Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos

Transcripción

1 Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos

2 SESIÓN TÉCNICA Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS Ponente MÓNICA SÁNCHEZ HERNÁNDEZ Senior Manager de ERNST & YOUNG, S.L.

3 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos El sentido de la valoración del riesgo OBJETIVO RESULTADO Identificar fuentes de riesgo y posteriormente evaluar si podrían resultar en una incorrección material en los estados financieros El auditor dirigirá el esfuerzo de auditoría a aquellas áreas en las que el riesgo de incorrección material es mayor Los riesgos deben valorarse tanto a nivel de los estados financieros como a nivel de las afirmaciones sobre tipos de transacciones, saldos contables e información revelada en los estados financieros 3

4 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos El modelo de riesgos Riesgo bajo Riesgo medio Riesgo alto Riesgo inherente Riesgos de negocio/fraude que pueden producir incorrecciones materiales Riesgo de control Riesgo de incorrección material Riesgo de incorrección material Controles específicos sobre transacciones Ventas, compras, nómina, etc. Controles penetrantes (a nivel de la entidad) Gobernanza Cultura/Valores Competencia profesional Actitud ante el control Bajo Exposición al riesgo de fraude y error Alto 4

5 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Tipos de riesgos inherentes RIESGO DE NEGOCIO RIESGO DE FRAUDE Derivado de: Condiciones, hechos, circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias. Establecimiento de objetivos y estrategias inadecuados. Derivado de hechos o condiciones que indican la existencia de un incentivo o presión para cometer fraude o que proporcionan una oportunidad para hacerlo Abordado específicamente en la NIA-ES 240 5

6 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Los tres pasos de la valoración de riesgos 1. Obtener información básica sobre la entidad 2. Diseñar, realizar y documentar procedimientos de valoración del riesgo 3. Relacionar los riesgos identificados con las áreas materiales de los estados financieros a las que afectan 6

7 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Procedimientos de valoración del riesgo Observación e inspección Preguntas a la dirección y otro personal Procedimientos analíticos 7

8 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Otras fuentes de información Proceso de aceptación y continuidad Discusiones del equipo de trabajo Trabajo previo Información externa 8

9 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Entendimiento de la entidad y su entorno, incluyendo el control interno Objetivos y estrategias de la entidad Control interno Políticas contables Riesgo de incorrección material en los EEFF Factores externos Naturaleza de la entidad Indicadores financieros 9

10 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos El control interno de la entidad NIA-ES El auditor obtendrá conocimiento del control interno relevante para la auditoría. ( ) 10

11 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Componentes del control interno de la entidad CONTROLES GENERALES (A NIVEL DE LA ENTIDAD) Objetivos de información financiera Entorno de control Valoración del Entorno de control riesgo Valoración del riesgo Seguimiento Seguimiento Actividades de control Sistema de información CONTROLES ESPECÍFICOS (A NIVEL DE LAS TRANSACCIONES) Actividades de control Sistema de información 11

12 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Componentes del control interno de la entidad (II) Entorno de control Evaluar si: La dirección ha establecido y mantenido una cultura de honestidad y comportamiento ético. Los puntos fuertes del entorno de control proporcionan una base adecuada para los demás componentes del control interno y si éstos no están menoscabados como consecuencia de deficiencias en el entorno de control. 12

13 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Componentes del control interno de la entidad (III) Valoración del riesgo Tiene la entidad un proceso de valoración del riesgo? SI NO Obtener conocimiento del proceso y de sus resultados. Riesgos de incorrección material no identificados por la dirección Discutir con la dirección si se han identificado los riesgos de negocio relevantes para los objetivos de la información financiera y el modo en que se les ha dado respuesta. Evaluar si la ausencia de este proceso es adecuada en función de las circunstancias o determinar si constituye una deficiencia significativa en el control interno. 13

14 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Componentes del control interno de la entidad (IV) Sistema de información Obtener conocimiento de las siguientes áreas: Tipos de transacciones en las operaciones de la entidad que son significativos para los EEFF. Procedimientos mediante los que dichas transacciones se inician, se registran, se procesan, se corrigen, se trasladan al libro mayor y se incluyen en los estados financieros. Registros contables relacionados, información que sirve de soporte y cuentas específicas que son utilizados para iniciar, registrar y procesar transacciones e informar sobre ellas. Modo en que el sistema de información captura los hechos y condiciones, distintos de las transacciones, significativos para los EEFF. Proceso de información financiera utilizado para la preparación de los EEFF. Controles sobre los asientos en el libro diario. 14

15 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Componentes del control interno de la entidad (V) Actividades de control Actividades de control relevantes para la auditoría No es necesario conocer todas las actividades de control Aquellas que a juicio del auditor es necesario conocer para valorar los riesgos de incorrección material en las afirmaciones y para diseñar procedimientos de auditoría posteriores que respondan a los riesgos valorados 15

16 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Componentes del control interno de la entidad (VI) Seguimiento Obtener conocimiento de: Las principales actividades que la entidad lleva a cabo para realizar un seguimiento del control interno relativo a la información financiera. El modo en que la entidad inicia medidas correctoras de las deficiencias en sus controles. Las fuentes de información utilizadas en las actividades de seguimiento realizadas por la entidad y la base para considerar que esta información es suficientemente fiable. La función de auditoría interna, si existe. 16

17 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Riesgo de control: Evaluación del control interno 1. Identificar los riesgos que requieren ser mitigados 2. Evaluar si los controles están diseñados de forma que mitiguen el riesgo 3. Evaluar si los controles que mitigan los riesgos están en funcionamiento 4.Documentar los resultados y conclusión alcanzada 17

18 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Los riesgos significativos Riesgos de incorrección material que a juicio del auditor requieren una consideración especial en la auditoría. Si se determina su existencia, se debe obtener conocimiento de los controles de la entidad que cubran dicho riesgo. MAGNITUD DEL MPACTO POTENCIAL PROBABILIDAD DE OCURRENCIA = Riesgos identificados 18

19 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada Relacionados con tipos de transacciones con procesamiento muy automatizado (con escasa o ninguna intervención manual). El auditor debe obtener conocimiento de los controles de la entidad sobre dichos riesgos. 19

20 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Valoración del riesgo de incorrección material: el riesgo combinado Riesgo inherente ALTO ALTO ALTO MEDIO Riesgo de control ALTO MEDIO Riesgo de incorrección material ALTO MEDIO BAJO MEDIO BAJO ALTO / MEDIO MEDIO MEDIO BAJO BAJO BAJO MEDIO BAJO ALTO MEDIO BAJO MEDIO MEDIO BAJO / BAJO BAJO BAJO 20

21 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Revisión de la valoración del riesgo La valoración de los riesgos de incorrección material en las afirmaciones puede variar en el transcurso de la auditoría, a medida que se obtiene evidencia de auditoría adicional. Si esto se produce, se modificarán los procedimientos de auditoría posteriores que hubieran sido planificados 21

22 ST Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos Documentación Resultados de la discusión del equipo del encargo Riesgos de incorrección material en los EEFF y en las afirmaciones (identificación y valoración) CONOCIMIENTO DE LA ENTIDAD Y SU ENTORNO Elementos clave del conocimiento obtenido Fuentes de información Procedimientos de valoración del riesgo aplicados Riesgos significativos y otros que requieren identificación de controles, junto con los controles relacionados con ellos que se han identificado 22

23 SESIÓN TÉCNICA Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos DE LA IDENTIFICACION A LA RESPUESTA A LOS RIESGOS Ponente JUAN JOSÉ HIERRO Foto Socio de AUREN Miembro de la Comisión Técnica y de Calidad del ICJCE

24 DE LA IDENTIFICACION A LA RESPUESTA A LOS RIESGOS PARTE I EL PROCESO CONCEPTOS GENERALES PARTE II LA CAJA DE LAS HERRAMIENTAS PARTE III UNA PROPUESTA DE METODOLOGIA NOTA los diagramas de esta presentación proceden de la Guide to Using ISAs in the Audits of Small and Medium Sized Entities de la IFAC, escrito por el CICA canadiense

25 DE LA IDENTIFICACION A LA RESPUESTA A LOS RIESGOS PARTE I EL PROCESO CONCEPTOS GENERALES PARTE II LA CAJA DE LAS HERRAMIENTAS PARTE III UNA PROPUESTA DE METODOLOGIA

26 Riesgos y controles (a nivel de entidad) Objetivo de la entidad Preparar estados financieros que no presenten errores materiales Riesgo inherente Riesgo bajo Riesgo medio Riesgo alto Riesgos de negocio/fraude que podrían suponer la no consecución del objetivo Riesgo de control Respuesta de la dirección: Controles internos que mitigan los riesgos identificados Riesgo de errores materiales Riesgo residual de la dirección Bajo Exposición al riesgo de fraude y error Alto

27 DIAGRAMA RIESGOS - CONTROLES Riesgo inherente Riesgo bajo Riesgo medio Riesgo alto Riesgos de negocio/fraude que pueden producir errores materiales Riesgo de control Controles penetrantes (a nivel de la entidad) Riesgo de errores materiales Riesgo de errores materiales Controles específicos sobre transacciones Ventas, compras, nómina, etc Gobernanza Cultura/Valores Competencia profesional Actitud ante el control Bajo Exposición al riesgo de fraude y error Alto

28 Riesgos, controles y auditoría Objetivo del auditor Determinar que los estados financieros de la entidad están libres de errores materiales Riesgo inherente Riesgo bajo Riesgo medio Riesgo alto Dónde podrían producirse errores materiales en los estados financieros? Riesgo de control Riesgo de errores materiales Riesgo evaluado de errores materiales Los controles internos implantados por la dirección mitigan los riesgos inherentes identificados? Los procedimientos de auditoría diseñados para responder a los riesgos de errores identificados Riesgo de auditoría reducido a un nivel aceptable Bajo Exposición al riesgo de fraude y error Alto

29 PRIMERA FASE - EVALUACIÓN DE RIESGOS Actividad Objetivo Documentación 1 Evaluación de riesgos Realizar actividades preliminares del encargo Plan de auditoría Realizar los procedimientos de evaluación de riesgos Decidir si se acepta el encargo Desarrollar una estrategia global de auditoría y un plan de auditoría 2 Identificar/Evaluar REM 3 a través del conocimiento de la entidad Listado de los factores de riesgo Independencia Carta de compromiso Materialidad Discusiones del equipo de auditoría Estrategia global de auditoría Riesgos de fraude y negocio incluyendo los riesgos significativos Diseño/Implementación de los controles internos relevantes Evaluar REM 3 en: Nivel F/S Nivel de afirmación Notas: 1. Véase la NIA 230 para una relación más completa de la documentación requerida. 2. La planificación (NIA 230) es un proceso continuo e iterativo a lo largo de la auditoría. 3. REM = Riesgos de errores materiales.

30 SEGUNDA FASE: LA RESPUESTA A LOS RIESGOS Actividad Objetivo Documentación 1 Respuesta a los riesgos Diseñar respuestas generales y procedimientos de auditoría adicionales Implementación de respuestas a los evaluados REM 3 Desarrollar respuestas apropiadas a la evaluación REM 3 Reducir el riesgo de auditoría hasta un nivel aceptable 2 Actualización de la estrategia global Respuestas globales Plan de auditoría que relaciona los REM 3 evaluados a los procedimientos de auditoría adicionales Papeles de trabajo realizados Resultados de auditoría Supervisión del equipo Revisión de los papeles de trabajo Notas: 1. Véase la NIA 230 para una relación más completa de la documentación requerida. 2. La planificación (NIA 230) es un proceso continuo e iterativo a lo largo de la auditoría. 3. REM = Riesgos de errores materiales.

31 Fase III Conclusión e Informe Vuelta a la evaluación del riesgo Respuesta a los riesgos Sí Evaluar la evidencia de auditoría obtenida Se requiere trabajo adicional? No Preparar el informe del auditor Determinar si es necesario trabajo adicional de auditoría Formar una opinión basada en los resultados de auditoría Factores de riesgo y procedimientos de auditoría nuevos o revisados Cambios en la materialidad Comunicación de los resultados de la auditoría Conclusiones sobre los procedimientos de auditoría aplicados Decisiones significativos Firma de la opinión de auditoría Notas: 1. Véase la NIA 230 para una relación más completa de la documentación requerida. 2. La planificación (NIA 230) es un proceso continuo e iterativo a lo largo de la auditoría.

32 RESUMEN Procedimientos de evaluación de riesgos Respuestas globales Procedimientos de auditoría adicionales Evidencia de la evaluación de riesgos Para el tratamiento de los REM a nivel de los estados financieros Evidencia para reducir el riesgo de auditoría a un nivel aceptable REM: Riesgos de errores materiales

33 TRATAMIENTO DE LOS RIESGOS Riesgos evaluados A nivel de los estados financieros A nivel de afirmaciones Respuestas Globales Respuestas de Auditoría Procedimientos de auditoría adicionales Ejemplos: - Escepticismo profesional - Asignación de personal apropiado - Supervisión reforzada del trabajo - Evaluación de las políticas contables - Naturaleza, alcance, planificación e impredictibilidad de los procedimientos de auditoría - Otros procedimientos adicionales Procedimiento s sustantivos Pruebas de detalle Pruebas de controles Procedimientos analíticos sustantivos Resultados Evidencia de auditoría apropiada y suficiente para reducir los riesgos de auditoría a un nivel aceptable

34 RESPUESTAS GLOBALES Los riesgos penetrantes (al nivel de los estados financieros) (deficiencias graves en el entorno de control, riesgo significativo de fraude, ausencia generalizada de controles, caída brusca del mercado de los productos de la entidad,.etc.) exigen respuestas globales: diseño específico de procedimientos, necesidad de personal experimentado, necesidad de pruebas sorpresivas, reforzamiento del escepticismo profesional..etc. Los riesgos específicos (al nivel de las afirmaciones) requieren procedimientos adicionales (la caja de las herramientas)

35 PROCEDIMIENTOS DE AUDITORIA ADICIONALES Las aserciones forman el lazo de unión entre las pruebas de controles y las pruebas sustantivas. Utilizar las afirmaciones en el diseño de las pruebas a realizar. Ejemplo: no es lo mismo tratar de probar la existencia de las partidas incluidas dentro del saldo de Existencias (p.ej.: mediante pruebas de inventario físico) que probar que dentro del saldo de existencias se incluyen la totalidad de las partidas que deberían figurar como existencias (p.ej.: mediante pruebas de cumplimiento de controles). Utilizar versión simplificada de las afirmaciones: TOTALIDAD; EXISTENCIA, EXACTITUD(+corte), VALORACION

36 DE LA IDENTIFICACION A LA RESPUESTA A LOS RIESGOS PARTE I EL PROCESO CONCEPTOS GENERALES PARTE II LA CAJA DE LAS HERRAMIENTAS PARTE III UNA PROPUESTA DE METODOLOGIA

37 LA CAJA DE HERRAMIENTAS DEL AUDITOR Pruebas sustantivas de detalle Procedimientos analíticos sustantivos Procedimientos de auditoría adicionales Pruebas de controles

38 USO DE LA CAJA DE HERRAMIENTAS Debido a que en todo el proceso de evaluación de riesgos se acumulan riesgos de que los juicios realizados pudieran ser erróneos y que el control interno tiene siempre limitaciones, la norma dice que deben de hacerse pruebas sustantivas respecto de todos los ciclos de transacciones, saldos de los estadosfinancierosy las revelaciones de los estados financieros que sean materiales respecto de los estados financieros tomados en su conjunto. Si el riesgo de errores materiales es muy bajo, las pruebas sustantivas pueden reducirse al mínimo

39 OTRAS PRUEBAS OBLIGATORIAS La norma impone la OBLIGATORIEDAD de realizar pruebas en relación con: La posibilidad de elusión de los controles por parte de la dirección Los asientos significativos realizados al cierre de los estados financieros La coincidencia de los estados financieros con los registros contables Todos y cada uno de las estimaciones significativas contenidas en los estado financieros Todas las transacciones significativas fuera del curso normal del negocio Criterios y procedimientos de reconocimiento de ingresos (es obligatorio valorar el riesgo) a no ser que el riesgo se valore como bajo

40 PROCEDIMIENTOS ANALÍTICOS DEFINICIÓN Evaluación de información financiera por medio de análisis de relaciones plausibles entre diversas informaciones financieras y no financieras. Dos tipos: Simples comparaciones entremezcladas con las pruebas sustantivas (análisis de variaciones y ratios). En principio no constituyen normalmente una evidencia adecuada. Modelos predictivos. Ejemplos:1 Ingresos de una sociedad que se dedica al alquiler de un tipo de máquinas cobrando un precio por hora predeterminado: en principio el ingreso total se puede prever en cuanto se disponga de una estimación del tiempo de alquiler. 2 Negocio que constituye la última fase de la producción de una máquina determinada: si podemos confirmar las máquinas que nos han entregado de la fase anterior, deben de coincidir con las que se han producido. 3 Número de empleados estable, salarios estables, normativas de seguridad social y retenciones estables: es previsible que los gastos de personal sean estables. etc. Estas pruebas si constituyen evidencias de auditoria: el auditor debe valorar su aportación a la consecución de los objetivos. La norma impone que los riesgos significativos no se pueden tratar solamente mediante procedimientos analíticos. Por tanto, necesariamente deben de acompañarse con alguna prueba de detalle.

41 PRUEBAS DE CUMPLIMIENTO DE LOS CONTROLES PROPOSITO: Obtener evidencia de auditoria acerca de la efectividad operativa de los controles. Los controles pueden prevenir o detectar errores materiales. Los controles a seleccionar son aquellos que proveen la evidencia de auditoria necesaria para una aseveración significativa. Normalmente (no siempre) referidas a controles operativos. Un walk through no es una prueba de cumplimiento de controles. Un walk trough tiene como único objetivo probar que el sistema es tal como nos ha sido descrito. Normalmente se utiliza muestreo por atributos (muestras pequeñas). Solo se realizan pruebas de cumplimiento a cuando se espera que el control está funcionando apropiadamente y b cuando los procedimientos sustantivos no suponen una evidencia suficiente al nivel de las aserciones (ejemplo: ventas en internet que no dejan documentación, pruebas sobre la totalidad de la cifra de ventas en unos grandes almacenes, etc.). Las pruebas realizadas tienen que relacionarse con controles que, a su vez, se relacionan con riesgos de errores materiales identificados. Deben de cubrir todo el periodo. Si se hacen en periodo intermedio, completar a final del año o comprobar el monitoring.

42 CAMBIO FUNDAMENTAL ANTES: Las pruebas de controles se realizaban previamente y se utilizaban para determinar el alcance de las pruebas sustantivas. AHORA: Las pruebas de controles no son previas, son parte de la respuesta. El auditor debe de realizar la combinación de procedimientos que considere más apropiada para la consecución de sus objetivos. SI hay que hacer necesariamente evaluación de controles NO hay que hacer necesariamente pruebas de cumplimiento

43 ALCANCE DE LAS PRUEBAS DE CUMPLIMIENTO DEPENDEDELASCIRCUNSTANCIASYELTIPODEPARTIDASO TRANSACCIONES. EN CICLOS TÍPICOS (COMPREAS, VENTAS, NOMINAS) UTILIZAR PREFERENTEMENTE EL MUESTREO POR ATRIBUTOS (solo dos posibles resultados: se cumple o no se cumple). Muestras pequeñas, en las que no se producen errores dan un soporte estadístico importante a nuestro trabajo: Una muestra de 8 sin errores da una seguridad del 80% de que no hay más de un 20% de errores. Una muestra de 23 sin errores produce una seguridad del 90% de que no hay más del 10% de errores. Si hay errores hay que incrementar las muestras.

44 ROTACIÓN DE LAS PRUEBAS DE CONTROL INTERNO Se pueden hacer rotaciones de pruebas de control interno hasta un máximo de 3 años, siempre y cuando se pueda estar seguro de que el riesgo que cubre el control no ha cambiado, el control no haya cambiado y se hagan las observaciones necesarias para asegurase de que es así. No se permite la rotación cuando la confianza en el control es necesaria para mitigar un riesgo significativo, cuando el control haya cambiado o el riesgo haya cambiado, elpersonalolas circunstancias hayan cambiado, el entorno de control sea deficiente, el control sea sustancialmente manual o los controles de IT sean débiles.

45 CONTROLES AUTOMATIZADOS En muchas ocasiones los controles son realizados automáticamente por los sistemas de información. No pensar automáticamente que nada se puede hacer. Se puede seleccionar igualmente una muestra y realizar los controles externamente o se pueden obtener determinados archivos del cliente y comprobar los controles obienrealizarlos electrónicamente (técnicas de CAATs ). Incluso los paquetes estandard contienen determinados controles de cuadre y totalidad que pueden ser aprovechados por el auditor. Atención a los interfaces. Se les pueden sacar mucho partido.

46 APLICACIÓN A PEQUEÑAS EMPRESAS Con frecuencia se suele concluir que dado que no hay suficiente división de funciones el control interno es débil y sin dilación se recurre. NO NECESARIAMENTE ES ASÍ. Hay que. Analizar la fortaleza del entorno de control, en el caso de pequeñas entidades hay que conocer a fondo quien es la gerencia y como actúa y que compromiso tiene con el control y evaluar el riesgo de elusión. Analizar la posible existencia de controles para los que puede ser más eficiente obtener evidencia a través de pruebas de cumplimiento. Revisar posibles aserciones para las que las pruebas sustantivas no sean suficiente evidencia. Por ejemplo, totalidad de las ventas. UN ENTORNO DE CONTROL FUERTE PUEDE COMPENSAR DEBILIDADES DE CONTROLES OPERATIVOS. ENTORNO DE CONTROL DEBIL PUEDE DEBILITAR CONTROLES OPERATIVOS FUERTES

47 ALCANCE DE LAS PRUEBAS SUSTANTIVAS DE DETALLE Dependiendo de las circunstancias y los objetivos. En general, los alcances pueden ser: 100% de las partidas Partidas concretas (por importe, por riesgo, por susceptibilidad de errores, etc.) Muestreo no estadístico. Basado en el juicio del auditor. Sin posibilidad de proyectar los resultados a toda la población. Muestreo estadístico. Basado en procedimientos matemáticos. Se pueden proyectar los resultados a toda la población. Normalmente se utiliza el muestreo por unidad monetaria.

48 DESARROLLO DEL PLAN DE AUDITORÍA Tres pasos: Desarrollar la respuesta global a los riesgos a nivel de los estados financieros Desarrollar procedimientos específicos mínimos para las áreas materiales de los estados financieros. Determinar los procedimientos de auditoria y los alcances requeridos teniendo en cuenta los riesgos de errores materiales en los estados financieros.

49 PUNTOS A TOMAR EN CUENTA Evitar procedimientos estándar. Si es posible elegir procedimientos que cubran varias aserciones, evitando múltiples pruebas Área de riesgo bajo: procedimientos mínimos Considerar siempre posibles pruebas de controles. Incluso se pueden hacer pruebas rotatorias. Considerar siempre los controles de IT. Probando un control en una o muy pocas transacciones se puede generalizar a todas las transacciones. Considerar los controles generales. Pruebas de doble propósito. Cuando se prevean pruebas de controles y sustantivas sobre la misma clase de transacciones, se pueden combinar. Considerar el efecto de una prueba en todos los extremos de las operaciones(por ej. una prueba de cumplimiento sobre la totalidad de las ventas puede servir también sobre la totalidad de las cuentas a cobrar). Decidir los procedimientos en la fase de planificación. No poner a trabajar al equipo hasta que la estrategia no esté definida Recordar siempre el uso de procedimientos analíticos. Al principio para el análisis de riesgos, durante la auditoria para soportar el trabajo y al final para analizar resultados Noempezareltrabajohastanotenerclaralaplanificación. Evitar que los juniors empiecen a trabajar duplicando el trabajo del año anterior

50 DETERMINAR SI EL PLAN DE AUDITORÍA ES COMPLETO Se han tratado todas las áreas significativas de los estados financieros? Se ha dado un tratamiento suficiente y adecuado a los riesgos significativos? Se han planeado adecuadamente las circularizaciones? Se pueden utilizar evidencias de añosanteriores? Se necesita algún experto externo? Se ha tratado el proceso de preparación de los estados financieros adecuadamente? Se ha dado un tratamiento adecuado al riesgo de fraude? Se ha documentado apropiadamente la planificación? Se ha comunicado apropiadamente al equipo y en la parte que corresponda al cliente?

51 DE LA IDENTIFICACION A LA RESPUESTA A LOS RIESGOS PARTE I EL PROCESO CONCEPTOS GENERALES PARTE II LA CAJA DE LAS HERRAMIENTAS PARTE III UNA PROPUESTA DE METODOLOGIA

52 UNA POSIBLE METODOLOGIA DE TRATAMIENTO DE LOS RIESGOS PASO I ORIGEN DE LOS RIESGOS IDENTIFICADOS PASO II QUE PODRÍA SALIR MAL? PASO III A QUE PARTIDAS AFECTARIA? PASO IV PROBABILIDAD ESTIMADA (1) (1 REMOTA, 2 IMPROBABLE, 3 POSIBLE, 4 PROBABLE, 5 MUY PROBABLE) PASO V IMPACTO (2) (% MATERIALIDAD) (1 <20% NO RELEVANTE: 2 >20%<50% MENOR, 3 >50%<100% MAYOR, 4 >100% MATERIAL, 5 GENERALIZADO) PASO VI PROBABILIDAD x IMPACTO (1) X (2)= (3) PASO VII RIESGO SIGNIFICATIVO? Como norma general, si (3) es mayor de 12 el riesgo podría ser significativo PASO VIII CONTROLES Y SALVAGUARDAS DE LA ENTIDAD PASO IX RIESGORESIDUAL (Alto, Medio, Bajo) PASO X RESPUESTA DE AUDITORIA PASO XI RESULTADO DE LOS PROCEDIMIENTOS PASO XII CONCLUSIONES

53 Ejemplo 1- Convenants (1/2) I- Origen del riesgo Los préstamos bancarios incluyen convenants cuyo incumplimiento puede suponer la exigibilidad inmediata de los mismos. La liquidez es ajustada. II- Qué podría salir mal? III- A que partidas afectaría? IV- Probabilidad estimada La compañía sería incapaz de hacer frente a los préstamos y se generaría un problema muy serio de liquidez que podría afectar a la continuidad. La materialización del riesgo tendría un efecto generalizado. 3- Posible V- Impacto 5- Generalizado VI- Impacto x Probabilidad 15

54 Ejemplo 1- Convenants (2/2) VII- Riesgo significativo? VIII- Controles y salvaguardas de la entidad SI El mayor riesgo procede de que todas las estimaciones contenidas en las cuentas las decide la dirección y esas estimaciones influyen en los cálculos de los convenants. IX- Riesgo residual Alto X- Respuesta de auditoria Revisión detallada de todas las provisiones y estimaciones de la dirección. XI- Resultado de los procedimientos Se observan errores en el cálculo de los deterioros de deudores y existencias cuya contabilización supondría incumplimiento de los convenants. Se obtiene un compromiso del banco de aplazar al menos por un año el posible vencimiento anticipado XII- Conclusión Este año se soluciona el problema. Información a memoria. Seguimiento para el próximo año

55 Ejemplo 2- Comisiones sobre ventas (1/3) I- Origen del riesgo Los vendedores son remunerados exclusivamente en base a su cifra de ventas II- Qué puede salir mal? - Posibles ventas ficticias y devoluciones - Posibles incumplimientos condiciones venta - Posibles impagos y deterioros - Comisiones adelantadas o pagadas indebidamente III- A que partidas afectaría? IV- Probabilidad estimada - Ventas (Ex, Ed) - Cuentas a cobrar (Ex, Ed, V) - Deterioro de cuentas a cobrar (V) - Gastos de las ventas (Ex, Ed) 4- Posible V- Impacto 4- >100% materialidad (importes individuales significativos) VI- Probabilidad x impacto 16

56 Ejemplo 2- Comisiones sobre ventas (2/3) VII Riesgo significativo? Si VIII Controles y salvaguardas del cliente IX Riesgo residual Existen suficientes controles sobre el proceso de ventas y controles detectivos de seguimientos de los cobros y posibles deterioros de cuentas a cobrar. Se realiza un seguimiento de ventas cobrosdeterioros devoluciones por vendedor. Medio Bajo Los controles no toman en cuenta posibles problemas de corte de operaciones.

57 Ejemplo 2- Comisiones sobre ventas (3/3) X Respuesta de auditoria Pruebas de cumplimiento controles de ventas y cuentas a cobrar. Revisión control sobre vendedores Ampliar pruebas de corte de ventas, revisando fechas efectivas de entrega al cliente. XI Resultados de los procedimientos Satisfactorios XII Conclusión Riesgo limitado y controlado

58 Adaptación a las Normas Internacionales de Auditoría I: valoración de riesgos