se trata de elementos esenciales queinfluyen en la eficacia del diseño, administración yseguimiento de los controles.

(b) Compromiso con la competencia. Cuestiones como laconsideración por la dirección de los niveles decompetencia que se requieren para determinados puestosy el modo en que dichos niveles se traducen encualificaciones y conocimientos requeridos.

(c) Participación de los responsables del gobierno de laentidad. Atributos de los responsables del gobierno de laentidad tales como:

• Su independencia con respecto a la dirección.

• Su experiencia y su reputación.

• Su grado de participación y la información que reciben,así como el examen de las actividades.

• La adecuación de sus actuaciones, incluido el gradocon que plantean preguntas difíciles a la dirección y serealiza su seguimiento, y su interacción con los auditoresinternos y externos.

(d) La filosofía y el estilo operativo de la dirección.Características tales como:

• El enfoque con el que la dirección asume y gestionariesgos de negocio.

• Las actitudes y actuaciones de la dirección conrespecto a la información financiera.

• Las actitudes de la dirección con respecto alprocesamiento de la información y a las funciones decontabilidad y al personal contable.

(e) Estructura organizativa. El marco en el que se planifican,ejecutan, controlan y revisan las actividades de laentidad para alcanzar sus objetivos.

(f) Asignación de autoridad y de responsabilidad. Cuestionestales como el modo en que se asignan la autoridad y laresponsabilidad con respecto a las actividades deexplotación, así como la manera en que se establecen lasrelaciones de información y las jerarquías de autorización.



(g) Políticas y prácticas de recursos humanos. Las políticas yprácticas relacionadas, por ejemplo, con la selección,orientación, formación, evaluación, tutoría, promoción,compensación y actuaciones correctoras.

Evidencia de auditoría con respecto a los elementos del entorno decontrol

A78. Se puede obtener evidencia de auditoría relevante medianteuna combinación de indagaciones y otros procedimientos devaloración del riesgo, tales como la corroboración de lainformación resultante de indagaciones mediante laobservación o la inspección de documentos. Por ejemplo, pormedio de las indagaciones ante la dirección y ante losempleados, el auditor puede obtener conocimiento del modoen que la dirección comunica su opinión a sus empleadossobre las prácticas empresariales y el comportamiento ético.El auditor puede así determinar si se han implementado loscorrespondientes controles mediante la consideración, porejemplo, de si la dirección dispone de un código de conductaescrito y si actúa de un modo acorde con dicho código.

A79. El auditor también puede tener en cuenta el modo en que ladirección ha respondido a los hallazgos y recomendaciones dela función de auditoría interna en relación con deficiencias delcontrol interno relevante para la auditoría que hayan sidodetectadas, así como si se han implementado esas respuestasy el modo en que lo han sido, y si han sido posteriormenteevaluadas por la función de auditoría interna.

Efecto del entorno de control en la valoración de los riesgos deincorrección material

A80. Algunos elementos del entorno de control de una entidadtienen un efecto generalizado sobre la valoración de losriesgos de incorrección material. Por ejemplo, los responsablesdel gobierno de la entidad ejercen una influencia significativasobre la conciencia de control de una entidad, ya que una desus funciones es la de contrarrestar las presiones a las queestá sometida la dirección en relación con la informaciónfinanciera, las cuales pueden tener su origen en la demanda

del mercado o en planes de remuneración. En consecuencia,las siguientes cuestiones influyen en la eficacia del diseño delentorno de control relativo a la participación de losresponsables del gobierno de la entidad:

• Su independencia con respecto a la dirección y sucapacidad para evaluar las acciones de la dirección.

• Si comprenden las transacciones comerciales de laentidad.

• La medida en que evalúan si los estados financieros sepreparan de conformidad con el marco de informaciónfinanciera aplicable.

A81. Un consejo de administración activo e independiente puedeinfluir en la filosofía y estilo de actuación de la alta dirección.



Sin embargo, otros elementos pueden tener un efecto máslimitado. Por ejemplo, si bien las políticas y prácticas derecursos humanos dirigidas a contratar personal competentepara las áreas financiera, contable y de TI pueden reducir losriesgos de que se produzcan errores en el procesamiento dela información financiera, puede que no mitiguen un fuertesesgo por parte de la alta dirección hacia la sobrevaloración

de los beneficios.

A82. Cuando el auditor realiza una valoración de los riesgos deincorrección material, la existencia de un entorno de controlsatisfactorio puede ser una variable positiva. Sin embargo, apesar de que puede ayudar a reducir el riesgo de fraude, unentorno de control satisfactorio no es un elemento disuasoriodel fraude absoluto. En cambio, la existencia de deficienciasen el entorno de control puede menoscabar la eficacia de loscontroles, especialmente en relación con el fraude. Porejemplo, que la dirección no dedique suficientes recursos pararesponder a los riesgos de seguridad de las TI puede afectarnegativamente al control interno al permitir que se realicenmodificaciones indebidas en los programas informáticos o enlos datos, o que se procesen transacciones no autorizadas.Como se explica en la NIA 330, el entorno de control tambiéninfluye en la naturaleza, momento de realización y extensión

de los procedimientos de auditoría posteriores. 14

14 NIA 330, apartados A2-A3.

A83. El entorno de control, por sí mismo, no previene ni detecta ycorrige una incorrección material. Sin embargo, puede influiren la evaluación por el auditor de la eficacia de otroscontroles (por ejemplo, el seguimiento de controles y elfuncionamiento de determinadas actividades de control) y, enconsecuencia, en la valoración por el auditor de los riesgos deincorrección material.


A84. Es probable que el entorno de control en entidades depequeña dimensión difiera del de las entidades de mayordimensión. Por ejemplo, puede ocurrir que entre losresponsables del gobierno de una entidad de pequeñadimensión no haya un miembro independiente o externo, y lafunción de gobierno pueda ser desempeñada directamente porel propietario-gerente cuando no existen otros propietarios.

La naturaleza del entorno de control puede influir también enla significatividad, o en la ausencia, de otros controles. Porejemplo, la participación activa del propietario-gerente puedemitigar algunos de los riesgos que surgen de la falta desegregación de funciones en una entidad pequeña; sinembargo, puede incrementar otros riesgos, por ejemplo, elriesgo de elusión de los controles.

A85. Además, es posible que en entidades de pequeña dimensiónno esté disponible en forma documentada la evidencia deauditoría relativa a los elementos del entorno de control, en



especial cuando la comunicación entre la dirección y el restodel personal es informal, pero eficaz. Por ejemplo, es posibleque una entidad de pequeña dimensión no tenga un código deconducta escrito, pero que, en su lugar, haya desarrolladouna cultura que resalte la importancia de un comportamientoíntegro y ético mediante la comunicación verbal y del ejemplo

de la dirección.

A86. En consecuencia, las actitudes, compromisos y actuacionesde la dirección o del propietario-gerente son de especialimportancia para el conocimiento por el auditor del entorno decontrol de una entidad de pequeña dimensión.

Componentes del control interno-El proceso de valoración del riesgopor la entidad (Ref: Apartado 15)

A87. El proceso de valoración del riesgo por la entidad constituyela base con la que la dirección determina el modo en que losriesgos han de gestionarse. Si dicho proceso es adecuado alas circunstancias, incluida la naturaleza, dimensión ycomplejidad de la entidad, facilita al auditor la identificaciónde los riesgos de incorrección material. La consideración deque el proceso de valoración del riesgo por la entidad seaadecuado a las circunstancias es una cuestión de juicio.

Consideraciones específicas para entidades de pequeña dimensión (Ref: Apartado 17)

A88. En una entidad de pequeña dimensión es poco probable quese haya establecido un proceso para la valoración del riesgo.En dichos casos, es probable que la dirección identifique losriesgos mediante su participación personal directa en elnegocio. Sin embargo, independientemente de lascircunstancias, sigue siendo necesario indagar sobre losriesgos identificados y el modo en que la dirección les darespuesta.

Componentes del control interno-El sistema de información, incluidoslos procesos de negocio relacionados, relevante para la preparaciónde la información financiera, y la comunicación

El sistema de información, incluidos los procesos de negociorelacionados, relevante para la preparación de la información financiera(Ref: Apartado 18)

A89. El sistema de información financiera relevante para losobjetivos de la información financiera, que incluye el sistema

contable, comprende los procedimientos y registros diseñadosy establecidos para:

• iniciar, registrar y procesar las transacciones de laentidad (así como los hechos y condiciones) e informarsobre ellas, así como para rendir cuentas sobre losactivos, pasivos y patrimonio neto correspondientes;



• resolver el procesamiento incorrecto de transacciones,por ejemplo, ficheros de espera automatizados yprocedimientos aplicados para reclasificar oportunamentelas partidas pendientes de aplicación;

• procesar y dar cuenta de elusiones del sistema oevitación de los controles;

• transferir información desde los sistemas deprocesamiento de las transacciones al libro mayor;

• capturar información relevante para la informaciónfinanciera sobre los hechos y las condiciones distintos delas transacciones, tales como la depreciación y laamortización de activos, así como los cambios en larecuperabilidad de las cuentas a cobrar; y

• asegurar que se recoge, registra, procesa, resume eincluye adecuadamente en los estados financieros lainformación que el marco de información financieraaplicable requiere que se revele.

Asientos en el libro diario

A90. Habitualmente, el sistema de información de la entidad implicala utilización de asientos estándar en el libro diario requeridosde manera recurrente para registrar las transacciones. Losejemplos pueden ser los asientos en el libro diario pararegistrar ventas, compras y pagos en el libro mayor, o pararegistrar estimaciones contables realizadas periódicamentepor la dirección, tales como cambios en la estimación de lascuentas incobrables.

A91. El proceso de información financiera de la entidad tambiénimplica la utilización de asientos no estándar en el libro diariopara el registro de transacciones no recurrentes, inusuales ode ajustes. Ejemplos de dichas anotaciones incluyen losajustes de consolidación y los asientos de una combinaciónde negocios o de la venta de un negocio o de estimacionesno recurrentes, como el deterioro del valor de un activo. Enlos sistemas de libros mayores manuales, los asientos noestándar en el libro diario pueden ser identificados mediante lainspección de los libros, diarios y documentación de soporte.Cuando se utilizan procesos automatizados para la llevanza delos libros y la preparación de los estados financieros, esposible que dichas anotaciones existan sólo en formatoelectrónico y puedan ser, por lo tanto, más fácilmenteidentificadas mediante el uso de técnicas de auditoríaasistidas por ordenador.

Procesos de negocio relacionados

A92. Los procesos de negocio de una entidad son las actividadesdiseñadas para:

• el desarrollo, la adquisición, la producción, la venta y ladistribución de los productos y servicios de una entidad;

• asegurar el cumplimiento de las disposiciones legales yreglamentarias; y



• registrar la información, incluida la información contable yfinanciera.

Los procesos de negocio tienen como resultado transaccionesregistradas, procesadas y notificadas mediante el sistema deinformación. La obtención de conocimiento de los procesos denegocio de la entidad, que incluyen el modo en que seoriginan las transacciones, facilita al auditor la obtención deconocimiento del sistema de información de la entidadrelevante para la preparación de información financiera de unmodo adecuado a las circunstancias de la entidad.


A93. Es probable que en las entidades de pequeña dimensión, lossistemas de información y procesos de negocio relacionadosrelevantes para la información financiera sean menossofisticados que en las entidades de mayor dimensión, pero supapel es igualmente significativo. Las entidades de pequeñadimensión que cuenten con una participación activa de ladirección puede que no necesiten descripciones detalladas deprocedimientos contables, registros contables sofisticados opolíticas escritas. El conocimiento de los sistemas y procesosde la entidad pueden, por lo tanto, ser más fáciles en laauditoría de una entidad de pequeña dimensión, y puedenbasarse más en la indagación que en la revisión dedocumentación. Sin embargo, la necesidad de obtenerconocimiento sigue siendo importante.

Comunicación (Ref: Apartado 19)

A94. La comunicación por la entidad de las funciones yresponsabilidades y de las cuestiones significativasrelacionadas con la información financiera implica proporcionarconocimiento de las funciones y responsabilidades individualesdel control interno sobre la información financiera. Comprendecuestiones tales como el grado de conocimiento que tiene elpersonal sobre el modo en que sus actividades, en el sistemade información financiera, se relacionan con el trabajo deotras personas, así como los medios para informar sobre lasexcepciones a un nivel superior adecuado dentro de laentidad. La comunicación puede adoptar la forma de manualesde políticas y de información financiera. La existencia decanales de comunicación abiertos ayuda a asegurar que seinforme sobre las excepciones y se actúe sobre ellas.


A95. En las entidades de pequeña dimensión, la comunicaciónpuede estar menos estructurada y puede ser más fácil deconseguir debido a la existencia de un menor número deniveles de responsabilidad, y a la mayor cercanía ydisponibilidad de la dirección.

Componentes del control interno-Actividades de control relevantespara la auditoría (Ref: Apartado 20)



A96. Las actividades de control son las políticas y procedimientosque ayudan a asegurar que se siguen las directrices de ladirección. Las actividades de control, tanto en los sistemasde TI como manuales, tienen varios objetivos y se aplican adiferentes niveles organizativos y funcionales. Ejemplos deactividades de control específicas incluyen las relacionadascon lo siguiente:

• Autorización.

• Revisiones de actuación.

• Proceso de la información.

• Controles físicos.

• Segregación de funciones.

A97. Las actividades de control relevantes para la auditoría son:

• aquéllas que es necesario tratar como tales, al seractividades de control relacionadas con riesgossignificativos y aquellas que están relacionadas conriesgos para los cuales aplicar solo procedimientossustantivos no proporciona evidencia de auditoríasuficiente y adecuada, como requieren los apartados 29 y30, respectivamente; o

• las que, a juicio del auditor, se consideran relevantes.

A98. El juicio del auditor sobre si una actividad de control esrelevante para la auditoría se ve influenciado por el riesgo,identificado por el auditor, que puede dar lugar a unaincorrección material y por la consideración, por parte delauditor, de que la realización de pruebas sobre la eficaciaoperativa del control es probablemente adecuada paradeterminar la extensión de las pruebas sustantivas.

A99. El auditor puede poner énfasis en la identificación y laobtención de conocimiento de las actividades de control quetratan las áreas en las que el auditor considera más probableque existan riesgos de incorrección material. Cuando múltiplesactividades de control alcancen individualmente el mismoobjetivo, no es necesario obtener conocimiento de cada unade las actividades de control relacionadas con dicho objetivo.

A100. El conocimiento del auditor acerca de la presencia o ausenciade actividades de control, obtenido de su conocimiento de losdemás componentes del control interno, le facilitan ladeterminación de si es necesario dedicar atención adicional ala obtención de conocimiento de las actividades de control.


A101. Los conceptos que subyacen en las actividades de control delas entidades de pequeña dimensión probablemente seansimilares a los de entidades de gran dimensión, pero puedendiferir en cuanto al grado de formalización con el quefuncionan. Además, las entidades de pequeña dimensión

pueden considerar innecesarios determinados tipos deactividades de control debido a los controles aplicados por ladirección. Por ejemplo, el hecho de que únicamente la



dirección esté autorizada a conceder créditos a clientes o aaprobar compras significativas puede proporcionar un controlfuerte sobre saldos contables y transacciones importantes,reduciendo o eliminando la necesidad de actividades decontrol más detalladas.

A102. Las actividades de control relevantes para la auditoría de unaentidad de pequeña dimensión probablemente estaránrelacionadas con los ciclos de las principales transaccionestales como: ingresos ordinarios, compras y gastos depersonal.

Riesgos derivados de las TI (Ref: Apartado 21)

A103. La utilización de TI afecta al modo en que se implementan lasactividades de control. Desde el punto de vista del auditor,los controles sobre los sistemas de las TI son eficaces cuandomantienen la integridad de la información y la seguridad de losdatos que procesan dichos sistemas, e incluyen controlesgenerales de las TI y controles de aplicaciones eficaces.

A104. Los controles generales de las TI son políticas yprocedimientos vinculados a muchas aplicaciones y favorecenun funcionamiento eficaz de los controles de las aplicaciones.Son aplicables en entornos con unidades centrales, redes detrabajo y de usuarios finales. Los controles generales de lasTI que mantienen la integridad de la información y laseguridad de los datos generalmente incluyen controles sobrelo siguiente:

• Centros de datos y operaciones de redes.

• Adquisición, reposición y mantenimiento de software desistemas.

• Cambios en los programas.

• Seguridad de accesos.

• Adquisición, desarrollo y mantenimiento de aplicaciones.

Se implementan, por lo general, para tratar los riesgosmencionados en el apartado A63 anterior.

A105. Los controles de aplicaciones son procedimientos manuales oautomatizados que normalmente operan a nivel de procesosdel negocio y que se aplican al procesamiento de lastransacciones mediante aplicaciones específicas. Loscontroles de aplicaciones pueden ser preventivos o dedetección y tienen como finalidad asegurar la integridad delos registros contables. En consecuencia, los controles deaplicaciones están relacionados con los procedimientosutilizados para iniciar y procesar transacciones y otros datosfinancieros, así como para informar sobre ellos. Estoscontroles ayudan a asegurar que las transacciones hanocurrido, están autorizadas y se han registrado y procesadoíntegra y exactamente. Como ejemplos pueden citarse losfiltros de datos de entrada y de secuencias numéricas con unseguimiento manual de los informes de excepciones o lacorrección en el punto de entrada de datos.



Componentes del control interno-Seguimiento de los controles (Ref:Apartado 22)

A106. El seguimiento de los controles es un proceso para valorar laeficacia del funcionamiento del control interno a lo largo deltiempo. Conlleva la valoración oportuna de la eficacia de loscontroles y la adopción de las medidas correctorasnecesarias. La dirección lleva a cabo el seguimiento de loscontroles mediante actividades continuas, evaluacionespuntuales o una combinación de ambas. Las actividades deseguimiento continuas a menudo forman parte de lasactividades recurrentes normales de una entidad e incluyenactividades de gestión y supervisión habituales.

A107. Las actividades de seguimiento por la dirección pueden incluirla utilización de información procedente de comunicaciones deterceros externos, tales como quejas de clientes ycomentarios de las autoridades reguladoras, que pueden serindicativos de problemas o resaltar áreas en las que senecesitan mejoras.


A108. El seguimiento del control por la dirección a menudo seconsigue estrechando la participación de la dirección o delpropietario-gerente en las operaciones. Dicha participaciónidentificará, a menudo, las desviaciones significativas conrespecto a las expectativas e inexactitudes en datosfinancieros, conducentes a medidas correctoras sobre elcontrol.

La función de auditoría interna de la entidad (Ref: Apartado 23)

A109. Si la entidad dispone de una función de auditoría interna, laobtención de conocimiento de esa función contribuye alconocimiento por el auditor de la entidad y su entorno,incluido el control interno, en especial del papel que esafunción desempeña en el seguimiento por la entidad delcontrol interno relativo a la información financiera. Esteconocimiento, junto con la información obtenida de lasindagaciones del auditor según el apartado 6(a) de esta NIA,pueden también proporcionar información directamenterelevante para su identificación y valoración de los riesgos deincorrección material.

A110. Los objetivos y el alcance de la función de auditoría interna,la naturaleza de sus responsabilidades y su estatus dentro dela organización, así como su autoridad y rendición de cuentas,varían ampliamente y dependen de la dimensión y estructurade la entidad y de los requerimientos de la dirección y,cuando proceda, de los responsables del gobierno de laentidad. Es posible que estas cuestiones estén establecidasen un reglamento de la auditoría interna o en sus términos dereferencia.

A111. Las responsabilidades de la función de auditoría internapueden incluir la aplicación de procedimientos y la valoración



de sus resultados con el fin de proporcionar seguridad a ladirección y a los responsables del gobierno de la entidad enrelación con el diseño y efectividad de los procesos degestión del riesgo, control interno y gobierno de la entidad. Eneste caso, la función de auditoría interna puede desempeñarun papel importante en el seguimiento por la entidad delcontrol interno sobre la información financiera. Sin embargo,es posible que las responsabilidades de la función de auditoríainterna se centren en la revisión de la economía, eficiencia yeficacia de las operaciones, y en consecuencia no tenganrelación directa con la información financiera de la entidad.

A112. Las indagaciones del auditor entre las personas adecuadasdentro de la función de auditoría interna de conformidad conel apartado 6(a) de esta NIA, le facilitan la obtención deconocimiento acerca de la naturaleza de las responsabilidadesde la función de auditoría interna. Si el auditor determina quelas responsabilidades de la función de auditoría interna estánrelacionadas con la información financiera de la entidad,puede obtener más conocimiento de las actividadesrealizadas, o que serán realizadas, por la función de auditoríainterna mediante la revisión, en su caso, del plan de auditoríade la función de auditoría interna para el periodo, así como ladiscusión de dicho plan con las personas adecuadas dentro dela función.

A113. Si la naturaleza de las responsabilidades y actividades deaseguramiento de la función de auditoría interna estárelacionada con la información financiera de la entidad, esposible que el auditor también pueda utilizar el trabajo de lafunción de auditoría interna para modificar la naturaleza o elmomento de realización, o bien para reducir la extensión delos procedimientos de auditoría a aplicar directamente por élen la obtención de evidencia de auditoría. Es más probableque los auditores puedan utilizar el trabajo de la función deauditoría interna de la entidad cuando se evidencie, porejemplo, con base en su experiencia de auditorías anteriores oen sus procedimientos de valoración del riesgo, que la entidadcuenta con una función de auditoría interna dotada derecursos adecuados y apropiados en relación con el tamañode la entidad y la naturaleza de sus operaciones, y queinforma directamente a los responsables del gobierno de laentidad.

A114. En consecuencia, si con base en su conocimiento preliminarde la función de auditoría interna, el auditor tiene previstoutilizar el trabajo de los auditores internos para modificar lanaturaleza o el momento de realización, o bien para reducir laextensión de los procedimientos de auditoría a aplicar, es deaplicación la NIA 610 (Revisada).

A115. Como se comenta con más detalle en la NIA 610 (Revisada),las actividades de la función de auditoría interna sediferencian de otros controles de seguimiento que puedan serrelevantes para la información financiera, tales comorevisiones de información de contabilidad de gestióndiseñadas para contribuir al modo en que la entidad previeneo detecta incorrecciones.

A116. El establecimiento de una comunicación con las personas



adecuadas dentro de la función de auditoría interna de laentidad al comienzo del encargo y el mantenimiento de esacomunicación durante todo el encargo puede dar lugar a quese comparta la información de manera efectiva. Crea unentorno en el que el auditor puede ser informado decuestiones significativas detectadas por la función deauditoría interna cuando es posible que esas cuestionesafecten a su trabajo. En la NIA 200 se trata la importancia deque el auditor planifique y realice la auditoría conescepticismo profesional, así como que preste una atenciónespecial a la información que pueda poner en tela de juicio lafiabilidad de documentos y respuestas a indagaciones quevayan a ser utilizadas como evidencia de auditoría. Enconsecuencia, la comunicación con la función de auditoríainterna durante todo el encargo puede brindar oportunidadespara que los auditores internos pongan en conocimiento delauditor esa información. El auditor puede entonces tener encuenta esa información en su identificación y valoración delos riesgos de incorrección material.

Fuentes de información (Ref: Apartado 24)

A117. Una parte importante de la información utilizada para elseguimiento puede ser producida por el sistema deinformación de la entidad. Si la dirección asume que los datosutilizados para el seguimiento son exactos sin disponer de unabase para dicha hipótesis, los errores que pueden existir en lainformación podrían llevar a la dirección a conclusioneserróneas derivadas de sus actividades de seguimiento. Enconsecuencia, se requiere el conocimiento de:

• las fuentes de la información relacionada con lasactividades de seguimiento por la entidad; y

• la base de la dirección para considerar que la informaciónes suficientemente fiable para dicha finalidad

como parte del conocimiento por el auditor de las actividadesde seguimiento de la entidad como componente del controlinterno.

Identificación y valoración de los riesgos de incorrecciónmaterial

Valoración de los riesgos de incorrección material en los estadosfinancieros [Ref: Apartado 25(a)]

A118. Los riesgos de incorrección material en los estados financierosse refieren a los que se relacionan de manera generalizadacon los estados financieros en su conjunto y, potencialmente,afectan a varias afirmaciones. Los riesgos de esta clase noson necesariamente riesgos que se puedan identificar conafirmaciones específicas sobre los tipos de transacciones,saldos contables o información a revelar. Representan, másbien, circunstancias que pueden incrementar los riesgos deincorrección material en las afirmaciones, por ejemplo,



mediante la elusión del control interno por la dirección. Losriesgos relativos a los estados financieros pueden serespecialmente relevantes para la consideración por el auditorde los riesgos de incorrección material debida a fraude.

A119. Los riesgos en los estados financieros pueden ser originadosen especial por un entorno de control deficiente (aunquedichos riesgos también pueden estar relacionados con otrosfactores, como condiciones económicas en declive). Porejemplo, deficiencias tales como la incompetencia de ladirección pueden tener un efecto más generalizado sobre losestados financieros y pueden requerir una respuesta globalpor parte del auditor.

A120. El conocimiento del control interno por parte del auditorpuede generar dudas sobre la posibilidad de auditar losestados financieros de una entidad. Por ejemplo:

• Las reservas acerca de la integridad de la dirección de laentidad pueden ser tan graves que lleven al auditor a laconclusión de que el riesgo de que la dirección presenteunos estados financieros incorrectos es tal que no sepuede realizar una auditoría.

• Las reservas acerca del estado y la fiabilidad de losregistros de una entidad pueden llevar al auditor a laconclusión de que es poco probable que se disponga deevidencia de auditoría suficiente y adecuada que sirva debase para una opinión de auditoría no modificada sobre losestados financieros.

A121. La NIA 70515 establece los requerimientos y proporcionaorientaciones para determinar si es necesario que el auditorexprese una opinión con salvedades o deniegue la opinión o,como puede ser necesario en algunos casos, renuncie alencargo si las disposiciones legales o reglamentariasaplicables así lo permiten.

15 ISA 705, Opinión modificada en el informe emitido por unauditor independiente.

Valoración de los riesgos de incorrección material en las afirmaciones [Ref: Apartado 25(b)]

A122. Los riesgos de incorrección material en las afirmaciones sobrelos tipos de transacciones, saldos contables e información arevelar deben tenerse en cuenta, ya que ello facilita demanera directa la determinación de la naturaleza, momento derealización y extensión de los procedimientos de auditoríaposteriores relacionados con las afirmaciones que sonnecesarios para obtener evidencia de auditoría suficiente yadecuada. Al identificar y valorar los riesgos de incorrecciónmaterial en las afirmaciones, el auditor puede llegar a laconclusión de que los riesgos identificados se relacionan demanera más generalizada con los estados financieros en suconjunto y que afectan potencialmente a muchasafirmaciones.



La utilización de afirmaciones

A123. Al manifestar que los estados financieros son conformes conel marco de información financiera aplicable, la dirección,implícita o explícitamente, realiza afirmaciones en relación conel reconocimiento, medición, presentación y revelación de losdistintos elementos de los estados financieros y de lacorrespondiente información a revelar.

A124. Las afirmaciones utilizadas por el auditor para considerar losdistintos tipos de potenciales incorrecciones que pueden ocurrirse pueden clasificar en las tres categorías siguientes y puedenadoptar las siguientes formas:

(a) Afirmaciones sobre tipos de transacciones y hechos durante

el periodo objeto de auditoría.

(i) Ocurrencia: las transacciones y hechos registrados han

ocurrido y corresponden a la entidad.

(ii) Integridad: se han registrado todos los hechos y

transacciones que tenían que registrarse.

(iii) Exactitud: las cantidades y otros datos relativos a las

transacciones y hechos se han registradoadecuadamente.

(iv) Corte de operaciones: las transacciones y los hechos se

han registrado en el periodo correcto.

(v) Clasificación: las transacciones y los hechos se han

registrado en las cuentas apropiadas.

(b) Afirmaciones sobre saldos contables al cierre del periodo:

(i) Existencia: los activos, pasivos y el patrimonio neto

existen.

(ii) Derechos y obligaciones: la entidad posee o controla los

derechos de los activos, y los pasivos son obligacionesde la entidad.

(iii) Integridad: se han registrado todos los activos, pasivose instrumentos de patrimonio neto que tenían queregistrarse.

(iv) Valoración e imputación: los activos, pasivos y elpatrimonio neto figuran en los estados financieros porimportes apropiados y cualquier ajuste de valoración oimputación resultante ha sido adecuadamenteregistrado.

(c) Afirmaciones sobre la presentación e información a revelar:

(i) Ocurrencia y derechos y obligaciones: los hechos,

transacciones y otras cuestiones revelados han ocurridoy corresponden a la entidad.

(ii) Integridad: se ha incluido en los estados financieros

toda la información a revelar que tenía que incluirse.

(iii) Clasificación y comprensibilidad: la información

financiera se presenta y describe adecuadamente, y lainformación a revelar se expresa con claridad.

(iv) Exactitud y valoración: la información financiera y la

otra información se muestran fielmente y por las



cantidades adecuadas.

A125. El auditor puede utilizar las afirmaciones, tal como se handescrito anteriormente o puede expresarlas de una maneradiferente siempre que todos los aspectos antes descritos hayansido cubiertos. Por ejemplo, el auditor puede elegir combinar lasafirmaciones sobre transacciones y hechos con las afirmacionessobre saldos contables.


A126. Al efectuar afirmaciones acerca de los estados financieros deentidades del sector público, además de las afirmacionesmencionadas en el apartado A124, la dirección puede afirmar amenudo que las transacciones y hechos se han desarrollado deconformidad con las disposiciones legales o reglamentarias, o deotro tipo. Dichas afirmaciones pueden incluirse en el alcance dela auditoría de los estados financieros.

Proceso de identificación de los riesgos de incorrección material [Ref: Apartado 26(a)]

A127. La información obtenida mediante la aplicación de losprocedimientos de valoración del riesgo, incluida la evidencia deauditoría obtenida durante la evaluación del diseño de loscontroles y la determinación de si se han implementado, seutiliza como evidencia de auditoría en apoyo de la valoración delriesgo. La valoración del riesgo determina la naturaleza,momento de realización y extensión de los procedimientos deauditoría posteriores que deben aplicarse.

A128. En el anexo 2 figuran ejemplos de circunstancias y hechos quepueden indicar la existencia de riesgos de incorrección material.

Relación entre los controles y las afirmaciones [Ref: Apartado 26(c)]

A129. Al realizar las valoraciones del riesgo, el auditor puede identificarlos controles que pueden prevenir, o detectar y corregir, una

incorrección material contenida en afirmaciones específicas. Porlo general es útil obtener conocimiento de los controles yrelacionarlos con afirmaciones en el contexto de los procesos ysistemas en los que existen, ya que las actividades de control,por sí mismas, específicas a menudo no sirven para responder aun riesgo. Con frecuencia, sólo múltiples actividades de control,junto con otros componentes de control interno, seránsuficientes para responder a un riesgo.

A130. En cambio, algunas actividades de control pueden tener unefecto específico sobre una afirmación determinada incorporadaen determinados tipos de transacciones o saldos contables. Porejemplo, las actividades de control que una entidad haestablecido para asegurar que su personal cuenta y registracorrectamente el recuento físico anual de existencias serelacionan directamente con las afirmaciones de realidad eintegridad relativas al saldo contable de las existencias.



A131. Los controles pueden estar relacionados directa oindirectamente con una afirmación. Cuanto más indirecta sea larelación, menos eficaz será el control para prevenir, o detectary corregir, incorrecciones en dicha afirmación. Por ejemplo, larevisión por el director de ventas de un resumen de las ventasde determinadas tiendas por región, normalmente sólo estáindirectamente relacionada con la afirmación de integridad de losingresos ordinarios por ventas. En consecuencia, puede sermenos eficaz para reducir los riesgos de dicha afirmación que loscontroles más directamente relacionados con ella, como laconciliación de documentos de envío con documentos defacturación.

Riesgos significativos

Identificación de riesgos significativos (Ref: Apartado 28)

A132. Los riesgos significativos a menudo están relacionados contransacciones significativas no rutinarias o con otras cuestionesque requieren la aplicación de juicio. Las transacciones norutinarias son transacciones inusuales, debido a su dimensión onaturaleza y que, por lo tanto, no ocurren con frecuencia. Lascuestiones que requieren la aplicación de juicio pueden incluir larealización de estimaciones contables sobre las que existe unaincertidumbre significativa en la medición. Es menos probableque las transacciones rutinarias, no complejas, que estánsujetas a un procesamiento sistemático, originen riesgossignificativos.

A133. Los riesgos de incorrección material pueden ser mayores en elcaso de transacciones significativas no rutinarias que surjan decuestiones como las siguientes:

• Mayor intervención de la dirección para especificar eltratamiento contable.

• Mayor intervención manual para recoger y procesar datos.

• Cálculos o principios contables complejos.

• La naturaleza de las transacciones no rutinarias, quepudieran dificultar a la entidad la implementación decontroles sobre sus riesgos.

A134. Los riesgos de incorrección material pueden ser mayores en elcaso de cuestiones de juicio significativas que requieran larealización de estimaciones contables que surjan de cuestionescomo las siguientes:

• Los principios contables relativos a las estimacionescontables o al reconocimiento de ingresos pueden estarsujetos a diferentes interpretaciones.

• El juicio requerido puede ser subjetivo o complejo, o requerirhipótesis sobre los efectos de hechos futuros; por ejemplo,el juicio sobre el valor razonable.

A135. La NIA 330 describe las consecuencias para los procedimientosde auditoría posteriores de la calificación de un riesgo como

significativo. 16



16 NIA 330, apartados 15 y 21.

Riesgos significativos relacionados con los riesgos de incorrecciónmaterial debida a fraude

A136. La NIA 240 proporciona requerimientos y orientacionesadicionales sobre la identificación y valoración de los riesgos de

incorrección material debida a fraude. 17

17 NIA 240, apartados 25-27.

Comprensión de los controles relacionados con riesgos significativos(Ref: Apartado 29)

A137. Si bien, a menudo es menos probable que los riesgosrelacionados con cuestiones significativas no rutinarias o querequieren la aplicación de juicio estén sujetos a controlesrutinarios, la dirección puede tener otras respuestas cuyafinalidad es tratar dichos riesgos. En consecuencia, elconocimiento por el auditor de si la entidad ha diseñado eimplementado controles para los riesgos significativos que surjande cuestiones no rutinarias o que requieren la aplicación dejuicio incluye conocer si la dirección responde a dichos riesgos yel modo en que lo hace. Dichas respuestas pueden incluir losiguiente:

• Actividades de control como la revisión de hipótesis por laalta dirección o por expertos.

• Procesos documentados para las estimaciones.

• Aprobación por los responsables del gobierno de la entidad.

A138. Por ejemplo, cuando se producen hechos únicos como larecepción de la notificación de una demanda significativa, laconsideración de la respuesta de la entidad puede incluircuestiones como si se ha remitido a los expertos adecuados(como los asesores jurídicos internos o externos), si se harealizado una valoración de su efecto potencial, y el modo enque se propone que las circunstancias se revelen en los estadosfinancieros.

A139. En algunos casos, la dirección puede no haber respondidoadecuadamente a riesgos significativos de incorrección materialmediante la implementación de controles para dichos riesgos. Elhecho de que la dirección no haya implementado dichoscontroles indica una deficiencia significativa en el control

interno.18

18 NIA 265, Comunicación de las deficiencias en el control interno alos responsables del gobierno y a la dirección de la entidad,apartado A7.

Riesgos para los que los procedimientos sustantivos por sí solos noproporcionan evidencia de auditoría suficiente y adecuada (Ref:Apartado 30)

A140. Los riesgos de incorrección material pueden estar directamenterelacionados con el registro de tipos de transacciones o saldoscontables rutinarios, y con la preparación de estados financierosfiables. Dichos riesgos pueden incluir los riesgos de un



procesamiento inexacto o incompleto de tipos de transaccionesrutinarias y significativas, tales como ingresos ordinarios,compras y cobros, o pagos de la entidad.

A141. Cuando dichas transacciones rutinarias estén sujetas a unprocesamiento muy automatizado con escasa o nulaintervención manual, puede que no resulte posible aplicarúnicamente procedimientos sustantivos en relación con elriesgo. Por ejemplo, el auditor puede considerar que éste es elcaso de aquellas circunstancias en las que una partesignificativa de la información de la entidad se inicia, registra,procesa o notifica sólo de manera electrónica, como en unsistema integrado. En estos casos:

• Es posible que la evidencia de auditoría únicamente estédisponible en formato electrónico, y que su suficiencia yadecuación normalmente dependan de la eficacia de loscontroles sobre su exactitud e integridad.

• La posibilidad de que la información se inicie o altere demanera incorrecta y de que este hecho no se detectepuede ser mayor si los correspondientes controles no estánfuncionando de manera eficaz.

A142. La NIA 330 describe las consecuencias de la identificación dedichos riesgos para los procedimientos de auditoría posteriores.19

19 NIA 330, apartado 8.

Revisión de la valoración del riesgo (Ref: Apartado 31)

A143. Durante la realización de la auditoría puede llegar aconocimiento del auditor información que difierasignificativamente de la información sobre la que se basó lavaloración del riesgo. Por ejemplo, la valoración del riesgo puedebasarse en la suposición de que ciertos controles estánfuncionando de manera eficaz. Al realizar las pruebas sobredichos controles, el auditor puede obtener evidencia deauditoría de que no funcionaron de manera eficaz en momentosimportantes durante la realización de la auditoría. Del mismomodo, al aplicar procedimientos sustantivos, el auditor puededetectar incorrecciones por cantidades superiores o con mayorfrecuencia de lo que corresponde a las valoraciones del riesgorealizadas por el auditor. En tales circunstancias, puede ocurrirque la valoración del riesgo no refleje adecuadamente lasverdaderas circunstancias de la entidad y los procedimientos deauditoría posteriores planificados pueden no ser eficaces paradetectar incorrecciones materiales. Véase la NIA 330 para másorientaciones.

Documentación (Ref: Apartado 32)

A144. El modo en que se deben documentar los requerimientos delapartado 32 debe determinarlo el auditor de acuerdo con sujuicio profesional. Por ejemplo, en las auditorías de entidades depequeña dimensión, la documentación puede incluirse en la delauditor relativa a la estrategia global de auditoría y plan de

auditoría.20 Del mismo modo, por ejemplo, los resultados de lavaloración del riesgo se pueden documentar por separado o se



pueden incluir en la documentación del auditor sobre los

procedimientos posteriores.21 La forma y extensión de ladocumentación depende de la naturaleza, dimensión ycomplejidad de la entidad, así como de su control interno, de ladisponibilidad de información por parte de la entidad y de lametodología y tecnología de auditoría utilizadas en el transcursode la auditoría.

20 NIA 300, Planificación de la auditoria de los estados financieros,apartados 7 y 9.

21 NIA 330, apartado 28.

A145. En el caso de entidades cuya actividad y cuyos procesos no soncomplicados a efectos de la información financiera, ladocumentación puede adoptar una forma sencilla y serrelativamente breve. No es necesario documentar la totalidaddel conocimiento del auditor sobre la entidad y las cuestionesrelacionadas con dicho conocimiento. Los elementos clave delconocimiento documentados por el auditor incluyen aquellos quesirven de base al auditor para valorar los riesgos de incorrecciónmaterial.

A146. La extensión de la documentación puede también reflejar laexperiencia y las capacidades de los miembros del equipo delencargo de la auditoría. Siempre que se cumplan losrequerimientos de la NIA 230, una auditoría realizada por unequipo del encargo compuesto por personas con menosexperiencia puede necesitar una documentación más detallada,con la finalidad de facilitarles la obtención del adecuadoconocimiento de la entidad, que una auditoría realizada por unequipo formado por personas con experiencia.

A147. En el caso de auditorías recurrentes, puede utilizarse ciertadocumentación de periodos anteriores, actualizada segúnresulte necesario para reflejar los cambios en los negocios oprocesos de la entidad.

Anexo 1

[Ref: Apartados 4(c), 14-24, A76-A117]


1. El presente anexo proporciona explicaciones más detalladassobre los componentes del control interno, tal como seestablecen en los apartados 4(c), 14-24 y A76-A117, en lamedida en que tienen relación con una auditoría de estadosfinancieros.

Entorno de control

2. El entorno de control engloba los siguientes elementos:

(a) Comunicación y vigilancia de la integridad y de los valoreséticos. La eficacia de los controles no puede situarse porencima de la integridad y los valores éticos de las personasque los crean, administran y realizan su seguimiento. Laintegridad y el comportamiento ético son el producto de lasnormas de ética y de comportamiento de la entidad, delmodo en que son comunicados y de la manera en que son



implantados en la práctica. La vigilancia de la integridad ylos valores éticos incluye, por ejemplo, las actuaciones de ladirección con el fin de eliminar o reducir los incentivos o lastentaciones que pueden llevar al personal a cometer actosdeshonestos, ilegales o faltos de ética. La comunicación delas políticas de la entidad relativas a la integridad y a losvalores éticos puede incluir la comunicación al personal denormas de comportamiento mediante declaraciones depolíticas y de códigos de conducta, así como a través delejemplo.

(b) Compromiso con la competencia. La competencia es elconocimiento y las cualificaciones necesarias para realizarlas tareas que definen el trabajo de una persona.

(c) Participación de los responsables del gobierno de la entidad.Los responsables del gobierno de la entidad influyen demanera significativa en la conciencia de control de laentidad. La importancia de las responsabilidades de losresponsables del gobierno de la entidad se reconoce encódigos de conducta y otras disposiciones legales oreglamentarias, u orientaciones creadas en beneficio de losresponsables del gobierno de la entidad. Otrasresponsabilidades de los responsables del gobierno de laentidad incluyen la supervisión del diseño y delfuncionamiento eficaz de los procedimientos de denuncia ydel proceso para la revisión de la eficacia del control internode la entidad.

(d) Filosofía y estilo operativo de la dirección. La filosofía y elestilo operativo de la dirección abarcan un amplio espectrode características. Por ejemplo, las actitudes y actuacionesde la dirección en relación con la información financiera sepueden manifestar por medio de una selección conservadorao agresiva de principios contables alternativos, o del rigor ygrado de conservadurismo con los que se realizan lasestimaciones contables.

(e) Estructura organizativa. El establecimiento de unaestructura organizativa relevante incluye la consideración delas áreas clave de autoridad y responsabilidad, así como delas líneas de información adecuadas. La adecuación de laestructura organizativa de una entidad depende, en parte,de su dimensión y de la naturaleza de sus actividades.

(f) Asignación de autoridad y responsabilidad. La asignación deautoridad y responsabilidad puede incluir políticas relativas aprácticas empresariales adecuadas, conocimiento yexperiencia del personal clave, así como los recursosdisponibles para el desarrollo de las tareas. Además, puede

incluir políticas y comunicaciones cuyo fin es asegurar quetodo el personal comprende los objetivos de la entidad, sabeel modo en que sus actuaciones individuales seinterrelacionan y contribuyen a dichos objetivos, y esconsciente del modo en que se le exigirá su responsabilidady su contenido.

(g) Políticas y prácticas relativas a recursos humanos. Las



políticas y prácticas relativas a recursos humanos a menudodemuestran cuestiones importantes en relación con laconciencia de control de una entidad. Por ejemplo, lasnormas de selección de las personas más cualificadas -resaltando la formación, la experiencia laboral anterior, loslogros anteriores y la acreditación de integridad y decomportamiento ético- demuestran el compromiso de unaentidad de contratar personas competentes y dignas deconfianza. Las políticas de formación que comunican lasfunciones y responsabilidades prospectivas e incluyenprácticas, tales como escuelas y seminarios, ilustran losniveles esperados de desempeño y comportamiento. Laspromociones basadas en evaluaciones periódicas deldesempeño demuestran el compromiso de la entidad con elascenso de personal cualificado a niveles más altos deresponsabilidad.

El proceso de valoración del riesgo por la entidad

3. Para los fines de la información financiera, el proceso devaloración del riesgo por la entidad incluye el modo en que ladirección identifica los riesgos de negocio relevantes para lapreparación de los estados financieros de conformidad con elmarco de información financiera aplicable a la entidad, estima susignificatividad, valora su probabilidad de ocurrencia y tomadecisiones con respecto a las actuaciones necesarias paradarles respuesta y gestionarlos, así como los resultados de todoello. Por ejemplo, el proceso de valoración del riesgo por laentidad puede tratar el modo en que la entidad considera laposibilidad de que existan transacciones no registradas oidentifica y analiza estimaciones significativas registradas en losestados financieros.

4. Los riesgos relevantes para una información financiera fiableincluyen hechos externos e internos, transacciones ocircunstancias que pueden tener lugar y afectar negativamentea la capacidad de la entidad de iniciar, registrar, procesar einformar sobre datos financieros coherentes con las afirmacionesde la dirección incluidas en los estados financieros. La direcciónpuede iniciar planes, programas o actuaciones para responder ariesgos específicos o puede decidir aceptar un riesgo debido alcoste o a otras consideraciones. Los riesgos pueden surgir ovariar debido a circunstancias como las siguientes:

• Cambios en el entorno operativo. Los cambios en el entornoregulatorio u operativo pueden tener como resultadocambios en las presiones competitivas y riesgossignificativamente distintos.

• Nuevo personal. El nuevo personal puede tener unaconcepción o interpretación diferente del control interno.

• Sistemas de información nuevos o actualizados. Loscambios rápidos y significativos en los sistemas deinformación pueden modificar el riesgo relativo al controlinterno.



• Crecimiento rápido. Una expansión significativa y rápida delas operaciones puede poner a prueba los controles eincrementar el riesgo de que éstos dejen de funcionar.

• Nueva tecnología. La incorporación de nuevas tecnologías alos procesos productivos o a los sistemas de informaciónpuede cambiar el riesgo asociado al control interno.

• Nuevos modelos de negocio, productos o actividades.Iniciar áreas de negocio o transacciones con las que laentidad tiene poca experiencia puede introducir nuevosriesgos asociados al control interno.

• Reestructuraciones corporativas. Las reestructuracionespueden venir acompañadas de reducciones de plantilla y decambios en la supervisión y en la segregación de funcionesque pueden cambiar el riesgo asociado al control interno.

• Expansión de las operaciones en el extranjero. La expansióno la realización de operaciones en el extranjero trae consigonuevos riesgos, a menudo excepcionales, que puedenafectar al control interno; por ejemplo, riesgos adicionales odiferentes en relación con transacciones en monedaextranjera.

• Nuevos pronunciamientos contables. La adopción de nuevosprincipios contables o la modificación de los principioscontables puede tener un efecto en los riesgos de lapreparación de estados financieros.

El sistema de información, incluidos los procesos de negociorelacionados, relevante para la preparación de la informaciónfinanciera, y la comunicación

5. Un sistema de información está constituido por unainfraestructura (componentes físicos y de hardware), software,personas, procedimientos y datos. Muchos sistemas deinformación hacen un amplio uso de las Tecnologías de laInformación (TI).

6. El sistema de información relevante para los objetivos de lainformación financiera, que incluye el sistema de informaciónfinanciera, engloba los métodos y registros que:

• Identifican y registran todas las transacciones válidas;

• permiten su correcta clasificación a efectos de lainformación financiera;

• miden el valor de las transacciones de un modo que permiteque su valor monetario correcto se registre en los estadosfinancieros;

• determinan el periodo en el que se han producido lastransacciones con el fin de permitir su registro en el periodocontable correcto;.

• presentan adecuadamente las transacciones y lacorrespondiente información a revelar en los estadosfinancieros.

7. La calidad de la información generada por el sistema influye en



la capacidad de la dirección de tomar las decisiones adecuadasen materia de dirección y control de las actividades de laentidad, así como de preparar informes financieros fiables.

8. La comunicación, que implica proporcionar conocimiento de lasfunciones y responsabilidades individuales del control internosobre la información financiera, puede adoptar la forma demanuales de políticas, manuales contables y de informaciónfinanciera y circulares. La comunicación también puede serrealizada por vía electrónica, verbal y mediante las actuacionesde la dirección.

Actividades de control

9. Por lo general, las actividades de control que pueden serrelevantes para la auditoría pueden clasificarse como políticas yprocedimientos que pertenecen a las siguientes categorías oque hacen referencia a lo siguiente:

• Revisiones de resultados. Dichas actividades de controlincluyen revisiones y análisis de los resultados reales encomparación con los presupuestos, los pronósticos y losresultados del periodo anterior; la puesta en relación dediferentes conjuntos de datos -operativos o financieros-junto con el análisis de las relaciones y las actuaciones deinvestigación y corrección; la comparación de datos internoscon fuentes externas de información; y la revisión de losresultados funcionales o de las actividades.

• Procesamiento de la información. Los dos grandes gruposde actividades de control de los sistemas de información sonlos controles de aplicaciones, que se aplican alprocesamiento de las aplicaciones individuales, y loscontroles generales de las TI, que consisten en políticas yprocedimientos relativos a numerosas aplicaciones y que sonla base de un funcionamiento eficaz de los controles deaplicaciones al permitir asegurar un funcionamiento continuoadecuado de los sistemas de información. Ejemplos decontroles de aplicaciones incluyen la comprobación de laexactitud aritmética de los registros, el mantenimiento yrevisión de las cuentas y balances de comprobación,controles automatizados tales como filtros de datos deentrada y comprobaciones de secuencia numérica, y elseguimiento manual de los informes de excepciones.Ejemplos de controles generales de las TI son los controlessobre los cambios en los programas, los que restringen elacceso a los programas o a los datos, los relativos a laimplementación de nuevas versiones de aplicaciones depaquetes de software, y los relacionados con el software desistemas que restringen el acceso o hacen un seguimientode la utilización de las utilidades del sistema que podríancambiar datos o registros financieros sin dejar rastro para laauditoría.

Controles físicos. Son los controles que engloban:

º La seguridad física de los activos, incluidas las



salvaguardas adecuadas, tales como instalaciones conmedidas de seguridad, para el acceso a los activos y alos registros.

º La autorización del acceso a los programas informáticos

y a los archivos de datos.

º El recuento periódico y la comparación con lascantidades mostradas en los registros de control (porejemplo, la comparación de los recuentos de efectivo,valores y existencias con los registros contables).

El grado en que los controles físicos cuya finalidad esprevenir el robo de los activos son relevantes para lafiabilidad de la preparación de los estados financieros y, porconsiguiente, para la auditoría, depende de circunstanciastales como si existe una alta exposición de los activos a laapropiación indebida.

• Segregación de funciones La asignación a diferentespersonas de las responsabilidades relativas a la autorizaciónde las transacciones, al registro de las transacciones y almantenimiento de la custodia de los activos. La finalidad dela segregación de funciones es reducir las oportunidades deque cualquier persona esté en una situación que le permitaa la vez cometer y ocultar errores o fraude en el cursonormal de sus funciones.

10. Algunas actividades de control pueden depender de la existenciade políticas adecuadas de mayor rango establecidas por ladirección o por los responsables del gobierno de la entidad.

Por ejemplo, los controles de autorización pueden delegarse deacuerdo con directrices establecidas, tales como criterios deinversión fijados por los responsables del gobierno de la entidad;por el contrario, las transacciones no rutinarias, tales comoadquisiciones o desinversiones importantes, pueden requerir unaaprobación específica a un nivel alto, incluso en algunos casospor parte de los accionistas.

Seguimiento de los controles

11. Una responsabilidad importante de la dirección es establecer ymantener el control interno de manera continuada. Elseguimiento de los controles por la dirección incluye laconsideración de si están funcionando como se espera y si semodifican según corresponda ante cambios en las condiciones.El seguimiento de los controles puede incluir actividades como larevisión por la dirección de si las conciliaciones bancarias sepreparan oportunamente, la evaluación por los auditoresinternos del cumplimiento por el personal de ventas de laspolíticas de la entidad sobre condiciones de los contratos deventa, y la supervisión por el departamento jurídico delcumplimiento de las políticas de la entidad en materia de ética ode práctica empresarial. El seguimiento se realiza también paraasegurarse de que los controles siguen funcionando de maneraeficaz con el transcurso del tiempo. Por ejemplo, si lapuntualidad y la exactitud de las conciliaciones bancarias no sonobjeto de seguimiento, es probable que el personal deje deprepararlas.



12. Los auditores internos o el personal que realice tareas similarespueden contribuir al seguimiento de los controles de una entidadmediante evaluaciones individuales. Normalmente, proporcionaninformación con regularidad acerca del funcionamiento delcontrol interno, dedicando una considerable atención a laevaluación de la eficacia de dicho control, comunicaninformación sobre los puntos fuertes y las deficiencias delcontrol interno y formulan recomendaciones para su mejora.

13. Las actividades de seguimiento pueden incluir la utilización deinformación de comunicaciones de terceros externos que puedenindicar problemas o resaltar áreas que necesitan mejoras. Losclientes implícitamente corroboran los datos de facturación alpagar sus facturas o al reclamar por sus cargos. Además, lasautoridades reguladoras se pueden comunicar con la entidad enrelación con cuestiones que afectan al funcionamiento delcontrol interno; por ejemplo, comunicaciones relativas ainspecciones por autoridades de supervisión bancaria. Asimismo,en la realización de actividades de seguimiento, la direcciónpuede tener en cuenta comunicaciones relativas al controlinterno procedentes de los auditores externos.

Anexo 2

(Ref: Apartados A40, A128)

Condiciones y hechos que pueden indicar la existencia de riesgosde incorrección material

A continuación figuran ejemplos de condiciones y hechos que puedenindicar la existencia de riesgos de incorrección material. Los ejemplosmencionados aquí abarcan un amplio espectro de condiciones ohechos; sin embargo, no todos son relevantes para todo encargo deauditoría y la lista de ejemplos no es necesariamente exhaustiva:

• Operaciones en regiones económicamente inestables; porejemplo, en países con significativa devaluación de lamoneda o con economías muy inflacionistas.

• Operaciones expuestas a mercados volátiles; por ejemplo,comercio con futuros.

• Operaciones sujetas a un alto grado de regulación compleja.

• Problemas de empresa en funcionamiento y de liquidez,incluida la pérdida de clientes significativos.

• Restricciones en la disponibilidad de capital y de créditos.

• Cambios en el sector en el que opera la entidad.

• Cambios en la cadena de suministros.

• Desarrollo u oferta de nuevos productos o servicios, ocambios a nuevas líneas de negocio.

• Expansión a nuevas ubicaciones.

• Cambios en la entidad, como importantes adquisiciones o



reorganizaciones u otros hechos inusuales.

• Probabilidades de venta de entidades o de segmentos denegocio.

• Existencia de alianzas y de negocios conjuntos complejos.

• Utilización de financiación fuera de balance, entidades concometido especial y otros acuerdos de financiacióncomplejos.

• Transacciones significativas con partes vinculadas.

• Falta de personal con las cualificaciones necesarias en elárea contable y de información financiera.

• Cambios en personal clave, incluida la salida de ejecutivosclave.

• Deficiencias en el control interno, especialmente las notratadas por la dirección.

• Incongruencias entre la estrategia de TI de la entidad y susestrategias de negocio.

• Cambios en el entorno de las TI.

• Instalación de nuevos y significativos sistemas de TIrelacionados con la información financiera.

• Indagaciones sobre las operaciones de la entidad o de susresultados financieros realizadas por organismos reguladoreso gubernamentales.

• Incorrecciones anteriores, historial de errores o un elevadonúmero de ajustes al cierre del periodo.

• Número significativo de transacciones no rutinarias o nosistemáticas, incluidas transacciones intergrupo eimportantes transacciones generadoras de ingresos al cierredel periodo.

• Transacciones registradas sobre la base de las intencionesde la dirección; por ejemplo, refinanciación de la deuda,activos mantenidos para la venta y clasificación de losvalores negociables.

• Aplicación de nuevos pronunciamientos contables.

• Mediciones contables que conllevan procesos complejos.

• Hechos o transacciones que implican una incertidumbresignificativa de medición, incluidas las estimacionescontables.

• Litigios y pasivos contingentes pendientes; por ejemplo,garantías post-venta, garantías financieras y reparaciónmedioambiental.

NORMAS INTERNACIONALES DE AUDITORÍA - NIA … · Alcance de esta NIA 1 Fecha de entrada en vigor 2...

Documents

Transcript of NORMAS INTERNACIONALES DE AUDITORÍA - NIA … · Alcance de esta NIA 1 Fecha de entrada en vigor 2...