Auditoría Externa

La evaluación del entorno de controles en auditorías de estados financieros

Detalles

Por: CP Iván Rodríguez. Colaborador de Auditool.

Mantener un entorno de control altamente efectivo es parte integral de cualquier buen programa de aseguramiento y de cumplimiento de una organización. Cuando los controles u otras medidas de seguridad fallan, hay una exposición a diferentes riesgos que puede tener impactos significativos. Las repercusiones pueden implicar una costosa violación de datos, interrupción en la cadena de suministro, daño a la reputación, pérdida de ingresos y otros efectos más. Sin embargo, con un monitoreo adecuado la mayoría de las fallas de control son completamente prevenibles.

Para un auditor es importante la revisión del entorno de control de su cliente, pues esto le permite identificar áreas de mejora y plantear recomendaciones apropiadas para evitar interrupciones y fallas futuras en los procesos. Una vez que la organización se comprometa a una mejor gestión de los controles, advertirá su importancia, bien sean estos detectivos, preventivos o correctivos. Una buena gestión de los controles es una adecuada respuesta a la protección contra catástrofes.

En un reciente artículo[1] de auditcomply se cita a Amy Brachio, Vicepresidenta Adjunta Global de Sostenibilidad de EY, y sus recomendaciones sobre preguntas para hacer durante una revisión de su entorno de control:

  • ¿La estructura de gobierno maximiza la cobertura de riesgos y los recursos? Si bien puede parecer una tarea sin importancia después de algunos años de cumplir con los requisitos de SOX y normas semejantes, muchas compañías están revisando, complementando y documentando su programa de control interno para reportes financieros ICFR[2] (Internal Control Over Financial Reporting por sus siglas en inglés) parte de sus programas de capacitación.
  • ¿Se actualiza regularmente el programa ICFR para responder a los cambios en el negocio y los requisitos reglamentarios? Las organizaciones de prácticas líderes han establecido un proceso sostenible para actualizar periódicamente su programa ICFR para responder a los cambios en el mercado, e incluso usarlo como una plataforma para hacer cambios y mejoras más holísticas.
  • ¿Se identifican los cambios en las normas de contabilidad y las implicaciones para el negocio?, ¿se abordan de manera oportuna? Un proceso continuo bien documentado y bien entendido es fundamental para mantenerse al tanto de los cambios en las normas contables.
  • ¿Cómo se selecciona y supervisa el alcance y la combinación de controles adecuados? La optimización del control no debe ser un ejercicio de una sola vez, sino que debe hacerse periódicamente para mantenerse al día con los cambios en los entornos comerciales y regulatorios.
  • ¿Los controles de revisión de gestión están diseñados y ejecutados adecuadamente? Las áreas típicas incluyen procesos de estimación de mayor riesgo, fraude u otros riesgos significativos, clases inusuales o no rutinarias de transacciones, controles de todo el grupo y controles de compensación. En estos se confía para mitigar las deficiencias.
  • ¿Está considerando la integridad y precisión de la información provista por la entidad en sus controles? Cuando las empresas recopilan internamente evidencia del diseño y la efectividad operativa de los controles, deben considerar y documentar la integridad y precisión de la evidencia.
  • ¿Cuándo es importante la integridad de la población? Los informes utilizados como población en las pruebas de TI y los controles de procesos de negocio deben ir acompañados de evidencia de que los datos reportados reflejan completamente la información contenida en el sistema. Además, que no se modificó indebidamente cuando se generaron los informes.
  • ¿Los controles son lo suficientemente precisos como para detectar problemas significativos? El objetivo general de las pruebas de estimación de la administración es validar que los supuestos y estimaciones del emisor que subyacen a la valoración de los activos y pasivos son razonables.
  • ¿Se sabe quiénes son las partes relacionadas? Las empresas deben revisar los controles que tienen establecidos para identificar, contabilizar y divulgar transacciones con partes relacionadas y ejecutivos, así como transacciones inusuales significativas.
  • ¿La organización realiza un análisis de impacto una vez que se identifica una deficiencia? Cuando se identifican deficiencias relacionadas con los procesos de negocio o los sistemas y controles financieros clave, la realización de procedimientos adicionales para determinar si sucedió algo malo es el siguiente paso.
  • ¿Retrasar la corrección de las deficiencias hoy en día puede convertirse en deficiencias significativas en el futuro? La administración debe definir e implementar planes de corrección específicos para todas las deficiencias. Si los planes están en vigor, pero abarcan varios años, es posible que sea necesario implementar controles de compensación temporales para mitigar los riesgos.
  • ¿Cómo afectan las implementaciones del sistema al entorno de control interno? Las implementaciones de aplicaciones de TI a menudo introducen nuevas capacidades de control, pero también nuevos riesgos que afectan la capacidad de la aplicación para soportar un control interno efectivo que permite informes financieros precisos.
  • ¿Dónde reside la responsabilidad y la supervisión de los sistemas y procesos de negocio subcontratados en su organización? La externalización de sistemas y procesos de negocio no exime a las entidades usuarias de su responsabilidad por un entorno de control interno eficaz.
  • ¿Qué puede hacer si no hay un informe SOC[3] disponible? Si no existen suficientes controles en la entidad usuaria, es posible que la administración, con la asistencia de los equipos de cumplimiento y los auditores internos, deba realizar pruebas de controles o procedimientos sustantivos en la organización del servicio.
  • ¿Cuando los sistemas se trasladan a la nube se puede esperar que los controles sigan? Hay que tener cuidado con el proveedor: cuando sistemas completos o sus componentes se trasladan a soluciones administradas por el proveedor, la diligencia debida relacionada con los controles dará sus frutos.
  • ¿Por qué la segregación de funciones es importante? Sin una herramienta automatizada de GRC (gobierno, riesgo y cumplimiento) los principales sistemas de planificación de recursos empresariales pueden no tener controles adecuados sobre los conflictos de segregación de funciones.
  • ¿Se le da suficiente consideración al riesgo cibernético en su programa de gestión de riesgos? Cuando se trata de riesgo cibernético esperar que algo suceda no es una respuesta apropiada en circunstancia alguna.
  • ¿Se ha considerado cómo el análisis de datos puede ayudar a la organización a evaluar los controles y evaluar los riesgos de manera más eficiente? Las áreas comunes de implementación son el monitoreo continuo de controles en conjunto con los sistemas, el alcance de auditoría para identificar las áreas de mayor riesgo, y análisis de impacto en el caso de deficiencias de control identificadas.
  • ¿La organización aprovecha la tecnología y las herramientas para gestionar de manera más efectiva los controles internos? El repositorio de código fuente y las herramientas de administración de versiones pueden permitir controles adecuados sobre los cambios en los sistemas de producción y la segregación de las tareas de soporte frente a las de desarrollo. Además, el software de pruebas comerciales permite la implementación de un enfoque disciplinado para las pruebas de cambio del sistema financiero.

Las anteriores preguntas y comentarios pueden orientar al auditor a hacer una mejor evaluación del entorno de controles de una organización, así como dar una mejor cobertura a su trabajo, por lo que es conveniente tenerlas en cuenta.

[1] Ver: https://www.auditcomply.com/2022/05/10/elevating-your-controls-environment/

[2] El ICFR se refiere a los controles diseñados específicamente para abordar los riesgos relacionados con la información financiera. En términos sencillos, el ICFR de una empresa consiste en controles diseñados para proporcionar una seguridad razonable de que los estados financieros de la empresa son confiables y que están preparados de acuerdo con los PCGA.

[3] Un informe SOC documenta los controles internos de un proveedor de servicios en la nube que pueden ser relevantes para los informes financieros de un cliente.

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador Público de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D. C., Colombia

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado