Ley Sarbanes-Oxley
Las deficiencias en el control interno pueden ocasionar errores de importancia en los estados financieros. Para tratar estos casos, la Sección 404 de la Ley Sarbanes-Oxley requiere que los auditores de compañías públicas evalúen e informen acerca de la eficacia del control interno sobre los informes financieros, además de su informe referente a la auditoría de los estados financieros. La Sección 404 también precisa que el auditor debe preparar un informe de auditoría referente a la evaluación de los controles internos de la administración, incluyendo la opinión del auditor acerca de la eficacia operativa de esos controles.
Controles internos y auditoría
Durante la auditoría de estados financieros, el auditor se debe enfocar en los controles relacionados con la confiabilidad de los informes financieros, además de los controles relacionados con las operaciones y el cumplimiento de las leyes y reglamentos que pueden afectar de manera importante los informes financieros.
¿Qué es el riesgo de control?
El riesgo de control es el riesgo de que una representación errónea, que pudiera ser de importancia relativa individualmente o en conjunto con otras, no sea prevenida o detectada y corregida oportunamente por los sistemas de contabilidad y de control interno.
El riesgo de control es el riesgo causado por las limitaciones inherentes a cualquier sistema de contabilidad y de control interno. Es esencial tener en cuenta que el riesgo de control será diferente para diferentes cuentas dependiendo de la eficacia de los controles relacionados con cada una.
Evaluación preliminar del riesgo de control
Una vez que se han identificado los controles, las deficiencias importantes, debilidades materiales y los objetivos de auditoría relacionados con las operaciones, el auditor puede evaluar de manera preliminar el riesgo de control al nivel de aseveración, para cada saldo de cuenta o clase de transacciones.
La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de los sistemas de contabilidad y de control interno de una entidad para prevenir o detectar y corregir representaciones erróneas de importancia relativa.
La evaluación preliminar del riesgo de control para una aseveración del estado financiero debería ser alta a menos que el auditor:
- Pueda identificar controles internos relevantes a la aseveración que sea probable que prevengan o detecten y corrijan una representación errónea de importancia relativa.
- Planee desempeñar pruebas de control para soportar la evaluación.
Documentación de la comprensión y la evaluación del riesgo de control
El auditor debe documentar en los papeles de trabajo de la auditoría:
- La comprensión obtenida de los sistemas de contabilidad y de control interno de la entidad; y
- La evaluación del riesgo de control.
Cuando el riesgo de control es evaluado como menos que alto, el auditor debería documentar también la base para las conclusiones.
Pruebas de control
El auditor debe obtener evidencia de auditoría por medio de pruebas de control para soportar cualquiera evaluación del riesgo de control que sea menos que alto. Mientras más baja sea la evaluación del riesgo de control, más soporte debería obtener el auditor de que los sistemas de contabilidad y de control interno están adecuadamente diseñados y operando en forma efectiva.
Basado en los resultados de las pruebas de control, el auditor debe evaluar si los controles internos están diseñados y operando según se contempló en la evaluación preliminar de riesgo de control. El hallazgo de desviaciones puede dar como resultado que el auditor concluya que es necesario modificar la evaluación del riesgo de control. En tales casos el auditor debe modificar también la naturaleza, oportunidad y alcance de los procedimientos sustantivos planeados.
Evidencia
El auditor debe utilizar procedimientos para obtener un conocimiento del control interno, lo cual incluye reunir evidencia sobre el diseño de controles internos y si se han puesto en operación. Por lo general, son tres métodos los que utilizan los auditores para obtener y documentar su conocimiento del diseño de control interno: las narrativas, los diagramas de flujo y los cuestionarios de control interno. Adicionalmente, el auditor hace revisiones exhaustivas, revisa los datos de auditorías anteriores y realiza pruebas de control y procedimientos sustantivos.
Comunicaciones
Como parte del conocimiento del control interno y la evaluación del riesgo de control, se requiere que el auditor comunique las deficiencias importantes y debilidades materiales por escrito al comité de auditoría. Con frecuencia, esta información y otras recomendaciones relacionadas con los controles también se comunican a la administración.
Evaluación final del riesgo de control
El auditor utiliza toda la información analizada para hacer una evaluación subjetiva del riesgo de control para cada objetivo. Existen diferentes formas de expresar esta evaluación. Algunos auditores utilizan una expresión subjetiva como: alta, moderada o baja. Otros utilizan probabilidades numéricas como 1.0, 0.6, o 0.2.
Antes de la conclusión de la auditoría y basado en los resultados de los procedimientos sustantivos y de otra evidencia de auditoría obtenida, el auditor debe revisar si la evaluación del riesgo de control fue adecuada y presentar su concepto definitivo sobre el sistema de control interno.
Referencias:
IFAC - Normas Internacionales de Auditoría
Ley Sarbanes Oxley
Y luego Agregar a la pantalla de inicio.