Procedimiento de la auditoría C.P. Jorge Arturo Herrera 4. Procedimiento de auditoría La auditoría se basa en desarrollar un entendimiento profundo del negocio del cliente ya que creemos que esto nos ayuda a desarrollar una auditoría más efectiva y eficiente. Veamos ahora que es lo que hacemos bajo este enfoque. Como ustedes saben, una auditoría tiene tres etapas principales: Planeación, construcción de evidencia y terminación. Cada una de estas etapas requiere de actividades específicas, una buena planeación y comunicación entre los miembros del equipo. Sin embargo, además de estas tres fases, antes de la planeación se debe de analizar si es conveniente auditar o no al cliente dependiendo el grado de riesgo que pretenda asumir el auditor, a este proceso le llamaremos “Preliminar”. La respuesta de la administración a los riesgos, esto es, sus controles internos, sin importar cuán bien diseñados y operados estén, sólo puede proporcionar una certeza razonable y no absoluta, debido a las limitaciones inherentes de control interno, algunas de estas limitaciones pueden ser: La realidad de que el juicio humano en la toma de decisiones puede fallar y de que pueden existir interrupciones del control interno debido a fallas humanas como simples errores o equivocaciones. Los controles de riesgo de fraude, sean manuales o automatizados, que generalmente son efectivos pueden ser evadidos por la colusión de dos o más 1 Procedimiento de la auditoría C.P. Jorge Arturo Herrera personas o por la anulación inapropiada del control interno por parte de la administración. El control interno está influenciado por las estimaciones y juicios cuantitativos y cualitativos hechos por la administración en la evaluación de la relación costo-beneficio del control interno de una entidad y estos juicios pueden ser erróneos, o al menos, podemos estar en desacuerdo con dichos juicios. Debido a estas limitaciones inherentes, siempre existe algún riesgo de control, aún en aquellos casos en que evaluamos los controles del cliente como altamente efectivos. Reconociendo esto y tomando en cuenta los resultados de nuestras pruebas a los controles clave, tenemos que determinar qué tanta otra evidencia de auditoría necesitamos con respecto a una o más cuentas, clases de transacciones y aseveraciones. La Norma Internacional de Auditoría (NIA) 400 requiere que, sin importar cuán efectivos parezcan ser los controles, todas las auditorías deben incluir algunas pruebas sustantivas, estableciendo: “Independientemente de los niveles evaluados de riesgos inherentes y de control, el auditor debe aplicar algunos procedimientos sustantivos para saldos de cuentas y clases de transacciones que sean materiales”. 2 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 4.1. Planeación de la auditoría La planeación es la etapa en la cual se decide los procedimientos a seguir, en esta fase se hará uso de los procedimientos analíticos para poder generar un visión de los cambios más significativos que tuvo la compañía durante un periodo determinado, además se realizará un estudio sobre el ambiente económico en cual se desarrolla y se obtendrá un mayor conocimiento del cliente, con el fin de conocer los riesgos que se tienen o se pudieran tener durante la auditoria. A continuación se mencionan algunos puntos básicos que nos servirán para realizar una buena planeación estratégica: 1. Estudio General. Es en donde el auditor conoce de la empresa: a) Constitución. b) Obligaciones: laborales, SHCP, fiscales, INFONAVIT, etc. c) Estado de situación Financiera de la empresa: compras, gastos, ingresos, etc. d) Estructura organizacional de la empresa: Administración Finanzas, etc. e) Contractual: contratos internos/externos. Por ejemplo: proveedores, clientes, sindicatos, colectivos de trabajo. f) Recorrido físico a las instalaciones de la compañía. 2. Estudio y evaluación del control interno. Cuestionario, pruebas, organigramas, flujo gramas de operación y políticas, en las que se podrán determinar tres aspectos: naturaleza, alcance y oportunidad. 3 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 3. Revisión analítica: analizar la Información financiera presente y de ejercicios anteriores, solvencia, factibilidad y estados financieros. 4. Importancia relativa: Visualizar los posibles errores y que dichos errores no afecten la relación externa. 5. Riesgo de auditoría: Verificar que los riesgos inherentes, de detección y de control sean mínimos y que el auditor no pueda expresar una opinión diferente. El entendimiento de los procesos de negocios es la manera más simple (si no la única) para entender el modo en que operan nuestros clientes, cuando ellos perciben peligro (por ejemplo, riesgo) como ellos ejercen el control. Comprender los procesos nos ayuda críticamente a evaluar la manera en que el cliente organiza sus actividades. Como estoy seguro que saben que los estados financieros son más que la suma de facturas. A menudo, los riesgos de auditoría se incrementan cuando el cliente tiene procesos de negocios complejos donde ocurren más transacciones y por lo tanto necesitamos obtener más confort de auditoría en estas áreas. Entender los procesos nos permite determinar si la respuesta del gerente o socio, para los problemas potenciales de negocios es la adecuada. 4 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 4.1.1 Fase preliminar En la fase preliminar inicia el proceso de auditoría. El propósito de esta etapa es para dar dirección y conducir de manera ordenada el proceso inicial de planificación. Para ser capaz de planear una auditoría de manera efectiva, la fase preliminar incluye varias tareas y actividades, las principales son: 1. Actividades de aceptación y continuidad. Las actividades de aceptación & continuidad son las primeras actividades que se realizan al iniciar un compromiso. Las responsabilidades del equipo son, en relación con el proceso de aceptación y continuidad: El proceso de aceptación y continuidad - en consulta con el líder del equipo, completar la evaluación de A & C y preparar cualquier análisis pertinente a la decisión. Carta compromiso para preparar/ actualizar la carta de compromiso y ser proactivos en lograr la oportuna firma de la carta compromiso por el líder y el cliente. Formas de independencia - la evaluación incluirá detalles de las amenazas en la independencia y las salvaguardias en el lugar. 2. Construir el equipo de auditoría. Organización del equipo de auditoría (incluyendo especialistas donde sea aplicable) y asignar tareas y responsabilidades. 5 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Preparar y realizar la reunión inicial. Comúnmente, se espera que el Contador Público sea requerido para dirigir la discusión de fraude, otros miembros y especialistas implicados en la auditoría asistan a la reunión inicial. Las discusiones incluyen: Susceptibilidad de que los estados financieros de la entidad contengan errores materiales (debido al fraude o al error) incluidos: Marco bajo el cual están reportando o emitiendo sus reportes. Escepticismo profesional. Estos requisitos para las reuniones iniciales se aplican a todos los clientes. Sin embargo, en clientes más pequeños, la "reunión" podría ser una breve discusión informal, con tal de que cubra por lo menos, los asuntos mínimos de la orden del día (agenda). Donde sea posible, todos los miembros deben asistir a la reunión inicial. En clientes más grandes, si es más apropiado, estas discusiones se pueden realizar en reuniones separadas, por ejemplo, discusiones de fraude o reunión con los especialistas. 3. Preparar el plan de proyecto inicial. Este puede contener los presupuestos, el plan de tareas, las fechas límites claves acordadas con el cliente, juntas de avance internas, desarrollo de objetivos para el equipo, el plan de servicios al cliente y un plan de comunicación. 6 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Este puede diferenciarse dependiendo de la complejidad o tamaño del cliente, incluso puede contener todos los ya mencionados arriba o menos y otros especialistas, rol, tareas y presupuestos se pueden integrar dentro del plan. Todo esto se puede considerar en el resumen de procedimientos a realizar, y si es un cliente recurrente, te puedes apoyar en el del año pasado 4.1.2 Estudio, evaluación y organización de la Entidad La ISA 315 requiere que los equipos de auditoría obtengan o actualicen un entendimiento compartido de la entidad y su ambiente, incluyendo el control interno. En este contexto, nos referimos a un ambiente general en el cual opera la entidad, y toma en cuenta, por ejemplo, la industria, aspectos legales, políticos del ambiente regulatorio. Necesitamos entender la entidad y su ambiente para identificar los riesgos de errores materiales en los estados financieros a causa del error o del fraude así como para diseñar y realizar los procedimientos de auditoría que consideremos necesarios. Para el estudio de la entidad podemos basarnos en algunos componentes como son: Industria, y otros factores externos, incluyendo el marco de los reportes financieros. a) Naturaleza de la entidad. b) Selección de la entidad y la aplicación de las políticas contables. 7 Procedimiento de la auditoría C.P. Jorge Arturo Herrera c) Objetivos y estrategias y los riesgos de negocios relacionados, los cuales pueden resultar en errores materiales a los estados financieros. d) Medición y revisión del desempeño financiero de la entidad. Debemos documentar los elementos clave tomando en cuenta las cinco áreas que hemos discutido. Esto es para asegurar que hemos evaluado los riegos de errores materiales en los estados financieros; las fuentes de información y los riesgos de los procedimientos. Los equipos de auditoría pueden decidir, con base en los factores de tamaño, complejidad del cliente y experiencia; cuál es la mejor manera de documentar el entendimiento de la entidad. Documentando nuestro entendimiento del negocio y nuestro punto de vista en los riesgos de negocio, el equipo de auditoría puede: Desarrollar nuestro entendimiento y punto de vista, incluyendo su efecto en las áreas de fraude, materialidad y procedimientos analíticos preliminares. Comparar nuestro punto de vista con el de la administración, para evaluar el análisis de riesgo de la administración y el ambiente de control y para desarrollar un plan apropiado para mitigar estos riesgos. Crear un marco de referencia que se puede referir durante la auditoría. Asegurar las circunstancias que no han cambiado y que no requieren un cambio en el enfoque de nuestra auditoría. 8 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Programa de Auditoria. El plan de trabajo o programa de auditoría debe incorporar las apropiadas pruebas sustantivas que pueden adaptarse de la información maestra general (o específica para una industria). A menos que se haya obtenido confort de las juntas iniciales, estos procedimientos deberán estar diseñados para obtener alta certeza de las pruebas sustantivas (incluyendo el uso de tamaños de muestra apropiados en los casos en que se usará el muestreo). 4.1.3 Determinación de índices y marcas Todas las cédulas deben de contener un índice el cual se debe de utilizar de manera uniforme por el personal que participe en la revisión. El índice se deberá de anotar con lápiz rojo, en la esquina inferior derecha, de forma que sean fáciles de identificar. Las marcas de auditoría son símbolos o marcas que se utilizan durante la auditoria, estas marcas deberán plasmarse en las cédulas de revisión e indicaran los procedimientos utilizados o aplicados durante la revisión; cada marca o símbolo debe tener su significado. 9 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Toda la información contenida en un papel de trabajo deberá indicar de dónde se obtuvo el dato o información, o tener un cruce de auditoría que señale de donde se tomó el dato correspondiente. Las Marcas de Auditoria son símbolos utilizados por el auditor para señalar en sus papeles de trabajo el tipo de revisión y prueba efectuadas los cuales reportan los siguientes beneficios: Facilita el trabajo y aprovecha el espacio al anotar, en una sola ocasión, el trabajo realizado en varias partidas. Facilita su supervisión al poderse comprender en forma inmediata el trabajo realizado. Con el propósito de ahorrarse tiempo y papel, es necesario utilizar marcas estandarizadas de representación simbólica, estas marcas nos indican un hecho, una técnica, un procedimiento, etc., y suplen la descripción de cada partida examinada. Los papeles de trabajo requieren de una ordenación lógica con la finalidad de lograr una localización rápida de los mismos. Para tal efecto se acostumbra estandarizar los índices y las marcas con el objeto de ahorrarse tiempo en la auditoria, ya que el uso continuo de índices y marcas facilita al auditor y a sus ayudantes a la localización rápida de los papeles de trabajo. 10 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Los Índices de Auditoria es el hecho de asignar índices o claves de identificación que permiten localizar y conocer el lugar exacto donde se encuentra una cédula dentro del expediente o archivo de referencia permanente y el legado de auditoría. Los índices son anotados con lápiz rojo en la parte superior derecha de la cédula de auditoría de la siguiente manera: Cedula de Índices AD ACTIVO DISPONIBLE. CC CUENTAS POR COBRAR. Los Índices Cruzados. Es la relación que se hace entre una o varias cédulas de auditoría con la finalidad de cruzar los datos correlativos contenidos en ellos. Índices: a) Numérico A Cédulas sumarias de activo, pasivo, capital y resultados Asignarnos. Progresivos 1 X . A Cédulas analíticas de activo, Pasivo, capital y resultados Asignarnos. Quebrados 1/1,1/2, 1/3, etc. Decimal: A Cédulas sumarias Asignar números de 10 o múltiplos de 10-10,,20,,30, etc. A Cédulas analíticas Asignar números progresivos 1 X . b) Alfabético doble A Cédulas sumarias Asignar una letra A Z. 11 Procedimiento de la auditoría C.P. Jorge Arturo Herrera A Cédulas analíticas Asignar dos letras AA ZZ. c) Alfabético doble numérico A Cédulas sumarias de activo, Asignar una letra A Z. A Cédulas sumarias de pasivo capital y resultados Asignar una doble letra AA ZZ. A Cédulas analíticas de activo, pasivo, capital y resultados Asignar un número 1 X. d) Numérico alfabético Cuentas de activo Asignar una letra A Z. Cuentas de pasivo y capital Asignar doble letra AA ZZ. Cuentas de resultados Asignar número 1 X. 4.2 Estudio y evaluación del Sistema de Control. La administración coloca controles sobre las actividades en cada subproceso de forma que puedan estar confortables de que el proceso de negocios funciona efectivamente. Puede sorprenderte cómo los procesos de negocio y los controles están ligados al trabajo que hacemos como auditores. 12 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Una vez finalizados los estados financieros, el auditor necesita asegurarse de que son verdaderos y confiables. ¿Cómo lo hace? Necesita obtener seguridad razonable de que todas las actividades relevantes trabajan bien. Necesita asegurarse de que todas las cuentas están mapeadas adecuadamente. Necesita asegurarse de que los registros están hechos en las cuentas correctas. También necesita asegurarse de que cada actividad que debe haber provocado un registro lo hizo. Debido a que es mucho trabajo para el auditor, comenzara viendo cómo se asegura la administración que sus estados financieros son correctos. Recuerda la discusión acerca del riesgo de auditoría - está compuesto de riesgo inherente, de control y de detección. Como recordarás, el riesgo inherente está fuera del control de la compañía y del nuestro. Riesgo de control es el resultado de la forma en la que la compañía hace sus procesos. Mientras que el riesgo de detección es un elemento que el auditor puede modificar en esta ecuación con el fin de reducir el riesgo de auditoría se reduzca a un nivel razonable. Los auditores evaluarán el riesgo de control de la compañía y después planean un número de procedimientos que resultarán en un nivel adecuado de riesgo de detección. 13 Procedimiento de la auditoría C.P. Jorge Arturo Herrera ¿Cómo evaluamos el riesgo de control? Primero debemos obtener un entendimiento de cada proceso significativo de negocios, subproceso y actividad. Preguntamos al cliente: ¿Cómo suceden? ¿Cuál es su flujo? ¿Cuáles son sus entradas y salidas? ¿Cómo se mueven los bienes en la compañía? Y, más importante ¿Cómo la información relativa de mueve en la compañía? Algunas de las juntas con el cliente suceden precisamente con el propósito de entender los procesos y controles presentes en el cliente. Documentamos nuestro entendimiento en un narrativo, un mapeo o un diagrama de flujo. La documentación debe presentar en orden cronológico las actividades que suceden dentro del proceso de negocios. Además, indica en qué actividades hay controles. Muestra quién lleva a cabo el control o actividad, las entradas y salidas, los documentos y sistemas involucrados y en general, la información involucrada en el entendimiento del proceso. Tenemos tres métodos de documentación de un proceso de negocios: 1. Mapear: Nuestro entendimiento del proceso de negocios e infraestructura subrayando la información financiera que puede ser documentada durante un diagrama. 14 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 2. Narrativo: Este método involucra una descripción narrativa del proceso de negocios y es el más indicado si el cliente no tiene un proceso complejo de negocios. Sin embargo, es recomendable que los equipos de trabajo desarrollen diagramas de flujo para procesos no complejos. 3. Diagrama de flujo: Los diagramas de flujo son usados para documentar el detalle de los procesos de negocios, subprocesos, transacciones y controles. Los diagramas de flujo son la forma de documentación preferida para un proceso complejo de negocios. El control interno es una parte importante de la administración de un negocio. Comprende los planes, métodos y procedimientos utilizados para lograr los objetivos del negocio. El control interno está diseñado para salvaguardar activos y prevenir o detectar errores y fraudes. "El control interno es el proceso diseñado y efectuado por aquellos a cargo del gobierno, administración y otro personal para proporcionar seguridad razonable acerca de la consecución de los objetivos de la entidad en relación con la confiabilidad de los reportes financieros, efectividad y eficiencia de las operaciones y cumplimiento con las leyes y regulaciones aplicables" (ISA 315.42) Describimos el sistema del cliente para administrar su control interno como un marco que comprende cinco componentes interrelacionados. Este marco es conocido como el marco del control interno. 15 Procedimiento de la auditoría C.P. Jorge Arturo Herrera El estudio y evaluación del sistema de control tiene 5 elementos: 1. Monitoreo de controles. Un proceso de evaluación de la calidad del control interno efectuado en el tiempo. 2. Información y comunicación. Los sistemas que soportan la identificación, captura e intercambio de información en un marco de forma y tiempo que permite a las personas cumplir sus responsabilidades. 3. Actividades de control. Las políticas y procedimientos que ayudan a asegurar que los directivos de la gerencia están cumpliendo. Esto puede ser categorizado como sigue: Revisiones del desempeño del negocio. Proceso de información (Controles aplicativos y controles generales de tecnología de la información). Controles físicos. Segregación de funciones. 4. Evaluación del riesgo. Es el proceso del cliente para identificar y analizar riesgos relevantes que afectan el logro de sus objetivos. 5. Ambiente de control. El ambiente de control del cliente es el compromiso de la administración para asegurar que las operaciones del negocio están bien controladas, así como el tono de la organización. 16 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Los controles de procesamiento de la información pueden ser categorizados en dos grandes categorías, controles aplicativos y controles generales de tecnología de la información ITGC. a) Los controles aplicativos. Son manuales o actividades automatizadas de control que operan típicamente en nivel de procesos de negocio y son diseñados para asegurar la integridad de los registros contables; es decir, auditoría automatizada que verifica cuando los datos son ingresados como un control automatizado. b) Los ITGCs. Son controles utilizados para administrar y controlar los sistemas de información, actividades de tecnología y ambiente de cómputo; es decir, para asegurar que el acceso a los recursos y datos del sistema es autentificado y autorizado. Algunas veces los controles en un negocio trabajan realmente bien. Si lo hacen, podremos obtener confort sobre esos procesos y registros que lo reflejan probando los controles. Otras veces, los controles pueden ser muy pobres. Esto significa que el riesgo de control es alto y, en consecuencia, tenemos que probar las transacciones detalladas con el fin de reducir el riesgo de detección. 17 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Los controles son diseñados e implementados por una razón – por ejemplo, la administración quiere asegurar que: Todas las compras de activos fijos se registran correctamente (Totalidad). Tienen un control de que cada compra de activo fijo está autorizada (Validez). El valor total registrado en los libros (Exactitud). Los registros no se pierden o no son modificados por personas no autorizadas (Acceso restringido). Estos ejemplos ilustran lo que llamamos objetivos del procesamiento de la información. Los controles normalmente están diseñados e implementados para lograr uno o más objetivos del procesamiento de la información. Juzgamos la calidad de un control si cumple efectivamente con el objetivo del procesamiento de la información. Por ejemplo, si se supone que todas las compras de activo fijo son autorizadas por el consejo y algunas de ellas no la tienen (firmas, minutas de las juntas, entre otros) entonces el control no es efectivo. 4.3 Evaluación de Riesgos. La evaluación del riesgo es el segundo elemento del marco de control interno, y nos permite responder las preguntas suplementarias: 1. Alcance ¿Cuáles son los objetivos del negocio y cómo la gerencia los maneja para alcanzarlos? 18 Procedimiento de la auditoría C.P. Jorge Arturo Herrera ¿Cómo la gerencia identifica y evalúa los riesgos del negocio, incluyendo el riesgo de fraude? ¿Cuáles son los riesgos a los que les hace frente la gerencia para alcanzar sus objetivos? 2. Evaluación ¿Creemos que los procesos de la gerencia (relacionados con su proceso gerencial del riesgo) son apropiadamente diseñados e implementados para entregar la información exacta? Validación ¿Podemos obtener evidencia de que la gerencia está capacitada para su confort sobre la eficacia de procesos y control (riesgo de la gerencia)? Cada entidad hace frente a una variedad de riesgos de fuentes externas e internas que deben ser evaluados. Un requisito para la evaluación del riesgo es establecer objetivos ligados a diferentes niveles e internamente constantes. La evaluación de riesgos es la identificación y el análisis de riesgos relevantes para alcanzar objetivos, lo cual forma la base para determinar cómo se deben manejar los riesgos. Debido a que las condiciones económicas, reguladoras y de operación seguirán cambiando, son necesarios mecanismos para identificar y revisar los riesgos especiales asociados con los cambios. 19 Procedimiento de la auditoría C.P. Jorge Arturo Herrera La evaluación de riesgos es un proceso continuo, no de una sola acción a la vez. Es responsabilidad de la gerencia desarrollar las políticas y procedimientos apropiados, así como asegurarse de que se estén implementando constante y completamente. Realizamos una evaluación independiente del riesgo, cuando formamos nuestro punto de vista usando el Marco del Análisis del Negocio. Necesitamos entender y evaluar cómo la gerencia maneja el riesgo y como puede impactar en los reportes financieros para desarrollar un plan de auditoría apropiado (es decir, qué riesgos del negocio identificados por la gerencia pueden ser riesgos de auditoría, en dónde esperamos poder confiar en los controles, en dónde deberíamos realizar procedimientos analíticos sustantivos y cuándo necesitamos realizar pruebas de detalle). Adicionalmente, la comparación de nuestra evaluación del riesgo con la evaluación del riesgo de la gerencia nos ayuda a planear la naturaleza, la duración y el alcance de nuestros procedimientos de auditoría. Por ejemplo, donde identifiquemos la ausencia de un riesgo clave en la evaluación del riesgo de la gerencia, tendríamos que enfocar nuestra atención en esa área. Tendríamos un mayor confort mientras la gerencia identifique los mismos riesgos clave, así como nosotros lo hemos hecho y demostrando políticas y procedimientos para dirigirlos a esos riesgos. También necesitamos evaluar el proceso de valuación 20 Procedimiento de la auditoría C.P. Jorge Arturo Herrera de riesgo de la gerencia a nivel de unidad de negocio. Esto incluiría el cómo son comunicados al departamento de finanzas a ese nivel. Realizamos una evaluación independiente de los riesgos cuando nosotros formulamos nuestro punto de vista usando el Marco de Análisis del Negocio y mediante otros elementos de nuestro trabajo, por ejemplo, cuando aplicamos el Ciclo de Confort de Auditoría. Primero debe haber objetivos establecidos antes de que la gerencia pueda identificar riesgos para alcanzar dichos objetivos y tomar las acciones necesarias para manejar esos riesgos. Sin el claro establecimiento de objetivos por parte de la gerencia, puede haber dificultades para identificar los riesgos relacionados, los cuales pueden entonces conducir a controles ineficaces que no ayudan a manejar los riesgos. La gerencia tiene ciertos objetivos del negocio que desea alcanzar y conoce los riesgos que pueden impedir alcanzar el logro de esos objetivos. Así pues, para mitigar estos riesgos, la gerencia ha establecido procesos y controles. Estos procesos afectan las cuentas del balance y transacciones. Los controles de computadora generales son la base de toda la información por computadora y de los controles automatizados; así que para identificar los riesgos del negocio, una entidad debe primero identificar sus objetivos. 21 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Nuestros clientes fijan objetivos para centrar su atención en los dividendos de los accionistas o, para las organizaciones no lucrativas, para proporcionar servicios a la sociedad. Los objetivos del negocio son típicamente relativamente de un nivel alto (por ejemplo, incremento basado en el rendimiento Europeo del 10% para el siguiente año) y relacionados directamente con operaciones de las compañías, reportes financieros, o conforme a las leyes y regulaciones. Generalmente, los objetivos del negocio son apoyados por una variedad de procesos y actividades del negocio. Por ejemplo, establecer y monitorear límites del crédito para nuevos clientes, monitorear el crédito concedido, las comisiones sobre ventas pagadas, los envíos de mercancías, etc. Somos cuidadosos en la identificación de los objetivos del negocio de nuestros clientes porque esto nos ayuda a identificar y a entender sus riesgos del negocio y las implicaciones de esos riesgos de la siguiente manera: Incrementar la interacción y la atención con el cliente, definitivamente nos proporciona un mejor entendimiento y evaluación de riesgos. Un incremento en el conocimiento del equipo de auditoría sobre la industria y habilidades consultivas permitirá el mejor desarrollo de nuestra gente. Un incremento en la percepción del cliente sobre el compromiso del equipo de auditoría (visto como auditores del negocio importados). Un incremento en la habilidad del equipo de auditoría para identificar los beneficios adicionales que ayudarán al cliente a alcanzar sus objetivos. 22 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Para identificar los objetivos del negocio, el equipo de auditoría necesitará realizar entrevistas y/o pláticas con el personal apropiado como parte del proceso de planeación. Estas entrevistas pueden ser con gerentes, funcionarios financieros, auditores internos, una combinación de éstos o con otros individuos clave dentro de la organización. Establecer objetivos es un requisito y parte clave del proceso de evaluación del riesgo. Los objetivos son establecidos al más alto nivel (a nivel entidad), así como a nivel unidad de negocio y proceso del negocio. Tanto a nivel entidad como a nivel actividad, los objetivos pueden ser definidos como de operaciones, de reportes financieros o unidad de negocio y proceso del negocio. Los objetivos a nivel entidad incluyen lo que la entidad desea alcanzar, y son apoyados por planes estratégicos relacionados. El establecimiento de objetivos a nivel entidad puede ser un proceso altamente estructurado o muy informal. Los objetivos pueden ser explícitos, o implícitos, por ejemplo, continuar con el nivel de desempeño anterior. Los objetivos a nivel entidad pueden ser documentados y comunicados a través de: Misión de la compañía y valuación de los estados. Plan estratégico de la compañía, etc. Ejemplos de los objetivos a nivel entidad: 23 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Disminución del 10% de los costos directos de G&A durante el año actual. Disminución del 2% del capital de trabajo requerido para el final del período de dos años. Expandirse al mercado del Este de Asia para alcanzar el 25% del costo por acción para 2010. Los objetivos específicos a nivel actividad son los que están relacionados con las unidades o funciones principales de la gerencia de la entidad, tales como comercialización, ventas, producción, investigación y desarrollo. Los objetivos a nivel actividad se originan de y se relacionan con los objetivos y las estrategias a nivel entidad. Los objetivos a nivel actividad indican frecuentemente las metas y plazos específicos. Los objetivos se deben establecer para cada actividad, y estos objetivos deben ser constantes con cada una de dichas actividades. Puntos Adicionales: 1. Entendimiento. Los objetivos tienen que ser entendidos tanto por los accionistas, la gerencia y los empleados. El riesgo incrementa si la compañía establece objetivos muy agresivos o si los objetivos son diferentes a los de años anteriores. 2. Medición. Los objetivos deben proporcionar las metas medibles hacia las cuales la entidad se mueve para realizar sus actividades. El establecimiento de objetivos permite a la gerencia identificar los criterios de desempeño, factores críticos del éxito. 24 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Muchas veces es necesario determinar el alcance del proceso de evaluación del riesgo sobre las diferencias a nivel entidad de una unidad individual de la gerencia, y donde existan diferencias significativas realizar una evaluación adicional. Los objetivos de las Operaciones permiten la eficacia y la eficiencia de las mismas, incluyendo el desempeño, los beneficios de las metas y la salvaguarda de recursos contra pérdidas. Los objetivos se basan en las opciones de la gerencia sobre la estructura y desempeño. Los Objetivos de los Reportes Financieros permiten la preparación de información financiera confiable usada en el negocio, incluyendo a los estados financieros. Estos requisitos son realizados principalmente para fines externos. Los requisitos y las regulaciones de los reportes financieros definen los objetivos de los reportes financieros de una compañía. Los Objetivos de Cumplimiento permiten la adición de leyes y regulaciones, a las cuales está sujeta la entidad. Estos dependen de los factores externos, así como de la regulación ambiental, y tienden a ser similares en todas las entidades en algunos casos, en la industria, o bien en otros países. Los objetivos frecuentemente se extienden y permanecen en más de una categoría. Ejemplos: 25 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Cerrar trimestralmente dentro de los 10 días hábiles puede ser una meta que apoya principalmente los objetivos operacionales para apoyar las reuniones de la gerencia y para revisar el desempeño del negocio. Pero esto también apoya la oportuna revelación financiera, así como el cumplimento con las agencias reguladoras. El objetivo Proporciona a la gerencia de la planta datos pertinentes sobre la mezcla de producción de la materia prima sobre una base oportuna, lo que puede relacionarse con tres categorías de objetivos. Los datos apoyan la decisión sobre los cambios deseados para el "mix" (operaciones), facilita la supervisión de los desechos peligrosos (conformidad), y proporciona la entrada del costo a la contabilidad (reportes financieros, así como las operaciones). En este proceso se evalúa el riesgo inherente, el riesgo de control y el riesgo de detección componentes del riesgo de auditoría que ayudan a identificar los riesgos clave. Realmente no se puede controlar el riesgo inherente. Se puede determinar. Se puede tomar en cuenta cuando se establecen procedimientos totales por parte de la gerencia. Necesita considerar esto cuando planee la revisión de los procedimientos o cuando diseñe controles. Pero realmente no se puede controlar este riesgo. 26 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Riesgo de Control - Es el riesgo que el control interno de una entidad corre al no poder prevenir, detectar y corregir errores materiales oportunamente. Básicamente, es el riesgo de que algo pueda ir mal. El sistema de controles que un cliente pone realmente necesita estar balanceado con el nivel de riesgo con el cual están dispuestos a vivir, así como con el costo de este sistema de controles. Los controles son un costo para la organización. Entonces tiene que hacer un análisis del costo-beneficio. Y hay épocas donde podríamos ir con el cliente y decirle que hay controles que deberían aplicarse en lugar de los existentes. Y el cliente nos dirá Nosotros no podemos aplicar otros controles como a continuación se demuestra: 1. Riesgo de Detección. El riesgo de que los procedimientos de los auditores no detecten errores materiales. 2. Riesgo de errores materiales. Es el riesgo de que los estados financieros presenten errores materiales antes de la auditoría; es por lo tanto, una combinación del riesgo inherente y el riesgo de control, para lo anterior deberemos considerar: Factores Externos El desarrollo tecnológico puede afectar la naturaleza, sincronización y desarrollo de la investigación o conducir a cambios en la consecución. 27 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Las necesidades o las expectativas del cliente pueden afectar al desarrollo del producto, al proceso de producción, al servicio del cliente, al precio y a la garantía. La competencia puede alterar la comercialización o el servicio de las actividades. La nueva legislación y regulaciones pueden originar cambios en las políticas y en las estrategias de la operación. Las catástrofes naturales pueden conducir a cambios en las operaciones o sistemas de información y destacar la necesidad de planes contingentes. Los cambios económicos pueden tener un impacto en las decisiones relacionadas al financiamiento, gastos de capital y expansión. Factores Internos Por experiencias pasadas, el no alcanzar los objetivos. Una interrupción en el proceso del sistema de información puede afectar adversamente las operaciones de la entidad. La calidad del personal empleado y los métodos de entretenimiento y de motivación pueden influir en el nivel del control de la entidad. Un cambio en la responsabilidad de la gerencia puede afectar en la manera en que se efectúan ciertos controles. La naturaleza de las actividades de una entidad y la accesibilidad del empleado a los activos pueden contribuir al manejo inapropiado de los recursos. 28 Procedimiento de la auditoría C.P. Jorge Arturo Herrera El análisis de riesgo no es un ejercicio teórico. Es a menudo crítico para el éxito de la entidad. Es más eficaz cuando incluye la identificación de todos los procesos claves del negocio donde las exposiciones potenciales de una consecuencia existen. La importancia de un análisis de riesgo puede ser subestimada. Es digno de observar que un riesgo que la gerencia considera de poca importancia por su baja probabilidad - riesgo 6 en la diapositiva – todavía podría ser un riesgo clave en la auditoría (por ejemplo, la aplicación de una política de contabilidad correctamente puede ser un riesgo clave para nosotros en la auditoría, pero un riesgo bajo para la gerencia). Una vez que la significación y la probabilidad del riesgo se hayan determinado, la gerencia necesita considerar cómo deberían ser manejados los riesgos. Esto implica el juicio basado en suposiciones acerca del riesgo, y un análisis razonable del costo asociado a reducir el nivel de riesgo. Las acciones tomadas para reducir el riesgo se extienden para identificar fuentes alternativas de recursos o ampliar las líneas de productos para obtener informes de funcionamiento más relevantes o mejorar programas de entrenamiento. La respuesta de la gerencia a diversos riesgos puede variar; esto incluye: 1. Anulación. La acción es tomada para eliminar las actividades que crean el riesgo (por ejemplo, cierre de operaciones comerciales). 29 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 2. Reducción. La acción es tomada para reducir la probabilidad o el impacto del riesgo, o ambas. 3. Compartiendo. La acción es tomada para reducir la probabilidad o el impacto de un riesgo por transferencia o de otra manera compartiendo una parte del riesgo con el tercero (por ejemplo, el riesgo común que comparten técnicas incluye comprar los productos del seguro, reuniendo riesgos, la protección o el outsourcing de la actividad). 4. Aceptación. Ninguna acción es tomada para afectar la probabilidad del impacto del riesgo. Esto a menudo podría ser un caso, cuando el costo de las acciones posibles excede los beneficios de la reducción de riesgos. Evaluando las respuestas y la determinación de los riesgos basados en: Eficiencia de las acciones tomadas. Costo/beneficio. Pérdidas de oportunidades futuras, etc. El riesgo gerencial es un proceso interactivo. Basado en los análisis de eficacia/eficiencia de las acciones tomadas o los controles implementados que tienen que ser valorados de nuevo. También, si se determina que las acciones tomadas no son suficientes para reducir el riesgo a un nivel aceptable, adicionalmente las acciones/controles tienen que ser considerados. 30 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Porque la economía, la industria y los ambientes regulatorios cambian continuamente, la gerencia debe tener un proceso formal o informal para identificar y reaccionar a los cambios. Estos procesos incluyen: Implementación de controles internos específicos para identificar los cambios internos y externos (por ejemplo, la asignación de responsabilidades y el establecimiento de procedimientos que se relacionan con la supervisión del ambiente externo, los precios, el mercado, las regulaciones tecnológicas, nuevas/cambiantes e informes de exigencia). Ampliación de los reportes gerenciales para incluir los cambios significativos de los indicadores de mercado o acontecimientos tecnológicos. Fijando procedimientos de informes internos para reportar cambios o eventos inesperados. El proceso de evaluación del riesgo en una entidad es un método para identificar y responder a los riesgos del negocio. El proceso de evaluación de riesgo de la entidad, mientras se dirige ampliamente a los riesgos del negocio, puede asistir a la gerencia y a nosotros en la identificación de los riesgos de errores materiales. Nuestro énfasis en el entendimiento del proceso de evaluación de riesgo debería ser en aquellos riesgos del negocio que pueden dar lugar a errores materiales en los estados financieros. 31 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 4.4 Ejecución de la auditoría. Actividades de Control: La revisión de nuestra auditoría va enfocada a los estados financieros, los cuales comprenden varias partidas (saldos). Los estados financieros de nuestros clientes constan de varias partidas individuales, las cuales pueden concentran varias cuentas en un solo saldo para que puedan ser presentados a terceros. Es importante que comprendamos qué cuentas significativas se comprenden en cada partida y su presentación en los estados financieros. La administración hace ciertas aseveraciones acerca de sus estados financieros. Por ejemplo, todos los pasivos son registrados (totalidad) Las partidas de los estados financieros puede constar de una o varias cuentas importantes. Cada cuenta se compone de una o más transacciones que representa los eventos del negocio. Estas transacciones generalmente pueden ser agrupadas en clases ó tipos (Ejemplo: ventas) ó subprocesos que son tratados consistentemente. Las transacciones se incluyen en los estados financieros como resultado de los procesos del negocio (Ejemplo: los ingresos y el proceso de envió de las facturas, y el cobro de efectivo, de las cuentas por cobrar), las cuales, están agrupadas en subprocesos (Ejemplo: facturación, entrada de efectivo) para asegurar consistencia, procesamiento eficiente y efectivo y manejo administrativo de la información. 32 Procedimiento de la auditoría C.P. Jorge Arturo Herrera En el pasado deben haber pensado sobre los objetivos del procesamiento de la información en el nivel de procesos de negocios; sin embargo, los objetivos del procesamiento de la información se relacionan al procesamiento de transacciones. Cuando la administración procesa una transacción, el objetivo del procesamiento de la información es que la transacción sea registrada en su totalidad (totalidad) (C), con exactitud (A), que la transacción sea autorizada (V), y quieren restringir el acceso para el manejo de los datos dentro de las transacciones (R). La administración debe entender el flujo de la transacción para identificar los puntos de riesgo dentro del proceso donde algo pueda ocurrir que les hubiera evitado lograr los objetivos. Es en estos puntos del proceso donde las actividades de control necesitan ser implementadas. Los diferentes tipos de transacciones deben fluir a través del mismo proceso de negocios, y necesitamos entender el flujo de cada grupo o tipo de transacciones (Ejemplo: subprocesos) por separado, porque cada una tiene un riesgo único que necesitan ser mitigados por un único juego de controles. En este caso, si los riesgos son específicos de un proceso, los controles también son específicos del proceso, y son llamados aplicaciones de control. Dichos controles pueden ser automatizados (ej. Realizados por un sistema computacional) o manuales (realizado por humanos). Los procesos del negocio (ej. el proceso de ingresos y cuentas por cobrar), deben estar soportados por 33 Procedimiento de la auditoría C.P. Jorge Arturo Herrera procedimientos contables automatizados. Como una parte del proceso del negocio, la aplicación de un programa de software (ej. SAP. Sage) también pueden producir reportes. Estos son usados por la administración y usuarios para realizar controles aplicativos manuales (ej. revisión de reporte de excepciones) o revisiones del rendimiento del negocio (ej. comparación contra presupuestos). Como lo planteamos anteriormente, para mitigar estos riesgos, la administración implementa controles. Como en este caso los riesgos son específicos a un proceso, los controles son también procesos específicos y son llamados controles aplicativos. Dichos controles pueden ser automatizados (Ejemplo: desempeñado por un sistema computarizado) o manuales (desempeñado por humanos). Los procesos del negocio (Ejemplo: los ingresos y el proceso de cuentas por cobrar) deben estar soportados por procedimientos contables automatizados. Como una parte del proceso del negocio, la aplicación de un programa de software(ej. SAP. Sage) también pueden producir reportes. Estos son usados por la administración y usuarios para realizar controles aplicativos manuales (ej. revisión de reporte de excepciones) o revisiones del rendimiento del negocio (ej. comparación contra presupuestos). Los controles aplicativos automatizados, procedimientos contables automatizados y la aplicación de los reportes generados se basan en la computadora. Su correcta operación recae en el sistema de computo (y la aplicación de los programas que 34 Procedimiento de la auditoría C.P. Jorge Arturo Herrera corren en el sistema de cómputo) continuando con el proceso de datos para mantener la integridad. Para mitigar cualquier riesgo en esta área, la administración debe implementar controles generales sobre los ambientes de tecnología de información. Si deseamos depositar confianza en la correcta operación de los sistemas de aplicación necesitamos evaluar los mismos. Los controles generales de tecnología de la información CGTI son dominantes dentro de la organización, no se encuentran ligados a un proceso particular del negocio. Cuando operan de manera efectiva, proveen el confort necesario para que podamos depositar confianza en los controles aplicativos automatizados, procedimientos contables automatizados, interfaces de datos y en la integridad de la información presentada en los reportes usados para efectos de controles manuales. Vamos a dedicar algunos momentos a revisar lo que son las actividades de control, pero primero queremos aclarar algunos términos de metodología para que podamos entender la relación entre lo siguiente: Proceso. Actividad. Control. Una actividad es un procedimiento; y una secuencia de las actividades hacen un proceso. Un proceso ocurre para conseguir un trabajo y alcanzar los objetivos de negocio. Un proceso puede variar su complejidad, desde alguno muy simple como 35 Procedimiento de la auditoría C.P. Jorge Arturo Herrera pagar una cuenta hasta ser un elemento clave de la operación del negocio, tal como puede ser el sistema de administración de inventarios de una empresa detallista. De acuerdo con lo anterior, una actividad es un procedimiento o grupo de procedimientos dentro de un proceso. Algunas actividades pueden tener un doble propósito sirviendo también de controles, mientras que otras simplemente necesitan realizarse como parte de las operaciones del día con día de una entidad. Un proceso incluirá un número de actividades, de las cuales algunas serán controles. Los tipos de controles pueden variar en cada proceso, pero en todos los casos deben asegurar que ocurran las actividades tal y como están prescritas por la administración y que las transacciones resultantes se registran de manera total y exacta. Las actividades de control son métodos que utiliza la administración para asegurarse de que las aseveraciones de los estados financieros son verdaderas. Usemos la siguiente analogía para ayudarnos a entender la diferencia entre una actividad y un control. Pensemos en empacar un paracaídas: el empacar el paracaídas es una actividad mientras que el asegurarse de que el mismo fue empacado correctamente para que se sientan seguros al utilizarlo y que se va a abrir es el control. Para cubrir más ampliamente nuestra discusión, observemos el diagrama que resume gráficamente el lazo entre un proceso, una actividad y un control. 36 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Un proceso se compone de un grupo de actividades. Las actividades son acciones o tareas en el proceso o los procesos. Finalmente, los controles son tareas dentro de las actividades que tienen el objetivo especial de asegurar a la administración que se efectúan correctamente las políticas y directrices. Observen que es posible que algunas actividades tengan más controles que otras. Las actividades de control se pueden categorizar como sigue: 1. Revisiones de desempeño de negocios. En estas revisiones se incluyen las siguientes actividades: Revisiones de desempeño real vs. presupuestos, pronósticos y periodos anteriores. Relacionar diferentes grupos de datos (operativos y/o financieros) con otros, junto con el análisis de las relaciones, así como la investigación y acciones correctivas. Por ejemplo, revisando la rotación de inventarios o días de cuentas por cobrar, mes a mes o año con año (y luego modificando los planes de producción o las políticas de descuentos). Revisiones de funciones o desempeño de actividades, tales como un gerente que otorga préstamos al consumo de un banco, revisaría los reportes por sucursal, región y tipo de préstamo para aprobaciones de préstamos nuevos y la cobranza. 37 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Esencialmente las revisiones de desempeño de negocios serían realizadas por una persona, y consecuentemente estos son controles manuales. Esperaríamos que la persona tenga cierto conocimiento y experiencia para que pueda determinar errores o inconsistencias. 2. Controles de proceso de la información. Se realiza una gran variedad de controles para verificar la exactitud, totalidad, y la autorización de transacciones, básicamente se verifica la información "en bruto" que se convertirá en información financiera. Las dos clasificaciones que en términos generales, agrupan las actividades de controles del proceso de la información son los controles aplicativos y los controles generales de tecnología de la información. Tendremos sesiones separadas relativas a cada una de ellas y las veremos con mayor detalle. En resumen, los controles aplicativos, son actividades de control manual o automatizado que generalmente operan al nivel detallado del proceso de negocios (transacción) y están diseñados para asegurar la integridad de los registros contables. Los controles generales de tecnología de la información consisten en los controles acerca del mantenimiento de los sistemas existentes de tecnología de información (IT), implementación de sistemas nuevos de IT, seguridad de la información y operaciones computarizadas. 38 Procedimiento de la auditoría C.P. Jorge Arturo Herrera 3. Controles físicos. Estas actividades comprenden: La seguridad física de activos, incluyendo salvaguarda, tales como seguridad en sucursales (almacenes y oficinas) sobre el acceso a activos y registros, por ejemplo guardar los cheques en blanco en la caja fuerte, tener guardias de seguridad en los accesos de entrada y de salida. Autorizaciones para el acceso a programas de cómputo y archivos de datos y cintas, por ejemplo establecer ciertos ID´s configurados para tener acceso a ciertas aplicaciones. Los conteos periódicos y la comparación de activos / pasivos con las cantidades incluidas en los registros de control, por ejemplo conteos físicos de inventarios y activos fijos. Para medir el alcance en el cual pretenden o intentan prevenir el robo de activos dependerá mucho de la confiabilidad de la preparación de los estados financieros, considerando si los activos son susceptibles al robo en gran medida o no. 4. Segregación de funciones. Un aspecto importante que debemos tener en mente cuando revisamos los procesos de negocios es la segregación de funciones. 39 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Asignar diferentes personas a las responsabilidades: de autorizar transacciones, registrarlas, y mantener la custodia de activos con el fin de reducir las oportunidades de que alguna persona este en posición de ambas, preparar y llevar a cabo fraudes y ocultar errores o fraudes en el curso normal de sus deberes. Por ejemplo, los procedimientos de firmar órdenes de pago, registrar el pago de pasivos en los registros contables y conciliar las cuentas de bancos idealmente deben realizarse por tres diferentes personas. La segregación de funciones tiene un impacto muy importante en todos los otros tipos de actividades de control. Con objeto de que los controles operen es muy importante que exista una adecuada segregación de funciones. La segregación de funciones abarca tres niveles diferentes: Deben existir los controles generales de tecnología de la información para soportar los accesos al sistema y sus restricciones. Los roles y responsabilidades individuales se asignan adecuadamente. La restricción adecuada de los derechos de acceso a las aplicaciones. Normalmente es difícil lograr una segregación de funciones adecuada en entidades pequeñas, pero aun en este tipo de entidades, que cuentan con solo algunos empleados pueden asignar sus responsabilidades de tal manera que se logre esta 40 Procedimiento de la auditoría C.P. Jorge Arturo Herrera segregación, de no ser posible, la administración debe establecer procedimientos de vigilancia de las actividades incompatibles para lograr los objetivos de control. Los controles relevantes para la auditoría generalmente son aquellos que se refieren a los objetivos de los reportes financieros, por ejemplo: Controles relativos a la autorización. Segregación de funciones. Controles sobre datos de entrada. Check-totals. Controles que aseguran la salvaguarda y registros de activos (incluyendo las conciliaciones entre el libro mayor y auxiliares de cuentas significativas). Ciertos controles tales como los controles operacionales y de cumplimiento, incluyendo controles no financieros, pueden ser relevantes para la auditoría si se relacionan con la información que estamos evaluando o utilizando al aplicar procedimientos de auditoría. Por ejemplo, los procedimientos para asegurar la calidad en compañías que producen alimentos o farmacéuticos, pueden ser efectivos para prevenir o detectar errores en la producción o almacenamiento de inventarios y, por lo tanto, de manera indirecta dirigirse a la valuación de los saldos de inventarios. 5. Ejecución de la Auditoria En esta tapa de la auditoria el contador público llevará acabo la realización y ejecución del proyecto de auditoría. 41 Procedimiento de la auditoría C.P. Jorge Arturo Herrera La Norma Internacional de Auditoría (NIA) 400 requiere que, sin importar cuán efectivos parezcan ser los controles, todas las auditorías deben incluir algunas pruebas sustantivas, estableciendo: “Independientemente de los niveles evaluados de riesgos inherentes y de control, el auditor debe aplicar algunos procedimientos sustantivos para saldos de cuentas y clases de transacciones que sean materiales”. En la consideración de cuánta otra evidencia de auditoría necesitamos, hay dos escenarios: a) Confort significativo. Donde nos es posible obtener confort significativo a través de la aplicación de la revisión de controles para asegurar que los estados financieros no tienen errores importantes, es probable que podamos obtener la mayoría de la evidencia adicional necesaria de procedimientos analíticos sustantivos dirigidos a las cifras al, o lo suficientemente cerca del, cierre anual. Aunque tal vez ya hayamos aplicado procedimientos analíticos como parte del ciclo de auditoría, probablemente los aplicamos a cifras anteriores y con el propósito principal de ayudarnos a probar si la administración tiene derecho a su confort. Para que los procedimientos analíticos constituyan una prueba sustantiva, tienen que efectuarse con suficiente rigor según se explica más adelante. Deberemos también considerar si las pruebas de detalle son necesarias para que estemos satisfechos con respecto a todas las aseveraciones de los estados financieros, tomando en cuenta todos los riesgos materiales identificados y 42 Procedimiento de la auditoría C.P. Jorge Arturo Herrera reconociendo que los procedimientos analíticos pueden no darnos la evidencia que necesitamos. b) Confort limitado. Si obtenemos solo un confort limitado a través de la aplicación de la revisión de controles, necesitaremos llenar el hueco obteniendo otra evidencia de auditoría. Hacemos esto aplicando pruebas sustantivas, que podrían ser procedimientos analíticos sustantivos, pruebas de detalle o una combinación de ambos dirigidos a las áreas de los estados financieros en donde necesitamos más confort. La cantidad de confort que obtenemos a través de la aplicación del ciclo de auditoría y por tanto la cantidad de certeza requerida de las pruebas sustantivas es cuestión de juicio. La guía a continuación explica los pasos necesarios a fin de asegurar que las pruebas sustantivas, ya sea revisión analítica sustantiva o pruebas de detalle, proporcionen la certeza necesaria. En algunas jurisdicciones y/o industrias, las normas profesionales pueden requerir que se lleven a cabo pruebas de detalle específicas, o al menos el equipo de auditoría tendrá que ser capaz de justificar el no haber realizado dichas pruebas. El auditor deberá obtener evidencia suficiente y competente mediante la inspección, la observación, las preguntas y la confirmación, a fin de tener una base razonable para emitir una opinión de los estados financieros que se examina. 43 Procedimiento de la auditoría C.P. Jorge Arturo Herrera La evidencia necesaria para corroborar o contradecir las afirmaciones que contienen los estados financieros, y proporcionar así al auditor una base para expresar su opinión, se obtiene diseñando y aplicando procedimientos y pruebas de auditoría. En esta sección se describen las diversas clases de evidencia que están al alcance del auditor y los tipos de pruebas que éste aplica para obtener la evidencia. Podemos sólo alcanzar una opinión basados en la evidencia de que los riesgos han sido identificados dentro de los estados financieros y libres de errores materiales. Una buena evidencia de auditoría debe tener tres características. a) La primer característica de una buena evidencia es que necesita ser relevante (por ejemplo, pertenece realmente a lo que tratamos de hacer). Por ejemplo si tú tratas de probar la existencia de un activo fijo, no sería muy relevante revisar documentos de envío. Sería más relevante para ti inspeccionar si el activo fijo verdaderamente existe. b) La siguiente característica de una buena evidencia es confiable. La confiabilidad de la evidencia de auditoría es influida por su fuente y naturaleza, y depende de las circunstancias individuales bajo las que se obtiene. c) La tercera característica de una buena evidencia es la necesidad de ser suficiente, es decir obtener lo necesario de esa evidencia. 44 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Usemos un ejemplo Si te explica un cliente que disminuyeron los gastos bancarios por intereses que hubo durante el año porque modificaron los términos de un préstamo con el banco para obtener una tasa más favorable, lo que se debería de hacer como auditor es llevar a cabo alguna acción para verificar esa explicación, como por ejemplo solicitar ver el nuevo acuerdo por ese préstamo. La corroboración es el proceso de obtener evidencia adicional para sostener la evidencia de auditoría reunida. Se requiere cuando el cliente creó la evidencia, particularmente cuando tú realizas las indagaciones. ¡La indagación por sí sola no es suficiente! Para obtener el confort de auditoría debemos obtener evidencia adicional para corroborar lo que nos está diciendo el cliente. A continuación, se describe en qué momento se utiliza cada uno de los procedimientos de auditoría: 1. Procedimientos analíticos sustantivos. La NIA 520 define procedimientos analíticos como “análisis de las proporciones y tendencias significativas, incluyendo la investigación resultante de fluctuaciones y relaciones que son inconsistentes con otra información relevante o que se desvían de los montos previstos”. La naturaleza y alcance de los procedimientos analíticos sustantivos que llevemos a cabo dependen de: 45 Procedimiento de la auditoría C.P. Jorge Arturo Herrera La cantidad de confort que hemos obtenido de la aplicación de la revisión de control y por tanto, la certeza que necesitamos que proporcionen los procedimientos analíticos sustantivos. Nuestro entendimiento del negocio, que nos permitirá identificar la información apropiada, de fuentes internas y externas, con la cual construir una expectativa. Los resultados de los procedimientos analíticos ya aplicados como parte del ciclo de auditoría. 2. Pruebas de detalle. Las pruebas de detalle se usarán básicamente si hemos obtenido solo un confort limitado. Para cada procedimiento sustantivo (por ejemplo, confirmaciones, revisión documental) a ser aplicado al saldo de una cuenta o clase de transacciones, debemos determinar el método que se usará para seleccionar el número de partidas a probar. Al seleccionar el método de prueba y número de partidas a probar, deberá adoptarse el siguiente proceso: Determinar los objetivos. ¿Cuál es la aseveración básica para los estados financieros? ¿Cuál es el nivel de certeza requerido? Definir las condiciones de error (misstatement). ¿Qué constituye un error para las pruebas? Definir la población y determinar el método o métodos de prueba. ¿Cómo se asegura la totalidad de la población? 46 Procedimiento de la auditoría C.P. Jorge Arturo Herrera ¿Cuál es el método de prueba más adecuado? Pruebas dirigidas. Pruebas de aceptación-rechazo. Muestreo. 3. Determinar el número de partidas a probar. Si se va a aplicar muestreo, el número de partidas a probar está relacionado con la cantidad de certeza requerida. La forma en que los resultados se evalúen depende del método de selección de partidas para probar: Método de cobertura Pruebas dirigidas Muestreo El error no es extrapolado a la población. El error es extrapolado a la población estratificada con las características a las que se dirigió la prueba. El error es extrapolado a la población entera. La terminación de la auditoría comprende las etapas finales de la auditoría, lo que quiere decir que todas las tareas se han terminado de manera satisfactoria, de conformidad con los principios y procesos de la Auditoría. El objetivo es terminar la auditoría en forma ordenada y adecuada, basándonos en nuestras obligaciones profesionales y los objetivos de nuestro compromiso. Así mismo, buscamos 47 Procedimiento de la auditoría C.P. Jorge Arturo Herrera minimizar el tiempo que se dedica a terminar las tareas y realizar tanto trabajo como sea posible en las instalaciones del cliente. Se requiere: Terminar y revisar los estados financieros así como el checklist de revelación. Anotar y dar respuesta a las excepciones y asegúrese que los estados financieros: Se han ajustado a los registros de la entidad y coinciden con la balanza certificada proporcionada por el cliente. Se han referenciado contra los papeles de trabajo. Se han revisado razonablemente y globalmente, incluyendo otra información que se emite junto con los estados financieros. Se ha evaluado la materialidad global. Acumular los ajustes potenciales de la auditoría y considerar sus implicaciones en nuestra opinión. Hay que estar seguros que se comuniquen, resuelvan y documenten los asuntos críticos y otros problemas importantes, tanto con el cliente como dentro del equipo. Consultar, cuando sea necesario, con industrias o especialistas funcionales y documentar dicha consulta. Considerar las implicaciones de la auditoría en el proceso de aceptación y continuidad derivado de la actualización del conocimiento del cliente, incluyendo evaluación de riesgos de fraude y el cumplimiento de las leyes y regulaciones. 48 Procedimiento de la auditoría C.P. Jorge Arturo Herrera Confirmar los litigios, demandas y evaluaciones de abogados. Evaluar la capacidad de negocio en marcha del cliente. Confirmar las pruebas de control y registrarlas adecuadamente y mantener la opción de estrategia original. Confirmar todo el trabajo hecho y revisarlo. Dar por terminada la auditoría y firmar nuestra auditoría. Este requisito lo realizan el contador público certificado y el encargado de la auditoria. Obtener carta gerencia del cliente y confirmación del secretario del consejo de administración. Realizar la revisión de eventos subsecuentes. La fase de terminación tiene lugar principalmente después de la fecha del balance. Esos procedimientos suponen muchas decisiones subjetivas que requieren el juicio y la experiencia de los miembros principales del equipo de trabajo. Las decisiones en esta fase de la auditoría son con frecuencia críticas para el resultado final del trabajo; en consecuencia los procedimientos que se apliquen deben reflejar: a) La confianza general o la preocupación del auditor en aspectos clave de los estados financieros. 49 Procedimiento de la auditoría C.P. Jorge Arturo Herrera b) La evaluación de los factores de riesgo que afectan la salud financiera de la empresa. c) La confianza en las declaraciones hechas por la gerencia. 50