Procedimiento de la auditoría C.P. Jorge Arturo Herrera

Procedimiento de la auditoría C.P. Jorge Arturo Herrera

1

4. Procedimiento de auditoría

La auditoría se basa en desarrollar un entendimiento profundo del negocio del

cliente ya que creemos que esto nos ayuda a desarrollar una auditoría más efectiva y

eficiente. Veamos ahora que es lo que hacemos bajo este enfoque.

Como ustedes saben, una auditoría tiene tres etapas principales: Planeación,

construcción de evidencia y terminación. Cada una de estas etapas requiere de

actividades específicas, una buena planeación y comunicación entre los miembros

del equipo.

Sin embargo, además de estas tres fases, antes de la planeación se debe de analizar

si es conveniente auditar o no al cliente dependiendo el grado de riesgo que

pretenda asumir el auditor, a este proceso le llamaremos “Preliminar”.

La respuesta de la administración a los riesgos, esto es, sus controles internos, sin

importar cuán bien diseñados y operados estén, sólo puede proporcionar una

certeza razonable y no absoluta, debido a las limitaciones inherentes de control

interno, algunas de estas limitaciones pueden ser:

La realidad de que el juicio humano en la toma de decisiones puede fallar y de

que pueden existir interrupciones del control interno debido a fallas humanas

como simples errores o equivocaciones.

Los controles de riesgo de fraude, sean manuales o automatizados, que

generalmente son efectivos pueden ser evadidos por la colusión de dos o más


2

personas o por la anulación inapropiada del control interno por parte de la

administración.

El control interno está influenciado por las estimaciones y juicios cuantitativos

y cualitativos hechos por la administración en la evaluación de la relación

costo-beneficio del control interno de una entidad y estos juicios pueden ser

erróneos, o al menos, podemos estar en desacuerdo con dichos juicios.

Debido a estas limitaciones inherentes, siempre existe algún riesgo de control, aún

en aquellos casos en que evaluamos los controles del cliente como altamente

efectivos. Reconociendo esto y tomando en cuenta los resultados de nuestras

pruebas a los controles clave, tenemos que determinar qué tanta otra evidencia de

auditoría necesitamos con respecto a una o más cuentas, clases de transacciones y

aseveraciones.

La Norma Internacional de Auditoría (NIA) 400 requiere que, sin importar cuán

efectivos parezcan ser los controles, todas las auditorías deben incluir algunas

pruebas sustantivas, estableciendo: “Independientemente de los niveles evaluados

de riesgos inherentes y de control, el auditor debe aplicar algunos procedimientos

sustantivos para saldos de cuentas y clases de transacciones que sean materiales”.


3

4.1. Planeación de la auditoría

La planeación es la etapa en la cual se decide los procedimientos a seguir, en esta fase

se hará uso de los procedimientos analíticos para poder generar un visión de los

cambios más significativos que tuvo la compañía durante un periodo determinado,

además se realizará un estudio sobre el ambiente económico en cual se desarrolla y

se obtendrá un mayor conocimiento del cliente, con el fin de conocer los riesgos que

se tienen o se pudieran tener durante la auditoria.

A continuación se mencionan algunos puntos básicos que nos servirán para realizar

una buena planeación estratégica:

1. Estudio General. Es en donde el auditor conoce de la empresa:

a) Constitución.

b) Obligaciones: laborales, SHCP, fiscales, INFONAVIT, etc.

c) Estado de situación Financiera de la empresa: compras, gastos, ingresos, etc.

d) Estructura organizacional de la empresa: Administración Finanzas, etc.

e) Contractual: contratos internos/externos. Por ejemplo: proveedores, clientes,

sindicatos, colectivos de trabajo.

f) Recorrido físico a las instalaciones de la compañía.

2. Estudio y evaluación del control interno. Cuestionario, pruebas, organigramas,

flujo gramas de operación y políticas, en las que se podrán determinar tres aspectos:

naturaleza, alcance y oportunidad.


4

3. Revisión analítica: analizar la Información financiera presente y de ejercicios

anteriores, solvencia, factibilidad y estados financieros.

4. Importancia relativa: Visualizar los posibles errores y que dichos errores no afecten

la relación externa.

5. Riesgo de auditoría: Verificar que los riesgos inherentes, de detección y de control

sean mínimos y que el auditor no pueda expresar una opinión diferente.

El entendimiento de los procesos de negocios es la manera más simple (si no la única)

para entender el modo en que operan nuestros clientes, cuando ellos perciben

peligro (por ejemplo, riesgo) como ellos ejercen el control.

Comprender los procesos nos ayuda críticamente a evaluar la manera en que el

cliente organiza sus actividades. Como estoy seguro que saben que los estados

financieros son más que la suma de facturas.

A menudo, los riesgos de auditoría se incrementan cuando el cliente tiene procesos

de negocios complejos donde ocurren más transacciones y por lo tanto necesitamos

obtener más confort de auditoría en estas áreas. Entender los procesos nos permite

determinar si la respuesta del gerente o socio, para los problemas potenciales de

negocios es la adecuada.


5

4.1.1 Fase preliminar

En la fase preliminar inicia el proceso de auditoría. El propósito de esta etapa es para

dar dirección y conducir de manera ordenada el proceso inicial de planificación.

Para ser capaz de planear una auditoría de manera efectiva, la fase preliminar incluye

varias tareas y actividades, las principales son:

1. Actividades de aceptación y continuidad. Las actividades de aceptación &

continuidad son las primeras actividades que se realizan al iniciar un compromiso. Las

responsabilidades del equipo son, en relación con el proceso de aceptación y

continuidad:

El proceso de aceptación y continuidad - en consulta con el líder del equipo,

completar la evaluación de A & C y preparar cualquier análisis pertinente a la

decisión.

Carta compromiso para preparar/ actualizar la carta de compromiso y ser

proactivos en lograr la oportuna firma de la carta compromiso por el líder y el

cliente.

Formas de independencia - la evaluación incluirá detalles de las amenazas en

la independencia y las salvaguardias en el lugar.

2. Construir el equipo de auditoría. Organización del equipo de auditoría (incluyendo

especialistas donde sea aplicable) y asignar tareas y responsabilidades.


6

Preparar y realizar la reunión inicial.

Comúnmente, se espera que el Contador Público sea requerido para dirigir la

discusión de fraude, otros miembros y especialistas implicados en la auditoría asistan

a la reunión inicial.

Las discusiones incluyen: Susceptibilidad de que los estados financieros de la entidad

contengan errores materiales (debido al fraude o al error) incluidos:

Marco bajo el cual están reportando o emitiendo sus reportes.

Escepticismo profesional.

Estos requisitos para las reuniones iniciales se aplican a todos los clientes. Sin

embargo, en clientes más pequeños, la "reunión" podría ser una breve discusión

informal, con tal de que cubra por lo menos, los asuntos mínimos de la orden del día

(agenda). Donde sea posible, todos los miembros deben asistir a la reunión inicial. En

clientes más grandes, si es más apropiado, estas discusiones se pueden realizar en

reuniones separadas, por ejemplo, discusiones de fraude o reunión con los

especialistas.

3. Preparar el plan de proyecto inicial. Este puede contener los presupuestos, el plan

de tareas, las fechas límites claves acordadas con el cliente, juntas de avance internas,

desarrollo de objetivos para el equipo, el plan de servicios al cliente y un plan de

comunicación.


7

Este puede diferenciarse dependiendo de la complejidad o tamaño del cliente,

incluso puede contener todos los ya mencionados arriba o menos y otros

especialistas, rol, tareas y presupuestos se pueden integrar dentro del plan. Todo esto

se puede considerar en el resumen de procedimientos a realizar, y si es un cliente

recurrente, te puedes apoyar en el del año pasado

4.1.2 Estudio, evaluación y organización de la Entidad

La ISA 315 requiere que los equipos de auditoría obtengan o actualicen un

entendimiento compartido de la entidad y su ambiente, incluyendo el control interno.

En este contexto, nos referimos a un ambiente general en el cual opera la entidad, y

toma en cuenta, por ejemplo, la industria, aspectos legales, políticos del ambiente

regulatorio.

Necesitamos entender la entidad y su ambiente para identificar los riesgos de errores

materiales en los estados financieros a causa del error o del fraude así como para

diseñar y realizar los procedimientos de auditoría que consideremos necesarios.

Para el estudio de la entidad podemos basarnos en algunos componentes como son:

Industria, y otros factores externos, incluyendo el marco de los reportes financieros.

a) Naturaleza de la entidad.

b) Selección de la entidad y la aplicación de las políticas contables.


8

c) Objetivos y estrategias y los riesgos de negocios relacionados, los cuales

pueden resultar en errores materiales a los estados financieros.

d) Medición y revisión del desempeño financiero de la entidad.

Debemos documentar los elementos clave tomando en cuenta las cinco áreas que

hemos discutido. Esto es para asegurar que hemos evaluado los riegos de errores

materiales en los estados financieros; las fuentes de información y los riesgos de los

procedimientos.

Los equipos de auditoría pueden decidir, con base en los factores de tamaño,

complejidad del cliente y experiencia; cuál es la mejor manera de documentar el

entendimiento de la entidad.

Documentando nuestro entendimiento del negocio y nuestro punto de vista en los

riesgos de negocio, el equipo de auditoría puede:

Desarrollar nuestro entendimiento y punto de vista, incluyendo su efecto en

las áreas de fraude, materialidad y procedimientos analíticos preliminares.

Comparar nuestro punto de vista con el de la administración, para evaluar el

análisis de riesgo de la administración y el ambiente de control y para

desarrollar un plan apropiado para mitigar estos riesgos.

Crear un marco de referencia que se puede referir durante la auditoría.

Asegurar las circunstancias que no han cambiado y que no requieren un

cambio en el enfoque de nuestra auditoría.


9

Programa de Auditoria.

El plan de trabajo o programa de auditoría debe incorporar las apropiadas pruebas

sustantivas que pueden adaptarse de la información maestra general (o específica

para una industria). A menos que se haya obtenido confort de las juntas iniciales,

estos procedimientos deberán estar diseñados para obtener alta certeza de las

pruebas sustantivas (incluyendo el uso de tamaños de muestra apropiados en los

casos en que se usará el muestreo).

4.1.3 Determinación de índices y marcas

Todas las cédulas deben de contener un índice el cual se debe de utilizar de manera

uniforme por el personal que participe en la revisión.

El índice se deberá de anotar con lápiz rojo, en la esquina inferior derecha, de forma

que sean fáciles de identificar.

Las marcas de auditoría son símbolos o marcas que se utilizan durante la auditoria,

estas marcas deberán plasmarse en las cédulas de revisión e indicaran los

procedimientos utilizados o aplicados durante la revisión; cada marca o símbolo debe

tener su significado.


10

Toda la información contenida en un papel de trabajo deberá indicar de dónde se

obtuvo el dato o información, o tener un cruce de auditoría que señale de donde se

tomó el dato correspondiente.

Las Marcas de Auditoria son símbolos utilizados por el auditor para señalar en sus

papeles de trabajo el tipo de revisión y prueba efectuadas los cuales reportan los

siguientes beneficios:

Facilita el trabajo y aprovecha el espacio al anotar, en una sola ocasión, el

trabajo realizado en varias partidas.

Facilita su supervisión al poderse comprender en forma inmediata el trabajo

realizado.

Con el propósito de ahorrarse tiempo y papel, es necesario utilizar marcas

estandarizadas de representación simbólica, estas marcas nos indican un hecho, una

técnica, un procedimiento, etc., y suplen la descripción de cada partida examinada.

Los papeles de trabajo requieren de una ordenación lógica con la finalidad de lograr

una localización rápida de los mismos.

Para tal efecto se acostumbra estandarizar los índices y las marcas con el objeto de

ahorrarse tiempo en la auditoria, ya que el uso continuo de índices y marcas facilita al

auditor y a sus ayudantes a la localización rápida de los papeles de trabajo.


11

Los Índices de Auditoria es el hecho de asignar índices o claves de identificación que

permiten localizar y conocer el lugar exacto donde se encuentra una cédula dentro

del expediente o archivo de referencia permanente y el legado de auditoría. Los

índices son anotados con lápiz rojo en la parte superior derecha de la cédula de

auditoría de la siguiente manera:

Cedula de Índices

AD ACTIVO DISPONIBLE.

CC CUENTAS POR COBRAR.

Los Índices Cruzados. Es la relación que se hace entre una o varias cédulas de

auditoría con la finalidad de cruzar los datos correlativos contenidos en ellos.

Índices:

a) Numérico

A Cédulas sumarias de activo, pasivo, capital y resultados Asignarnos.

Progresivos 1 X .

A Cédulas analíticas de activo, Pasivo, capital y resultados Asignarnos.

Quebrados 1/1,1/2, 1/3, etc.

Decimal:

A Cédulas sumarias Asignar números de 10 o múltiplos de 10-10,,20,,30, etc.

A Cédulas analíticas Asignar números progresivos 1 X .

b) Alfabético doble

A Cédulas sumarias Asignar una letra A Z.


12

A Cédulas analíticas Asignar dos letras AA ZZ.

c) Alfabético doble numérico

A Cédulas sumarias de activo, Asignar una letra A Z.

A Cédulas sumarias de pasivo capital y resultados Asignar una doble letra AA

ZZ.

A Cédulas analíticas de activo, pasivo, capital y resultados Asignar un número 1

X.

d) Numérico alfabético

Cuentas de activo Asignar una letra A Z.

Cuentas de pasivo y capital Asignar doble letra AA ZZ.

Cuentas de resultados Asignar número 1 X.

4.2 Estudio y evaluación del Sistema de Control.

La administración coloca controles sobre las actividades en cada subproceso de

forma que puedan estar confortables de que el proceso de negocios funciona

efectivamente.

Puede sorprenderte cómo los procesos de negocio y los controles están ligados al

trabajo que hacemos como auditores.


13

Una vez finalizados los estados financieros, el auditor necesita asegurarse de que son

verdaderos y confiables. ¿Cómo lo hace?

Necesita obtener seguridad razonable de que todas las actividades relevantes

trabajan bien.

Necesita asegurarse de que todas las cuentas están mapeadas

adecuadamente.

Necesita asegurarse de que los registros están hechos en las cuentas correctas.

También necesita asegurarse de que cada actividad que debe haber

provocado un registro lo hizo.

Debido a que es mucho trabajo para el auditor, comenzara viendo cómo se asegura la

administración que sus estados financieros son correctos.

Recuerda la discusión acerca del riesgo de auditoría - está compuesto de riesgo

inherente, de control y de detección. Como recordarás, el riesgo inherente está fuera

del control de la compañía y del nuestro. Riesgo de control es el resultado de la forma

en la que la compañía hace sus procesos. Mientras que el riesgo de detección es un

elemento que el auditor puede modificar en esta ecuación con el fin de reducir el

riesgo de auditoría se reduzca a un nivel razonable.

Los auditores evaluarán el riesgo de control de la compañía y después planean un

número de procedimientos que resultarán en un nivel adecuado de riesgo de

detección.


14

¿Cómo evaluamos el riesgo de control? Primero debemos obtener un entendimiento

de cada proceso significativo de negocios, subproceso y actividad. Preguntamos al

cliente:

¿Cómo suceden?

¿Cuál es su flujo?

¿Cuáles son sus entradas y salidas?

¿Cómo se mueven los bienes en la compañía?

Y, más importante ¿Cómo la información relativa de mueve en la compañía?

Algunas de las juntas con el cliente suceden precisamente con el propósito de

entender los procesos y controles presentes en el cliente.

Documentamos nuestro entendimiento en un narrativo, un mapeo o un diagrama de

flujo. La documentación debe presentar en orden cronológico las actividades que

suceden dentro del proceso de negocios. Además, indica en qué actividades hay

controles. Muestra quién lleva a cabo el control o actividad, las entradas y salidas, los

documentos y sistemas involucrados y en general, la información involucrada en el

entendimiento del proceso.

Tenemos tres métodos de documentación de un proceso de negocios:

1. Mapear: Nuestro entendimiento del proceso de negocios e infraestructura

subrayando la información financiera que puede ser documentada durante un

diagrama.


15

2. Narrativo: Este método involucra una descripción narrativa del proceso de

negocios y es el más indicado si el cliente no tiene un proceso complejo de negocios.

Sin embargo, es recomendable que los equipos de trabajo desarrollen diagramas de

flujo para procesos no complejos.

3. Diagrama de flujo: Los diagramas de flujo son usados para documentar el detalle

de los procesos de negocios, subprocesos, transacciones y controles. Los diagramas

de flujo son la forma de documentación preferida para un proceso complejo de

negocios.

El control interno es una parte importante de la administración de un negocio.

Comprende los planes, métodos y procedimientos utilizados para lograr los objetivos

del negocio. El control interno está diseñado para salvaguardar activos y prevenir o

detectar errores y fraudes.

"El control interno es el proceso diseñado y efectuado por aquellos a cargo del gobierno,

administración y otro personal para proporcionar seguridad razonable acerca de la

consecución de los objetivos de la entidad en relación con la confiabilidad de los reportes

financieros, efectividad y eficiencia de las operaciones y cumplimiento con las leyes y

regulaciones aplicables" (ISA 315.42) Describimos el sistema del cliente para administrar

su control interno como un marco que comprende cinco componentes

interrelacionados. Este marco es conocido como el marco del control interno.


16

El estudio y evaluación del sistema de control tiene 5 elementos:

1. Monitoreo de controles. Un proceso de evaluación de la calidad del control

interno efectuado en el tiempo.

2. Información y comunicación. Los sistemas que soportan la identificación, captura

e intercambio de información en un marco de forma y tiempo que permite a las

personas cumplir sus responsabilidades.

3. Actividades de control. Las políticas y procedimientos que ayudan a asegurar que

los directivos de la gerencia están cumpliendo. Esto puede ser categorizado como

sigue:

Revisiones del desempeño del negocio.

Proceso de información (Controles aplicativos y controles generales de

tecnología de la información).

Controles físicos.

Segregación de funciones.

4. Evaluación del riesgo. Es el proceso del cliente para identificar y analizar riesgos

relevantes que afectan el logro de sus objetivos.

5. Ambiente de control. El ambiente de control del cliente es el compromiso de la

administración para asegurar que las operaciones del negocio están bien controladas,

así como el tono de la organización.


17

Los controles de procesamiento de la información pueden ser categorizados en dos

grandes categorías, controles aplicativos y controles generales de tecnología de la

información ITGC.

a) Los controles aplicativos. Son manuales o actividades automatizadas de control

que operan típicamente en nivel de procesos de negocio y son diseñados para

asegurar la integridad de los registros contables; es decir, auditoría automatizada que

verifica cuando los datos son ingresados como un control automatizado.

b) Los ITGCs. Son controles utilizados para administrar y controlar los sistemas de

información, actividades de tecnología y ambiente de cómputo; es decir, para

asegurar que el acceso a los recursos y datos del sistema es autentificado y

autorizado.

Algunas veces los controles en un negocio trabajan realmente bien. Si lo hacen,

podremos obtener confort sobre esos procesos y registros que lo reflejan probando

los controles.

Otras veces, los controles pueden ser muy pobres. Esto significa que el riesgo de

control es alto y, en consecuencia, tenemos que probar las transacciones detalladas

con el fin de reducir el riesgo de detección.


18

Los controles son diseñados e implementados por una razón – por ejemplo, la

administración quiere asegurar que:

Todas las compras de activos fijos se registran correctamente (Totalidad).

Tienen un control de que cada compra de activo fijo está autorizada (Validez).

El valor total registrado en los libros (Exactitud).

Los registros no se pierden o no son modificados por personas no autorizadas

(Acceso restringido).

Estos ejemplos ilustran lo que llamamos objetivos del procesamiento de la

información. Los controles normalmente están diseñados e implementados para

lograr uno o más objetivos del procesamiento de la información.

Juzgamos la calidad de un control si cumple efectivamente con el objetivo del

procesamiento de la información. Por ejemplo, si se supone que todas las compras de

activo fijo son autorizadas por el consejo y algunas de ellas no la tienen (firmas,

minutas de las juntas, entre otros) entonces el control no es efectivo.

4.3 Evaluación de Riesgos.

La evaluación del riesgo es el segundo elemento del marco de control interno, y nos

permite responder las preguntas suplementarias:

1. Alcance

¿Cuáles son los objetivos del negocio y cómo la gerencia los maneja para alcanzarlos?


19

¿Cómo la gerencia identifica y evalúa los riesgos del negocio, incluyendo el riesgo de

fraude?

¿Cuáles son los riesgos a los que les hace frente la gerencia para alcanzar sus

objetivos?

2. Evaluación

¿Creemos que los procesos de la gerencia (relacionados con su proceso gerencial del

riesgo) son apropiadamente diseñados e implementados para entregar la

información exacta?

Validación

¿Podemos obtener evidencia de que la gerencia está capacitada para su confort

sobre la eficacia de procesos y control (riesgo de la gerencia)?

Cada entidad hace frente a una variedad de riesgos de fuentes externas e internas

que deben ser evaluados. Un requisito para la evaluación del riesgo es establecer

objetivos ligados a diferentes niveles e internamente constantes.

La evaluación de riesgos es la identificación y el análisis de riesgos relevantes para

alcanzar objetivos, lo cual forma la base para determinar cómo se deben manejar los

riesgos. Debido a que las condiciones económicas, reguladoras y de operación

seguirán cambiando, son necesarios mecanismos para identificar y revisar los riesgos

especiales asociados con los cambios.


20

La evaluación de riesgos es un proceso continuo, no de una sola acción a la vez. Es

responsabilidad de la gerencia desarrollar las políticas y procedimientos apropiados,

así como asegurarse de que se estén implementando constante y completamente.

Realizamos una evaluación independiente del riesgo, cuando formamos nuestro

punto de vista usando el Marco del Análisis del Negocio. Necesitamos entender y

evaluar cómo la gerencia maneja el riesgo y como puede impactar en los reportes

financieros para desarrollar un plan de auditoría apropiado (es decir, qué riesgos del

negocio identificados por la gerencia pueden ser riesgos de auditoría, en dónde

esperamos poder confiar en los controles, en dónde deberíamos realizar

procedimientos analíticos sustantivos y cuándo necesitamos realizar pruebas de

detalle).

Adicionalmente, la comparación de nuestra evaluación del riesgo con la evaluación

del riesgo de la gerencia nos ayuda a planear la naturaleza, la duración y el alcance de

nuestros procedimientos de auditoría. Por ejemplo, donde identifiquemos la ausencia

de un riesgo clave en la evaluación del riesgo de la gerencia, tendríamos que enfocar

nuestra atención en esa área.

Tendríamos un mayor confort mientras la gerencia identifique los mismos riesgos

clave, así como nosotros lo hemos hecho y demostrando políticas y procedimientos

para dirigirlos a esos riesgos. También necesitamos evaluar el proceso de valuación


21

de riesgo de la gerencia a nivel de unidad de negocio. Esto incluiría el cómo son

comunicados al departamento de finanzas a ese nivel.

Realizamos una evaluación independiente de los riesgos cuando nosotros

formulamos nuestro punto de vista usando el Marco de Análisis del Negocio y

mediante otros elementos de nuestro trabajo, por ejemplo, cuando aplicamos el Ciclo

de Confort de Auditoría.

Primero debe haber objetivos establecidos antes de que la gerencia pueda identificar

riesgos para alcanzar dichos objetivos y tomar las acciones necesarias para manejar

esos riesgos. Sin el claro establecimiento de objetivos por parte de la gerencia, puede

haber dificultades para identificar los riesgos relacionados, los cuales pueden

entonces conducir a controles ineficaces que no ayudan a manejar los riesgos.

La gerencia tiene ciertos objetivos del negocio que desea alcanzar y conoce los

riesgos que pueden impedir alcanzar el logro de esos objetivos. Así pues, para mitigar

estos riesgos, la gerencia ha establecido procesos y controles. Estos procesos afectan

las cuentas del balance y transacciones.

Los controles de computadora generales son la base de toda la información por

computadora y de los controles automatizados; así que para identificar los riesgos del

negocio, una entidad debe primero identificar sus objetivos.


22

Nuestros clientes fijan objetivos para centrar su atención en los dividendos de los

accionistas o, para las organizaciones no lucrativas, para proporcionar servicios a la

sociedad. Los objetivos del negocio son típicamente relativamente de un nivel alto

(por ejemplo, incremento basado en el rendimiento Europeo del 10% para el

siguiente año) y relacionados directamente con operaciones de las compañías,

reportes financieros, o conforme a las leyes y regulaciones. Generalmente, los

objetivos del negocio son apoyados por una variedad de procesos y actividades del

negocio. Por ejemplo, establecer y monitorear límites del crédito para nuevos

clientes, monitorear el crédito concedido, las comisiones sobre ventas pagadas, los

envíos de mercancías, etc.

Somos cuidadosos en la identificación de los objetivos del negocio de nuestros

clientes porque esto nos ayuda a identificar y a entender sus riesgos del negocio y las

implicaciones de esos riesgos de la siguiente manera:

Incrementar la interacción y la atención con el cliente, definitivamente nos

proporciona un mejor entendimiento y evaluación de riesgos.

Un incremento en el conocimiento del equipo de auditoría sobre la industria y

habilidades consultivas permitirá el mejor desarrollo de nuestra gente.

Un incremento en la percepción del cliente sobre el compromiso del equipo

de auditoría (visto como auditores del negocio importados).

Un incremento en la habilidad del equipo de auditoría para identificar los

beneficios adicionales que ayudarán al cliente a alcanzar sus objetivos.


23

Para identificar los objetivos del negocio, el equipo de auditoría necesitará realizar

entrevistas y/o pláticas con el personal apropiado como parte del proceso de

planeación. Estas entrevistas pueden ser con gerentes, funcionarios financieros,

auditores internos, una combinación de éstos o con otros individuos clave dentro de

la organización.

Establecer objetivos es un requisito y parte clave del proceso de evaluación del

riesgo. Los objetivos son establecidos al más alto nivel (a nivel entidad), así como a

nivel unidad de negocio y proceso del negocio. Tanto a nivel entidad como a nivel

actividad, los objetivos pueden ser definidos como de operaciones, de reportes

financieros o unidad de negocio y proceso del negocio.

Los objetivos a nivel entidad incluyen lo que la entidad desea alcanzar, y son

apoyados por planes estratégicos relacionados. El establecimiento de objetivos a

nivel entidad puede ser un proceso altamente estructurado o muy informal. Los

objetivos pueden ser explícitos, o implícitos, por ejemplo, continuar con el nivel de

desempeño anterior.

Los objetivos a nivel entidad pueden ser documentados y comunicados a través de:

Misión de la compañía y valuación de los estados.

Plan estratégico de la compañía, etc.

Ejemplos de los objetivos a nivel entidad:


24

Disminución del 10% de los costos directos de G&A durante el año actual.

Disminución del 2% del capital de trabajo requerido para el final del período

de dos años.

Expandirse al mercado del Este de Asia para alcanzar el 25% del costo por

acción para 2010.

Los objetivos específicos a nivel actividad son los que están relacionados con las

unidades o funciones principales de la gerencia de la entidad, tales como

comercialización, ventas, producción, investigación y desarrollo. Los objetivos a nivel

actividad se originan de y se relacionan con los objetivos y las estrategias a nivel

entidad. Los objetivos a nivel actividad indican frecuentemente las metas y plazos

específicos. Los objetivos se deben establecer para cada actividad, y estos objetivos

deben ser constantes con cada una de dichas actividades.

Puntos Adicionales:

1. Entendimiento. Los objetivos tienen que ser entendidos tanto por los accionistas,

la gerencia y los empleados. El riesgo incrementa si la compañía establece objetivos

muy agresivos o si los objetivos son diferentes a los de años anteriores.

2. Medición. Los objetivos deben proporcionar las metas medibles hacia las cuales la

entidad se mueve para realizar sus actividades. El establecimiento de objetivos

permite a la gerencia identificar los criterios de desempeño, factores críticos del éxito.


25

Muchas veces es necesario determinar el alcance del proceso de evaluación del

riesgo sobre las diferencias a nivel entidad de una unidad individual de la gerencia, y

donde existan diferencias significativas realizar una evaluación adicional.

Los objetivos de las Operaciones permiten la eficacia y la eficiencia de las mismas,

incluyendo el desempeño, los beneficios de las metas y la salvaguarda de recursos

contra pérdidas. Los objetivos se basan en las opciones de la gerencia sobre la

estructura y desempeño.

Los Objetivos de los Reportes Financieros permiten la preparación de información

financiera confiable usada en el negocio, incluyendo a los estados financieros. Estos

requisitos son realizados principalmente para fines externos.

Los requisitos y las regulaciones de los reportes financieros definen los objetivos de

los reportes financieros de una compañía.

Los Objetivos de Cumplimiento permiten la adición de leyes y regulaciones, a las

cuales está sujeta la entidad. Estos dependen de los factores externos, así como de la

regulación ambiental, y tienden a ser similares en todas las entidades en algunos

casos, en la industria, o bien en otros países. Los objetivos frecuentemente se

extienden y permanecen en más de una categoría. Ejemplos:


26

Cerrar trimestralmente dentro de los 10 días hábiles puede ser una meta que

apoya principalmente los objetivos operacionales para apoyar las reuniones

de la gerencia y para revisar el desempeño del negocio. Pero esto también

apoya la oportuna revelación financiera, así como el cumplimento con las

agencias reguladoras.

El objetivo Proporciona a la gerencia de la planta datos pertinentes sobre la

mezcla de producción de la materia prima sobre una base oportuna, lo que

puede relacionarse con tres categorías de objetivos. Los datos apoyan la

decisión sobre los cambios deseados para el "mix" (operaciones), facilita la

supervisión de los desechos peligrosos (conformidad), y proporciona la

entrada del costo a la contabilidad (reportes financieros, así como las

operaciones).

En este proceso se evalúa el riesgo inherente, el riesgo de control y el riesgo de

detección componentes del riesgo de auditoría que ayudan a identificar los riesgos

clave.

Realmente no se puede controlar el riesgo inherente. Se puede determinar. Se puede

tomar en cuenta cuando se establecen procedimientos totales por parte de la

gerencia. Necesita considerar esto cuando planee la revisión de los procedimientos o

cuando diseñe controles. Pero realmente no se puede controlar este riesgo.


27

Riesgo de Control - Es el riesgo que el control interno de una entidad corre al no

poder prevenir, detectar y corregir errores materiales oportunamente.

Básicamente, es el riesgo de que algo pueda ir mal. El sistema de controles que un

cliente pone realmente necesita estar balanceado con el nivel de riesgo con el cual

están dispuestos a vivir, así como con el costo de este sistema de controles. Los

controles son un costo para la organización. Entonces tiene que hacer un análisis del

costo-beneficio. Y hay épocas donde podríamos ir con el cliente y decirle que hay

controles que deberían aplicarse en lugar de los existentes. Y el cliente nos dirá

Nosotros no podemos aplicar otros controles como a continuación se demuestra:

1. Riesgo de Detección. El riesgo de que los procedimientos de los auditores no

detecten errores materiales.

2. Riesgo de errores materiales. Es el riesgo de que los estados financieros presenten

errores materiales antes de la auditoría; es por lo tanto, una combinación del riesgo

inherente y el riesgo de control, para lo anterior deberemos considerar:

Factores Externos

El desarrollo tecnológico puede afectar la naturaleza, sincronización y

desarrollo de la investigación o conducir a cambios en la consecución.


28

Las necesidades o las expectativas del cliente pueden afectar al desarrollo del

producto, al proceso de producción, al servicio del cliente, al precio y a la

garantía.

La competencia puede alterar la comercialización o el servicio de las

actividades.

La nueva legislación y regulaciones pueden originar cambios en las políticas y

en las estrategias de la operación.

Las catástrofes naturales pueden conducir a cambios en las operaciones o

sistemas de información y destacar la necesidad de planes contingentes.

Los cambios económicos pueden tener un impacto en las decisiones

relacionadas al financiamiento, gastos de capital y expansión.

Factores Internos

Por experiencias pasadas, el no alcanzar los objetivos.

Una interrupción en el proceso del sistema de información puede afectar

adversamente las operaciones de la entidad.

La calidad del personal empleado y los métodos de entretenimiento y de

motivación pueden influir en el nivel del control de la entidad.

Un cambio en la responsabilidad de la gerencia puede afectar en la manera en

que se efectúan ciertos controles.

La naturaleza de las actividades de una entidad y la accesibilidad del empleado

a los activos pueden contribuir al manejo inapropiado de los recursos.


29

El análisis de riesgo no es un ejercicio teórico. Es a menudo crítico para el éxito de la

entidad. Es más eficaz cuando incluye la identificación de todos los procesos claves

del negocio donde las exposiciones potenciales de una consecuencia existen. La

importancia de un análisis de riesgo puede ser subestimada. Es digno de observar

que un riesgo que la gerencia considera de poca importancia por su baja

probabilidad - riesgo 6 en la diapositiva – todavía podría ser un riesgo clave en la

auditoría (por ejemplo, la aplicación de una política de contabilidad correctamente

puede ser un riesgo clave para nosotros en la auditoría, pero un riesgo bajo para la

gerencia).

Una vez que la significación y la probabilidad del riesgo se hayan determinado, la

gerencia necesita considerar cómo deberían ser manejados los riesgos. Esto implica el

juicio basado en suposiciones acerca del riesgo, y un análisis razonable del costo

asociado a reducir el nivel de riesgo.

Las acciones tomadas para reducir el riesgo se extienden para identificar fuentes

alternativas de recursos o ampliar las líneas de productos para obtener informes de

funcionamiento más relevantes o mejorar programas de entrenamiento. La respuesta

de la gerencia a diversos riesgos puede variar; esto incluye:

1. Anulación. La acción es tomada para eliminar las actividades que crean el riesgo

(por ejemplo, cierre de operaciones comerciales).


30

2. Reducción. La acción es tomada para reducir la probabilidad o el impacto del

riesgo, o ambas.

3. Compartiendo. La acción es tomada para reducir la probabilidad o el impacto de

un riesgo por transferencia o de otra manera compartiendo una parte del riesgo con

el tercero (por ejemplo, el riesgo común que comparten técnicas incluye comprar los

productos del seguro, reuniendo riesgos, la protección o el outsourcing de la

actividad).

4. Aceptación. Ninguna acción es tomada para afectar la probabilidad del impacto

del riesgo. Esto a menudo podría ser un caso, cuando el costo de las acciones

posibles excede los beneficios de la reducción de riesgos.

Evaluando las respuestas y la determinación de los riesgos basados en:

Eficiencia de las acciones tomadas.

Costo/beneficio.

Pérdidas de oportunidades futuras, etc.

El riesgo gerencial es un proceso interactivo. Basado en los análisis de

eficacia/eficiencia de las acciones tomadas o los controles implementados que tienen

que ser valorados de nuevo. También, si se determina que las acciones tomadas no

son suficientes para reducir el riesgo a un nivel aceptable, adicionalmente las

acciones/controles tienen que ser considerados.


31

Porque la economía, la industria y los ambientes regulatorios cambian

continuamente, la gerencia debe tener un proceso formal o informal para identificar y

reaccionar a los cambios. Estos procesos incluyen:

Implementación de controles internos específicos para identificar los cambios

internos y externos (por ejemplo, la asignación de responsabilidades y el

establecimiento de procedimientos que se relacionan con la supervisión del

ambiente externo, los precios, el mercado, las regulaciones tecnológicas,

nuevas/cambiantes e informes de exigencia).

Ampliación de los reportes gerenciales para incluir los cambios significativos

de los indicadores de mercado o acontecimientos tecnológicos.

Fijando procedimientos de informes internos para reportar cambios o eventos

inesperados.

El proceso de evaluación del riesgo en una entidad es un método para identificar y

responder a los riesgos del negocio. El proceso de evaluación de riesgo de la entidad,

mientras se dirige ampliamente a los riesgos del negocio, puede asistir a la gerencia y

a nosotros en la identificación de los riesgos de errores materiales. Nuestro énfasis en

el entendimiento del proceso de evaluación de riesgo debería ser en aquellos riesgos

del negocio que pueden dar lugar a errores materiales en los estados financieros.


32

4.4 Ejecución de la auditoría.

Actividades de Control:

La revisión de nuestra auditoría va enfocada a los estados financieros, los cuales

comprenden varias partidas (saldos). Los estados financieros de nuestros clientes

constan de varias partidas individuales, las cuales pueden concentran varias cuentas

en un solo saldo para que puedan ser presentados a terceros. Es importante que

comprendamos qué cuentas significativas se comprenden en cada partida y su

presentación en los estados financieros.

La administración hace ciertas aseveraciones acerca de sus estados financieros. Por

ejemplo, todos los pasivos son registrados (totalidad) Las partidas de los estados

financieros puede constar de una o varias cuentas importantes. Cada cuenta se

compone de una o más transacciones que representa los eventos del negocio.

Estas transacciones generalmente pueden ser agrupadas en clases ó tipos (Ejemplo:

ventas) ó subprocesos que son tratados consistentemente.

Las transacciones se incluyen en los estados financieros como resultado de los

procesos del negocio (Ejemplo: los ingresos y el proceso de envió de las facturas, y el

cobro de efectivo, de las cuentas por cobrar), las cuales, están agrupadas en

subprocesos (Ejemplo: facturación, entrada de efectivo) para asegurar consistencia,

procesamiento eficiente y efectivo y manejo administrativo de la información.


33

En el pasado deben haber pensado sobre los objetivos del procesamiento de la

información en el nivel de procesos de negocios; sin embargo, los objetivos del

procesamiento de la información se relacionan al procesamiento de transacciones.

Cuando la administración procesa una transacción, el objetivo del procesamiento de

la información es que la transacción sea registrada en su totalidad (totalidad) (C), con

exactitud (A), que la transacción sea autorizada (V), y quieren restringir el acceso para

el manejo de los datos dentro de las transacciones (R). La administración debe

entender el flujo de la transacción para identificar los puntos de riesgo dentro del

proceso donde algo pueda ocurrir que les hubiera evitado lograr los objetivos. Es en

estos puntos del proceso donde las actividades de control necesitan ser

implementadas.

Los diferentes tipos de transacciones deben fluir a través del mismo proceso de

negocios, y necesitamos entender el flujo de cada grupo o tipo de transacciones

(Ejemplo: subprocesos) por separado, porque cada una tiene un riesgo único que

necesitan ser mitigados por un único juego de controles.

En este caso, si los riesgos son específicos de un proceso, los controles también son

específicos del proceso, y son llamados aplicaciones de control.

Dichos controles pueden ser automatizados (ej. Realizados por un sistema

computacional) o manuales (realizado por humanos). Los procesos del negocio (ej. el

proceso de ingresos y cuentas por cobrar), deben estar soportados por


34

procedimientos contables automatizados. Como una parte del proceso del negocio,

la aplicación de un programa de software (ej. SAP. Sage) también pueden producir

reportes. Estos son usados por la administración y usuarios para realizar controles

aplicativos manuales (ej. revisión de reporte de excepciones) o revisiones del

rendimiento del negocio (ej. comparación contra presupuestos).

Como lo planteamos anteriormente, para mitigar estos riesgos, la administración

implementa controles. Como en este caso los riesgos son específicos a un proceso,

los controles son también procesos específicos y son llamados controles aplicativos.

Dichos controles pueden ser automatizados (Ejemplo: desempeñado por un sistema

computarizado) o manuales (desempeñado por humanos). Los procesos del negocio

(Ejemplo: los ingresos y el proceso de cuentas por cobrar) deben estar soportados

por procedimientos contables automatizados.

Como una parte del proceso del negocio, la aplicación de un programa de

software(ej. SAP. Sage) también pueden producir reportes. Estos son usados por la

administración y usuarios para realizar controles aplicativos manuales (ej. revisión de

reporte de excepciones) o revisiones del rendimiento del negocio (ej. comparación

contra presupuestos).

Los controles aplicativos automatizados, procedimientos contables automatizados y

la aplicación de los reportes generados se basan en la computadora. Su correcta

operación recae en el sistema de computo (y la aplicación de los programas que


35

corren en el sistema de cómputo) continuando con el proceso de datos para

mantener la integridad. Para mitigar cualquier riesgo en esta área, la administración

debe implementar controles generales sobre los ambientes de tecnología de

información. Si deseamos depositar confianza en la correcta operación de los

sistemas de aplicación necesitamos evaluar los mismos.

Los controles generales de tecnología de la información CGTI son dominantes dentro

de la organización, no se encuentran ligados a un proceso particular del negocio.

Cuando operan de manera efectiva, proveen el confort necesario para que podamos

depositar confianza en los controles aplicativos automatizados, procedimientos

contables automatizados, interfaces de datos y en la integridad de la información

presentada en los reportes usados para efectos de controles manuales.

Vamos a dedicar algunos momentos a revisar lo que son las actividades de control,

pero primero queremos aclarar algunos términos de metodología para que podamos

entender la relación entre lo siguiente:

Proceso.

Actividad.

Control.

Una actividad es un procedimiento; y una secuencia de las actividades hacen un

proceso. Un proceso ocurre para conseguir un trabajo y alcanzar los objetivos de

negocio. Un proceso puede variar su complejidad, desde alguno muy simple como


36

pagar una cuenta hasta ser un elemento clave de la operación del negocio, tal como

puede ser el sistema de administración de inventarios de una empresa detallista.

De acuerdo con lo anterior, una actividad es un procedimiento o grupo de

procedimientos dentro de un proceso. Algunas actividades pueden tener un doble

propósito sirviendo también de controles, mientras que otras simplemente necesitan

realizarse como parte de las operaciones del día con día de una entidad.

Un proceso incluirá un número de actividades, de las cuales algunas serán controles.

Los tipos de controles pueden variar en cada proceso, pero en todos los casos deben

asegurar que ocurran las actividades tal y como están prescritas por la administración

y que las transacciones resultantes se registran de manera total y exacta. Las

actividades de control son métodos que utiliza la administración para asegurarse de

que las aseveraciones de los estados financieros son verdaderas.

Usemos la siguiente analogía para ayudarnos a entender la diferencia entre una

actividad y un control. Pensemos en empacar un paracaídas: el empacar el paracaídas

es una actividad mientras que el asegurarse de que el mismo fue empacado

correctamente para que se sientan seguros al utilizarlo y que se va a abrir es el

control.

Para cubrir más ampliamente nuestra discusión, observemos el diagrama que resume

gráficamente el lazo entre un proceso, una actividad y un control.


37

Un proceso se compone de un grupo de actividades. Las actividades son acciones o

tareas en el proceso o los procesos. Finalmente, los controles son tareas dentro de las

actividades que tienen el objetivo especial de asegurar a la administración que se

efectúan correctamente las políticas y directrices.

Observen que es posible que algunas actividades tengan más controles que otras. Las

actividades de control se pueden categorizar como sigue:

1. Revisiones de desempeño de negocios.

En estas revisiones se incluyen las siguientes actividades:

Revisiones de desempeño real vs. presupuestos, pronósticos y periodos

anteriores.

Relacionar diferentes grupos de datos (operativos y/o financieros) con otros,

junto con el análisis de las relaciones, así como la investigación y acciones

correctivas. Por ejemplo, revisando la rotación de inventarios o días de cuentas

por cobrar, mes a mes o año con año (y luego modificando los planes de

producción o las políticas de descuentos).

Revisiones de funciones o desempeño de actividades, tales como un gerente

que otorga préstamos al consumo de un banco, revisaría los reportes por

sucursal, región y tipo de préstamo para aprobaciones de préstamos nuevos y

la cobranza.


38

Esencialmente las revisiones de desempeño de negocios serían realizadas por una

persona, y consecuentemente estos son controles manuales. Esperaríamos que la

persona tenga cierto conocimiento y experiencia para que pueda determinar errores

o inconsistencias.

2. Controles de proceso de la información.

Se realiza una gran variedad de controles para verificar la exactitud, totalidad, y la

autorización de transacciones, básicamente se verifica la información "en bruto" que

se convertirá en información financiera. Las dos clasificaciones que en términos

generales, agrupan las actividades de controles del proceso de la información son los

controles aplicativos y los controles generales de tecnología de la información.

Tendremos sesiones separadas relativas a cada una de ellas y las veremos con mayor

detalle.

En resumen, los controles aplicativos, son actividades de control manual o

automatizado que generalmente operan al nivel detallado del proceso de negocios

(transacción) y están diseñados para asegurar la integridad de los registros contables.

Los controles generales de tecnología de la información consisten en los controles

acerca del mantenimiento de los sistemas existentes de tecnología de información

(IT), implementación de sistemas nuevos de IT, seguridad de la información y

operaciones computarizadas.


39

3. Controles físicos.

Estas actividades comprenden:

La seguridad física de activos, incluyendo salvaguarda, tales como seguridad

en sucursales (almacenes y oficinas) sobre el acceso a activos y registros, por

ejemplo guardar los cheques en blanco en la caja fuerte, tener guardias de

seguridad en los accesos de entrada y de salida.

Autorizaciones para el acceso a programas de cómputo y archivos de datos y

cintas, por ejemplo establecer ciertos ID´s configurados para tener acceso a

ciertas aplicaciones.

Los conteos periódicos y la comparación de activos / pasivos con las

cantidades incluidas en los registros de control, por ejemplo conteos físicos de

inventarios y activos fijos.

Para medir el alcance en el cual pretenden o intentan prevenir el robo de activos

dependerá mucho de la confiabilidad de la preparación de los estados financieros,

considerando si los activos son susceptibles al robo en gran medida o no.

4. Segregación de funciones.

Un aspecto importante que debemos tener en mente cuando revisamos los procesos

de negocios es la segregación de funciones.


40

Asignar diferentes personas a las responsabilidades: de autorizar transacciones,

registrarlas, y mantener la custodia de activos con el fin de reducir las oportunidades

de que alguna persona este en posición de ambas, preparar y llevar a cabo fraudes y

ocultar errores o fraudes en el curso normal de sus deberes.

Por ejemplo, los procedimientos de firmar órdenes de pago, registrar el pago de

pasivos en los registros contables y conciliar las cuentas de bancos idealmente deben

realizarse por tres diferentes personas.

La segregación de funciones tiene un impacto muy importante en todos los otros

tipos de actividades de control. Con objeto de que los controles operen es muy

importante que exista una adecuada segregación de funciones.

La segregación de funciones abarca tres niveles diferentes:

Deben existir los controles generales de tecnología de la información para

soportar los accesos al sistema y sus restricciones.

Los roles y responsabilidades individuales se asignan adecuadamente.

La restricción adecuada de los derechos de acceso a las aplicaciones.

Normalmente es difícil lograr una segregación de funciones adecuada en entidades

pequeñas, pero aun en este tipo de entidades, que cuentan con solo algunos

empleados pueden asignar sus responsabilidades de tal manera que se logre esta


41

segregación, de no ser posible, la administración debe establecer procedimientos de

vigilancia de las actividades incompatibles para lograr los objetivos de control.

Los controles relevantes para la auditoría generalmente son aquellos que se refieren a

los objetivos de los reportes financieros, por ejemplo:

Controles relativos a la autorización.

Segregación de funciones.

Controles sobre datos de entrada.

Check-totals.

Controles que aseguran la salvaguarda y registros de activos (incluyendo las

conciliaciones entre el libro mayor y auxiliares de cuentas significativas).

Ciertos controles tales como los controles operacionales y de cumplimiento,

incluyendo controles no financieros, pueden ser relevantes para la auditoría si se

relacionan con la información que estamos evaluando o utilizando al aplicar

procedimientos de auditoría. Por ejemplo, los procedimientos para asegurar la

calidad en compañías que producen alimentos o farmacéuticos, pueden ser efectivos

para prevenir o detectar errores en la producción o almacenamiento de inventarios y,

por lo tanto, de manera indirecta dirigirse a la valuación de los saldos de inventarios.

5. Ejecución de la Auditoria

En esta tapa de la auditoria el contador público llevará acabo la realización y

ejecución del proyecto de auditoría.


42

La Norma Internacional de Auditoría (NIA) 400 requiere que, sin importar cuán

efectivos parezcan ser los controles, todas las auditorías deben incluir algunas

pruebas sustantivas, estableciendo: “Independientemente de los niveles evaluados

de riesgos inherentes y de control, el auditor debe aplicar algunos procedimientos

sustantivos para saldos de cuentas y clases de transacciones que sean materiales”.

En la consideración de cuánta otra evidencia de auditoría necesitamos, hay dos

escenarios:

a) Confort significativo. Donde nos es posible obtener confort significativo a través de

la aplicación de la revisión de controles para asegurar que los estados financieros no

tienen errores importantes, es probable que podamos obtener la mayoría de la

evidencia adicional necesaria de procedimientos analíticos sustantivos dirigidos a las

cifras al, o lo suficientemente cerca del, cierre anual. Aunque tal vez ya hayamos

aplicado procedimientos analíticos como parte del ciclo de auditoría, probablemente

los aplicamos a cifras anteriores y con el propósito principal de ayudarnos a probar si

la administración tiene derecho a su confort. Para que los procedimientos analíticos

constituyan una prueba sustantiva, tienen que efectuarse con suficiente rigor según

se explica más adelante.

Deberemos también considerar si las pruebas de detalle son necesarias para que

estemos satisfechos con respecto a todas las aseveraciones de los estados

financieros, tomando en cuenta todos los riesgos materiales identificados y


43

reconociendo que los procedimientos analíticos pueden no darnos la evidencia que

necesitamos.

b) Confort limitado. Si obtenemos solo un confort limitado a través de la aplicación

de la revisión de controles, necesitaremos llenar el hueco obteniendo otra evidencia

de auditoría. Hacemos esto aplicando pruebas sustantivas, que podrían ser

procedimientos analíticos sustantivos, pruebas de detalle o una combinación de

ambos dirigidos a las áreas de los estados financieros en donde necesitamos más

confort.

La cantidad de confort que obtenemos a través de la aplicación del ciclo de auditoría

y por tanto la cantidad de certeza requerida de las pruebas sustantivas es cuestión de

juicio. La guía a continuación explica los pasos necesarios a fin de asegurar que las

pruebas sustantivas, ya sea revisión analítica sustantiva o pruebas de detalle,

proporcionen la certeza necesaria.

En algunas jurisdicciones y/o industrias, las normas profesionales pueden requerir

que se lleven a cabo pruebas de detalle específicas, o al menos el equipo de auditoría

tendrá que ser capaz de justificar el no haber realizado dichas pruebas.

El auditor deberá obtener evidencia suficiente y competente mediante la inspección,

la observación, las preguntas y la confirmación, a fin de tener una base razonable para

emitir una opinión de los estados financieros que se examina.


44

La evidencia necesaria para corroborar o contradecir las afirmaciones que contienen

los estados financieros, y proporcionar así al auditor una base para expresar su

opinión, se obtiene diseñando y aplicando procedimientos y pruebas de auditoría. En

esta sección se describen las diversas clases de evidencia que están al alcance del

auditor y los tipos de pruebas que éste aplica para obtener la evidencia.

Podemos sólo alcanzar una opinión basados en la evidencia de que los riesgos han

sido identificados dentro de los estados financieros y libres de errores materiales. Una

buena evidencia de auditoría debe tener tres características.

a) La primer característica de una buena evidencia es que necesita ser relevante (por

ejemplo, pertenece realmente a lo que tratamos de hacer). Por ejemplo si tú tratas de

probar la existencia de un activo fijo, no sería muy relevante revisar documentos de

envío. Sería más relevante para ti inspeccionar si el activo fijo verdaderamente existe.

b) La siguiente característica de una buena evidencia es confiable. La confiabilidad de

la evidencia de auditoría es influida por su fuente y naturaleza, y depende de las

circunstancias individuales bajo las que se obtiene.

c) La tercera característica de una buena evidencia es la necesidad de ser suficiente, es

decir obtener lo necesario de esa evidencia.


45

Usemos un ejemplo

Si te explica un cliente que disminuyeron los gastos bancarios por intereses que hubo

durante el año porque modificaron los términos de un préstamo con el banco para

obtener una tasa más favorable, lo que se debería de hacer como auditor es llevar a

cabo alguna acción para verificar esa explicación, como por ejemplo solicitar ver el

nuevo acuerdo por ese préstamo.

La corroboración es el proceso de obtener evidencia adicional para sostener la

evidencia de auditoría reunida. Se requiere cuando el cliente creó la evidencia,

particularmente cuando tú realizas las indagaciones. ¡La indagación por sí sola no es

suficiente! Para obtener el confort de auditoría debemos obtener evidencia adicional

para corroborar lo que nos está diciendo el cliente.

A continuación, se describe en qué momento se utiliza cada uno de los

procedimientos de auditoría:

1. Procedimientos analíticos sustantivos. La NIA 520 define procedimientos

analíticos como “análisis de las proporciones y tendencias significativas, incluyendo

la investigación resultante de fluctuaciones y relaciones que son inconsistentes con

otra información relevante o que se desvían de los montos previstos”.

La naturaleza y alcance de los procedimientos analíticos sustantivos que llevemos a

cabo dependen de:


46

La cantidad de confort que hemos obtenido de la aplicación de la revisión de

control y por tanto, la certeza que necesitamos que proporcionen los

procedimientos analíticos sustantivos.

Nuestro entendimiento del negocio, que nos permitirá identificar la

información apropiada, de fuentes internas y externas, con la cual construir

una expectativa.

Los resultados de los procedimientos analíticos ya aplicados como parte del

ciclo de auditoría.

2. Pruebas de detalle. Las pruebas de detalle se usarán básicamente si hemos

obtenido solo un confort limitado. Para cada procedimiento sustantivo (por ejemplo,

confirmaciones, revisión documental) a ser aplicado al saldo de una cuenta o clase de

transacciones, debemos determinar el método que se usará para seleccionar el

número de partidas a probar. Al seleccionar el método de prueba y número de

partidas a probar, deberá adoptarse el siguiente proceso:

Determinar los objetivos.

¿Cuál es la aseveración básica para los estados financieros?

¿Cuál es el nivel de certeza requerido?

Definir las condiciones de error (misstatement).

¿Qué constituye un error para las pruebas?

Definir la población y determinar el método o métodos de prueba.

¿Cómo se asegura la totalidad de la población?


47

¿Cuál es el método de prueba más adecuado?

Pruebas dirigidas.

Pruebas de aceptación-rechazo.

Muestreo.

3. Determinar el número de partidas a probar. Si se va a aplicar muestreo, el número

de partidas a probar está relacionado con la cantidad de certeza requerida.

La forma en que los resultados se evalúen depende del método de selección de

partidas para probar:

Método de cobertura

Pruebas dirigidas Muestreo

El error no es extrapolado a la población.

El error es extrapolado a la población estratificada con las características a las

que se dirigió la prueba.

El error es extrapolado a la población entera.

La terminación de la auditoría comprende las etapas finales de la auditoría, lo que

quiere decir que todas las tareas se han terminado de manera satisfactoria, de

conformidad con los principios y procesos de la Auditoría. El objetivo es terminar la

auditoría en forma ordenada y adecuada, basándonos en nuestras obligaciones

profesionales y los objetivos de nuestro compromiso. Así mismo, buscamos


48

minimizar el tiempo que se dedica a terminar las tareas y realizar tanto trabajo como

sea posible en las instalaciones del cliente.

Se requiere:

Terminar y revisar los estados financieros así como el checklist de revelación.

Anotar y dar respuesta a las excepciones y asegúrese que los estados

financieros:

Se han ajustado a los registros de la entidad y coinciden con la balanza

certificada proporcionada por el cliente.

Se han referenciado contra los papeles de trabajo.

Se han revisado razonablemente y globalmente, incluyendo otra información

que se emite junto con los estados financieros.

Se ha evaluado la materialidad global.

Acumular los ajustes potenciales de la auditoría y considerar sus implicaciones

en nuestra opinión. Hay que estar seguros que se comuniquen, resuelvan y

documenten los asuntos críticos y otros problemas importantes, tanto con el

cliente como dentro del equipo.

Consultar, cuando sea necesario, con industrias o especialistas funcionales y

documentar dicha consulta.

Considerar las implicaciones de la auditoría en el proceso de aceptación y

continuidad derivado de la actualización del conocimiento del cliente,

incluyendo evaluación de riesgos de fraude y el cumplimiento de las leyes y

regulaciones.


49

Confirmar los litigios, demandas y evaluaciones de abogados.

Evaluar la capacidad de negocio en marcha del cliente.

Confirmar las pruebas de control y registrarlas adecuadamente y mantener la

opción de estrategia original.

Confirmar todo el trabajo hecho y revisarlo.

Dar por terminada la auditoría y firmar nuestra auditoría. Este requisito lo

realizan el contador público certificado y el encargado de la auditoria.

Obtener carta gerencia del cliente y confirmación del secretario del consejo de

administración.

Realizar la revisión de eventos subsecuentes.

La fase de terminación tiene lugar principalmente después de la fecha del balance.

Esos procedimientos suponen muchas decisiones subjetivas que requieren el juicio y

la experiencia de los miembros principales del equipo de trabajo.

Las decisiones en esta fase de la auditoría son con frecuencia críticas para el resultado

final del trabajo; en consecuencia los procedimientos que se apliquen deben reflejar:

a) La confianza general o la preocupación del auditor en aspectos clave de los estados

financieros.


50

b) La evaluación de los factores de riesgo que afectan la salud financiera de la

empresa.

c) La confianza en las declaraciones hechas por la gerencia.

Procedimiento de la auditoría C.P. Jorge Arturo Herrera

Documents

Transcript of Procedimiento de la auditoría C.P. Jorge Arturo Herrera