AS-5 Auditoría del Control Interno

Transcripción

1 AS-5 Auditoría del Control Interno AUDITING STANDARD No. 5 AUDITORIA DEL CONTROL INTERNO SOBRE EL PROCESO DE PRESENTACION DE REPORTES FINANCIEROS INTEGRADA CON LA AUDITORIA DE ESTADOS FINANCIEROS Y REGLA DE INDEPENDENCIA RELACIONADA Y AJUSTES POR LAS ENMIENDAS ) ) ) ) ) ) ) ) ) ) ) PCAOB Release No PCAOB Rulemaking Docket Matter No. 021 Resumen: Contacto en la Junta: Luego de comentarios públicos, la Public Company Accounting Oversight Board está adoptando el Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre el proceso de presentación de reportes financieros integrada con la auditoría de estados financieros], así como una regla e independencia y el ajuste de las enmiendas a los estándares de auditoría de la Junta. Sharon Virga, Associate Chief Auditor (202/ Nota sobre esta traducción: Esta es una versión al español no-oficial, no-autorizada, preparada exclusivamente con fines académicos. La expresión Internal Control Over Financial Reporting, que es el tema central de este estándar, se traduce como Control interno sobre el proceso de presentación de reportes financieros. Otros podrían traducirla como Control interno a la información financiera. Si bien ambas traducciones son válidas, se prefiere la primera porque hace explícita la referencia al proceso total no únicamente a una tarea ( preparación ) o a un producto ( reporte ). Claro está, información financiera puede entenderse de las dos maneras. Mayo 2007 Pg. 1/105

2 AS-5 Auditoría del Control Interno ************ 1. Introducción En el 2002, el Congreso aprobó la Sarbanes-Oxley Act (la Ley ), la cual, entre otras cosas, estableció nuevas provisiones relacionadas con el control interno sobre el proceso de presentación de reportes financieros. La Sección 404 de la Ley requiere que la administración de la compañía valore y reporte sobre la efectividad del control interno de la compañía. También requiere que el auditor independiente de la compañía, registrado en la Public Company Accounting Oversight Board ( PCAOB o Junta ), ateste las revelaciones de la administración relacionadas con la efectividad de su control interno. Tal y como es dirigido por las Secciones 103 y 104 de la Ley, la Junta estableció un estándar para gobernar la recientemente requerida auditoría y lo hizo adoptando el Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros desempeñada junto con una auditoría de estados financieros] ( Auditing Standard No.2 ). 1 La Securities and Exchange Commission ( Comisión o SEC ) aprobó el Auditing Standard No. 2 en Junio 17, Desde que el Auditing Standard No. 2 se volvió efectivo, la Junta ha monitoreado estrechamente el progreso que las firmas registradas han tenido en la implementación de sus requerimientos. El monitoreo de la PCAOB ha incluido obtener información durante las inspecciones de las firmas de contaduría pública registradas; participación, junto con la SEC, en dos discusiones en mesas redondas con representantes de emisores, auditores, grupos de inversionistas, y otros; reunión con su Standing Advisory Group; recepción de retroalimentación proveniente de los participantes en los Forums on Auditing in the Small Business Environment de la Junta; y revisión de reportes y estudios académicos, gubernamentales, y de otro tipo. Como resultado de este monitoreo, surgieron dos proposiciones básicas. 3 Primera, la auditoría del control interno sobre la presentación de reportes financieros ha producido beneficios significantes, incluyendo un enriquecido centro de atención en el gobierno corporativo y en los controles, así como información financiera de más alta calidad. Segundo, esos beneficios han llegado con un costo significante. Los costos han sido mayores que los esperados y, a veces, el esfuerzo relacionado ha parecido mayor que el necesario para realizar una efectiva auditoría del control interno sobre la presentación de reportes financieros. Publicada en español en: Mantilla y Cante Auditoría del control interno. Bogotá: Ecoe ediciones (N del t) 1 Ver PCAOB Release No (March 9, 2004). 2 Ver Securities Exchange Act Release No (June 17, 2004). 3 Ver Proposed Auditing Standard: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements and Related Other Proposals, PCAOB Release No (Dec. 19, 2006). Mayo 2007 Pg. 2/105

3 AS-5 Auditoría del Control Interno Como parte de un plan de cuatro puntos para mejorar la implementación de los requerimientos del control interno, la Junta determinó enmendar el Auditing Standard No En Diciembre 19, 2006, la Junta propuso para comentarios un nuevo estándar sobre auditoría del control interno, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros integrada con una auditoría de estados financieros], que reemplazaría al Auditing Standard No. 2. La Junta también propuso un estándar de auditoría relacionado, Considering and Using the Work of Others in an Audit [Consideración y uso del trabajo de otros en una auditoría], una regla de independencia relacionada con la prestación, por parte del auditor, de servicios de no-auditoría relacionados con el control interno, y enmiendas a sus estándares de auditoría. 5 La Junta emitió esas propuestas con los objetivos principales de focalizar a los auditores en los asuntos más importantes de la auditoría del control interno sobre la presentación de reportes y de eliminar procedimientos que la Junta considera son innecesarios para una efectiva auditoría del control interno. Las propuestas fueron diseñadas tanto para incrementar la probabilidad de que las debilidades materiales en el control interno de las compañías se encontrarán antes que causen declaraciones equivocadas de los estados financieros como para liberar al auditor de procedimientos que no son necesarios para lograr los beneficios que se buscan. La Junta también buscó hacer más escalable la auditoría del control interno para las compañías públicas más pequeñas y menos complejas y para hacer el texto del estándar más fácil de entender. En la formulación de esas propuestas, la Junta volvió a evaluar cada aspecto significante del Auditing Standard No. 2. La Junta recibió 175 cartas comentario sobre sus propuestas. La Junta también discutió las propuestas con su Standing Advisory Group en Febrero 22, Una gran mayoría de comentaristas generalmente apoyó las propuestas de la Junta, particularmente del enfoque de arriba-hacia-abajo, basado-en-riesgos y del centro de atención en los asuntos más importantes. Con base en los comentarios recibidos, la Junta considera que la propuesta logra, en gran parte, los objetivos que la Junta estableció cuando decidió enmendar el Auditing Standard No. 2. Muchos comentaristas también ofrecieron sugerencias para mejorar el estándar final, las cuales la Junta analizó cuidadosamente. Al considerar los comentarios recibidos y formular el estándar final, la Junta coordinó estrechamente su trabajo con la SEC, que propuso orientación para la administración sobre la evaluación del control interno al mismo tiempo que la Junta emitió sus propuestas. 7 Además de su 4 Ver PCAOB Press Release, La Junta anuncia plan de cuatro puntos para mejorar la implementación de los requerimientos de presentación de reportes sobre el control interno (Mayo 17, 2006). Los otros aspectos del plan son; (1) reforzar la eficiencia del auditor mediante inspecciones de la PCAOB; (2) desarrollar o facilitar el desarrollo de orientación para la implementación, para los auditores de las compañías públicas más pequeñas; y (3) continuar los PCAOB Forums on Auditing in the Small Business Environment. 5 Ver Proponed Auditing Standard: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements and Related Other Proposals, PCAOB Release No (Dec. 19, 2006) 6 Una trascripción de la parte de la reunión que se relaciona con las propuestas y un web cast de toda la reunión están disponibles en la página web de la Junta en 7 Ver Securities Exchange Act Release No (Dec. 20, 2006) Mayo 2007 Pg. 3/105

4 AS-5 Auditoría del Control Interno rol en la implementación de la Sección 404(a) de la Ley, la SEC tiene que aprobar los nuevos estándares de auditoría de la PCAOB antes de que se vuelvan efectivos. 8 En Abril 4, 2007, la Comisión sostuvo una reunión pública para discutir las propuestas de la Junta y coordinar esas propuestas con la orientación, para la administración, propuesta por la Comisión. En la reunión, el personal de la SEC proveyó a la Comisión con su análisis de los comentarios públicos sobre la propuesta de la PCAOB y sobre la propuesta orientación para la administración. La Comisión endosó las recomendaciones de su personal y dirigió a su personal para que centrara su restante trabajo en cuatro áreas: * Alinear el nuevo estándar de auditoría de la PCAOB... con la nueva orientación para la administración propuesta por la SEC, bajo la Sección 404, particularmente con relación a requerimientos prescriptivos, definiciones, y términos ; * Escalar la auditoría de la 404 para tener en cuenta los hechos y las circunstancias particulares de las compañías, especialmente las compañías más pequeñas ; * Fomentar que los auditores usen el juicio profesional en el proceso 404, particularmente usando valoración-del-riesgo ; y * Seguir un enfoque basado-en-principios para determinar cuándo y en qué extensión el auditor puede usar el trabajo de otros. 9 Luego de considerar cuidadosamente los comentarios recibidos y el input proveniente de la SEC, la Junta ha vuelto a refinar sus propuestas para proveer claridad adicional y ayudar adicionalmente al auditor a centrarse en los asuntos más importantes. La Junta ha decidido adoptar el estándar revisado sobre auditoría del control interno como Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros integrada con la auditoría de estados financieros] ( Auditing Standard No. 5 ), para reemplazar al Auditing Standard No. 2. La Junta también ha decidido adoptar la regla de independencia y los ajustes por las enmiendas a los estándares de auditoría Áreas notables de cambio en el estándar final Tal y como se manifestó arriba, la Junta considera que los cambios hechos a la propuesta reflejan refinamientos, más que cambios significantes en el enfoque. Esta sección describe las áreas de cambio a las propuestas, que son más notables. El Apéndice 4 contiene discusión 8 Ver Sección 107 de la Ley 9 Ver SEC Press Release, SEC Commissioners Endorse Improved Sarbanes-Oxley Implementation To Ease Smaller Company Burdens, Focusing Effort On What Truly Matters! (Apr. 4, 2007) 10 Ver Tal y como se discute abajo, la Junta ha determinado no adoptar el estándar de auditoría propuesto sobre consideración y uso del trabajo de otros. Mayo 2007 Pg. 4/105

5 AS-5 Auditoría del Control Interno adicional de los comentarios recibidos sobre las propuestas y la respuesta de la Junta. A. Alineación con la orientación para la administración En Diciembre 20, 2006, la SEC emitió propuesta de orientación para ayudarle a la administración a evaluar el control internos para los propósitos de su valoración anual. Al formular un nuevo estándar sobre auditoría del control interno, la Junta buscó describir un proceso de auditoría que estaría coordinado con el proceso de evaluación que realiza la administración. Sin embargo, muchos comentaristas sugirieron que la orientación para la administración, elaborada por la SEC, y el estándar de la Junta deberían estar más estrechamente alineados. Luego de considerar los comentarios en esta área, la Junta ha decidido hacer cambios que mejorarán la coordinación entre la administración para la administración, elaborada por la SEC, y el estándar de la Junta. Al hacer esto, la Junta ha estado consciente de las diferencias inherentes en los roles de la administración y del auditor. La diaria relación de la administración con su sistema de control interno le provee con conocimiento e información que puede influir en sus juicios sobre cómo evaluar de mejor manera el control interno y la suficiencia de la evidencia que necesita para su valoración anual. La administración también debe ser capaz de confiar en la auto-valoración y, más generalmente, el componente de monitoreo del control interno, provisto que el componente monitoreo está apropiadamente diseñado y opera de manera efectiva. Se requiere que el auditor provea una opinión independiente sobre la efectividad del control interno de la compañía sobre la presentación de reportes financieros. El auditor no tiene misma familiaridad que tiene la administración sobre los controles de la compañía y no interactúa con u observa esos controles con la misma frecuencia que la administración. Por consiguiente, el auditor no puede obtener suficiente evidencia para apoyar una opinión sobre la efectividad del control interno basado únicamente en la observación de o en la interacción con los controles de la compañía. Más aún, el auditor necesita desempeñar procedimientos tales como indagación, observación, e inspección de documentos, o recorridos, que constan de una combinación de esos procedimientos, en orden a entender plenamente e identificar las posibles fuentes de declaraciones equivocadas potenciales, mientras que la administración tiene que ser consciente de esas áreas de riesgo en una base ongoing. La Junta considera, sin embargo, que los conceptos generales necesarios para un entendimiento del control interno deben ser descritos de la misma manera en el estándar de la Junta y en la orientación de la SEC. De acuerdo con ello, la Junta ha decidido usar en este estándar la misma definición de debilidad material que la SEC usa en su orientación final para la administración y en las reglas relacionadas. Además, la Junta está adoptando la definición de deficiencias significantes que la SEC ha propuesto. El estándar final y la orientación para la administración final también describen los mismos indicadores de debilidad material. Además, como se describe más plenamente abajo, el estándar final sobre auditoría del control interno usa el término controles a nivel-de-entidad en lugar de controles a nivel-de-compañía, que se usó en el estándar propuesto, Mayo 2007 Pg. 5/105

6 AS-5 Auditoría del Control Interno en orden a usar el mismo término que la SEC usa en su orientación para la administración final. 11 La discusión contenida en el Auditing Standard No. 5 sobre el efecto de esos controles también es consistente con la discusión del mismo tema en la orientación final de la SEC. B. Enfoque de arriba-hacia-abajo El estándar propuesto sobre auditoría del control interno estuvo estructurado alrededor del enfoque top-down para identificar los controles más importantes a probar. Este enfoque sigue los mismos principios que aplican a la auditoría de estados financieros el auditor determina las áreas de atención mediante la identificación de las cuentas y revelaciones significantes y las aserciones relevantes. Bajo el estándar propuesto, el auditor específicamente identificaría las principales clases de transacciones y los procesos significantes antes de identificar los controles a probar. En respuesta a los comentarios sobre el nivel de detalle en los requerimientos del estándar propuesto, la Junta ha vuelto a considerar si el estándar final debe incluir la identificación de las principales clases de transacciones y los procesos significantes como un paso específicamente requerido en el enfoque de arriba-hacia-abajo. La Junta considera, sin embargo, que son innecesarios requerimientos específicos para dirigir al auditor sobre cómo obtener ese entendimiento y contribuirían a un enfoque de lista de chequeo para el cumplimiento, particularmente para auditores que tienen una amplia familiaridad con la compañía. De acuerdo con ello, la Junta ha eliminado del estándar final el requerimiento de identificar las principales clases de transacciones y procesos significantes. Si bien esto debe permitir que los auditores apliquen más juicio profesional cuando trabajan con el enfoque de arriba-hacia-abajo, el punto final es el mismo que en el estándar propuesto el requerimiento de probar aquellos controles que direccionan el riesgo valorado de declaración equivocada material para cada aserción relevante. 12 C. Énfasis en los controles al fraude El estándar propuesto sobre auditoría del control interno discutió los controles al fraude y los procedimientos del auditor relacionados con esos controles entre los conceptos de prueba que se incluyeron hacia el final del estándar. Los comentaristas sugirieron que la ubicación de la discusión, o la carencia de especificidad relacionada con los controles que se deben considerar controles al fraude, fallaban en enfatizar de manera apropiada esos controles o en proveer a los auditores con suficiente dirección sobre cómo probar los controles al fraude. En respuesta, la junta ha hecho algunos cambios en el estándar final. Primero, la discusión del riesgo de fraude y los controles anti-fraude ha sido trasladada más cerca 11 En el estándar propuesto y en la orientación para la administración propuesta por la SEC sos términos fueron usados de manera intercambiable y, para esos propósitos, significan la misma cosa. Ver Securities Exchange Act Release No (Dec. 20, 2006), at 12 fn Ver parágrafo 21 Mayo 2007 Pg. 6/105

7 AS-5 Auditoría del Control Interno del comienzo del estándar para enfatizar a los auditores la importancia relativa de esos asuntos al valorar el riesgo mediante el enfoque de arriba-hacia-abajo. 13 La incorporación de la valoración que hace el auditor sobre el riesgo de fraude requerida en la auditoría de estados financieros en el proceso de planeación del auditor para la auditoría del control interno debe promover la calidad de la auditoría así como mejor integración. Si bien el control interno no puede proveer seguridad absoluta de que el fraude será prevenido o detectado, esos controles deben ayudar a reducir los casos de fraude, y, por consiguiente, un centro de atención concertado en los controles al fraude en la auditoría del control interno debe enriquecer la protección de los inversionistas. Segundo, el fraude de la administración también ha sido identificado en el estándar final como un área de riesgo más alto; de acuerdo con ello, el auditor debe focalizar más su atención en esta área. 14 Finalmente, el estándar, tal y como es adoptado, provee orientación adicional sobre los tipos de controles que tienen que direccional el riesgo de fraude. 15 D. Controles a nivel-de-entidad El estándar propuesto sobre auditoría del control interno enfatiza los controles a nivel-de-entidad a causa de su importancia tanto para la capacidad del auditor para personalizar apropiadamente la auditoría mediante un enfoque de arriba-hacia-abajo específicamente mediante la identificación y prueba de los controles más importantes y para el control interno efectivo. Adicionalmente, el estándar propuesto enfatiza que esos controles pueden, dependiendo de las circunstancias, permitir que el auditor reduzca las pruebas de los controles a nivel de procesos. Los comentaristas sugirieron que el estándar propuesto no proveía suficiente dirección sobre cómo los controles a nivel-de-entidad pueden reducir significativamente las pruebas, y algunos sugirieron que no son comunes los controles que operan con el nivel de precisión necesario para hacerlo. Muchos comentaristas sugirieron incorporar en el estándar final la discusión de controles a nivel-de-entidad directos versus indirectos que fue incluida en la orientación para la administración propuesta por la SEC. La Junta continúa creyendo que los controles a nivel-de-entidad, dependiendo de cómo están diseñados y operan, pueden reducir la prueba de los otros controles relacionados con una aserción relevante. Esto es ya sea porque el control a nivel-de-entidad direcciona de manera suficiente el riesgo relacionado con la aserción relevante, o porque los controles a nivel-de-entidad proveen algún aseguramiento de manera que se puede reducir la prueba de los otros controles relacionados con esa aserción. En respuesta a los comentarios y en orden a clarificar esos conceptos, la Junta incluyó en el estándar final una discusión de tres categorías amplias de controles a nivel-de-entidad, que varían en naturaleza y precisión, junto con una explicación de cómo cada categoría puede tener un efecto diferente en el desempeño de pruebas de los otros controles Ver parágrafos 14 y Ver parágrafo Ver parágrafo Ver parágrafo 23. La Junta considera que la experticia de los auditores y de las compañías en el área de los controles a nivel de entidad continuará evolucionando. Por ejemplo, el Committee of Sponsoring Organizations of the Treadway Mayo 2007 Pg. 7/105

8 AS-5 Auditoría del Control Interno El estándar final explica que algunos controles, tañes como ciertos controles del ambiente de control, tienen un efecto importante, pero indirecto, sobre la probabilidad de que una declaración equivocada será detectada o prevenida sobre una base oportuna. Esos controles pueden afectar los otros controles que el auditor selecciona para probar, así como la naturaleza, oportunidad, y extensión de los procedimientos que el auditor desempeña sobre los otros controles. El estándar final explica que los otros controles a nivel-de-entidad pueden no operar con el nivel de precisión requerido para eliminar la necesidad de probar los otros controles, pero pueden reducir el nivel requerido de prueba de los otros controles, algunas veces de manera sustancial. Esto se debe a que alguna de la evidencia de apoyo relacionada con un control el auditor la obtiene de un control a nivel-de-entidad y la evidencia necesaria que resta la obtiene de la prueba del control a nivel de los procesos. Los controles que monitorean la operación de los otros controles son el mejor ejemplo de esos tipos de controles. Ese monitoreo de los controles ayuda a proveer aseguramiento de que los controles que direccional un riesgo particular son efectivos y, por consiguiente, pueden proveer alguna evidencia sobre la efectividad de aquellos controles de nivelm-as-bajo, reduciendo la prueba de esos controles que de otra manera serian necesarios. Por último, el estándar final explica que algunos controles a nivel-de-entidad pueden operar a un nivel de precisión que, sin la necesidad de otros controles, direccionan de manera suficiente el riesgo de declaración equivocada material para una aserción relevante. Si un control direcciona suficientemente el riesgo de esta manera, el auditor no necesita probar los otros controles relacionados con ese riesgo. E. Recorridos El estándar propuesto sobre auditoría del control interno habría requerido que los auditores desempeñen cada año un recorrido de cada proceso significante. Este requerimiento propuesto representaba un cambio a partir del Auditing Standard No. 2. que requería un recorrido de cada clase principal de transacciones dentro de un proceso significante. Los comentaristas se dividieron sobre la pregunta de si la re-calibración a partir de las clases principales de transacciones para los procesos significantes en el estándar propuesto resultaría en una reducción del esfuerzo. Algunos emisores y auditores sugirieron que ya se están desempeñando recorridos sobre los procesos significantes, mientras que otros emisores y auditores comentaron que este requerimiento propuesto haría una diferencia. Unos pocos comentaristas sugirieron que un recorrido de cada proceso significante era insuficiente y afectaría de manera negativa la calidad de la auditoría, pero muchos otros señalaron que los recorridos no se deben requerir de manera alguna. Al evaluar esos comentarios, la Junta se centró principalmente en los objetivo que considera se alcanzan mediante un recorrido apropiadamente desempeñado. La Junta considera firmemente que esos objetivos se deben cumplir para que el auditor verifique que tiene suficiente Commission ha iniciado un proyecto sobre el componente monitoreo del control interno, el cual puede proveer alguna orientación en esta área. Mayo 2007 Pg. 8/105

9 AS-5 Auditoría del Control Interno entendimiento de los puntos dentro del proceso donde pudieran ocurrir declaraciones equivocadas y para que identifique de manera apropiada los controles a probar. 17 Los procedimientos que satisfacen plenamente esos objetivos también juegan un rol importante en la evaluación de la efectividad del diseño de los controles. La Junta considera que, en algunos casos, el requerimiento de desempeñar un recorrido puede oscurecer los objetivos que se busca lograr. Esto puede haber resultado en que algunos recorridos se estén desempeñando para satisfacer el requerimiento pero que fallan en lograr su propósito. El estándar final, por consiguiente, se centra específicamente en lograr ciertos objetivos importantes, y el requerimiento de desempeño se basa en satisfacer plenamente esos objetivos en cuanto se relacionan con el entendimiento de las fuentes probables de declaración equivocada y la selección de los controles a probar. 18 Si bien un recorrido frecuentemente será la mejor manera para lograr esas metas, el centro de atención del auditor debe estar en los objetivos, no en la mecánica del recorrido. En algunos casos, otros procedimientos pueden ser medios igual o más efectivos para lograrlos. F. Evaluación y comunicación de las deficiencias El estándar propuesto sobre auditoría del control interno requería que el auditor evalúa la severidad de las deficiencias de control identificadas, para determinar si son deficiencias significantes o debilidades materiales. Luego requería que el auditor comunique, por escrito, a la administración y al comité de auditoría, todas las deficiencias significantes y todas las debilidades materiales identificadas durante la auditoría. El estándar propuesto definió deficiencia significante como deficiencia de control, o combinación de deficiencias, tales que hay una posibilidad razonable de que una declaración equivocada significante de los estados financieros anuales o intermedios de la compañía no será prevenida o detectada. El término declaración equivocada significante fue definido, a su vez, para significar declaración equivocada que es menos que material pero suficientemente importante para merecer la atención de quienes son responsables por la supervisión de la información financiera de la compañía. Los comentaristas generalmente apoyaron la definición propuesta del término declaración equivocada significante si bien algunos estuvieron preocupados porque era demasiado subjetiva. Otros comentaristas cuestionaron si el estándar debe incluir una definición de deficiencia significante y un requerimiento de comunicar las deficiencias significantes al comité de auditoría. Al menos un comentarista sugirió que el término fuera retirado del estándar. Luego de considerar esos comentarios, la Junta determinó hacer cambios a la definición de deficiencia significante y a los requerimientos relacionados. 19 La Junta continúa creyendo que el 17 Ver parágrafo 34, que describe esos objetivos 18 Ver parágrafo La Junta también hizo cambios menores a la definición de debilidad material, en orden a usar la misma definición contenida en la orientación que para la administración hizo la SEC, así como la regla relacionada. En el estándar final, debilidad material se define como deficiencia, o combinación de deficiencias, en el control interno sobre la presentación de Mayo 2007 Pg. 9/105

10 AS-5 Auditoría del Control Interno estándar final debe requerir que los auditores provean, a la administración y al comité de auditoría, con información relevante sobre las deficiencias de control importantes aún aquellas menos severas que una debilidad material. El estándar final, por consiguiente, requiere que el auditor considere y comunique al comité de auditoría cualesquiera deficiencias significantes identificadas. No obstante, en orden a enfatizar que el auditor no necesita ampliar el alcance de la auditoría para identificar todas las deficiencias significantes, la Junta ubicó esas provisiones en la sección final del estándar que describe los requerimientos de comunicaciones. 20 Los cambios relativamente menores que la Junta hizo a la definición de deficiencia significante también tienen la intención de focalizar al auditor en el requerimiento de comunicación y están fuera de los problemas de definición del alcance. La definición final se basa en la definición propuesta de declaración equivocada significante, que los comentaristas generalmente apoyaron, y está alineada con la definición propuesta por la SEC para el mismo término. Bajo el estándar final, deficiencia es deficiencia, o combinación de deficiencias, en el control interno sobre la presentación de reportes financieros que es menos severa que una debilidad material pero suficientemente importante para merecer la atención de quienes son responsables por la supervisión de la información financiera de la compañía. G. Escalando la auditoría El estándar propuesto sobre auditoría del control interno señala que el tamaño y la complejidad de una compañía son consideraciones importantes y que los procedimientos que un auditor deben desempeñar dependen de la serie continua donde se ubican el tamaño y la complejidad de la compañía. El estándar propuesto incluye una sección sobre el escalado de la auditoría para compañías más pequeñas, menos complejas, y habría requerido que los auditores evalúen y documenten el efecto que el tamaño y la complejidad de la compañía tienen en la auditoría. Este requerimiento de documentación aplica a las auditorías de las compañías de todos los tamaños. El estándar propuesto también incluye una lista de los atributos de las compañías más pequeñas, menos complejas, y una descripción de cómo el auditor puede personalizar sus procedimientos cuando están presentes esos atributos. En general, los comentaristas apoyaron el enfoque general de estabilidad contenido en el estándar, pero hicieron algunas recomendaciones para cambiar. Algunos comentaristas sugirieron que la escalabilidad no debe ser cubierta como una sola discusión aplicable únicamente para las compañías más pequeñas y que las otras compañías, independiente del tamaño, pueden tener áreas que son menos complejas. La Junta está de reportes financieros, tal que hay una posibilidad razonable de que una declaración equivocada material de los estados financieros anual o intermedio de la compañía no será prevenida o detectada en una base oportuna. 20 Ver parágrafo 80. El estándar final también incluye el requerimiento propuesto para que el auditor comunique, por escrito, a la administración, todas las deficiencias en el control interno identificadas durante la auditoría e informe al comité de auditoría cuando se ha realizado tal comunicación, así como el requerimiento propuesto de informar, cuando sea aplicable, a la junta de directores respecto de la conclusión del auditor de que la supervisión del comité de auditoría es inefectiva. Ver parágrafos 79 a 81. Algunos comentaristas consideraron que el requerimiento de comunicar a la administración todas las deficiencias identificadas resultaría en un ejercicio administrativo innecesario. La Junta continúa creyendo, sin embargo, que los auditores deben proveer a la administración con información sobre las deficiencias de control identificadas. Mayo 2007 Pg. 10/105

11 AS-5 Auditoría del Control Interno acuerdo con que la dirección de la escalabilidad será más efectiva si es una extensión natural del enfoque basado-en-riesgos y si es aplicable a todas las compañías. En consecuencia, la Junta redujo la sección separada sobre escalando la auditoría, e incorporó una discusión de los conceptos de escalar, similar a la que propuso, a través del estándar final. Específicamente, las notas a los parágrafos relevantes describen cómo personalizar la auditoría a las circunstancias particulares de una compañía o unidad más pequeña, menos compleja. La Junta también mantuvo la lista de atributos de las compañías más pequeñas, menos complejas, y reconoce que, aún dentro de las compañías más grandes, algunas unidades de negocio o procesos pueden ser menos complejos que otros. La discusión sobre esos atributos ha sido incorporada en la sección final del estándar sobre la planeación que el auditor hace de los procedimientos. 21 Tal y como se describe en la publicación de la propuesta, las provisiones sobre escalabilidad contenidas en el estándar final formarán la base para la orientación sobre la auditoría del control interno en las compañías más pequeñas a ser emitido este año. Algunos comentaristas, principalmente auditores, sugirieron que los requerimientos de desempeño que aplican a todas las compañías, incluyendo las compañías grandes, complejas, conduciría a requerimientos de documentación innecesarios y costosos. Esos comentaristas estuvieron particularmente preocupados por el requerimiento de documentar los efectos que el tamaño y la complejidad tienen en todos los aspectos de la auditoría, aún si un contrato particular no pudiera personalizarse como resultado de esos factores. Luego de considerar esos comentarios, la Junta acordó que este requerimiento de documentación no es necesario para promover la calidad de la auditoría y, por consiguiente, no lo incluyó en el estándar final. H. Uso del trabajo de otros en una auditoría integrada Cuando la Junta propuso el Auditing Standard No. 5 para comentario público, la Junta también propuso un estándar de auditoría titulado Considering and Using the Work of Others in an Audit [Consideración y uso del trabajo de otros en una auditoría] que reemplazaría el estándar interino de la Junta AU sec. 322, The Auditor s Consideration of the Internal Audit Function in an Audit of Financial Statements [Consideración que hace el auditor sobre la función de auditoría interna en una auditoría de estados financieros] ( AU sec. 322 ) y reemplazaría la dirección sobre el uso del trabajo de otros en una auditoría del control interno contenida en el Auditing Standard No. 2. Tal y como se discutió en la publicación de la propuesta, la Junta tenía algunos objetivos para proponer este estándar. El primero era integrar de mejor manera la auditoría de estados financieros y la auditoría del control interno, mediante el tener una sola estructura conceptual para el uso del trabajo de otros en ambas auditorías. Adicionalmente, la Junta buscaba fomentar que los auditores usen en mayor extensión el trabajo de otros cuando el trabajo es desempeñado por personas suficientemente competentes y objetivas. Entre otras cosas, bajo el estándar propuesto, los auditores habrían sido capaces de usar el trabajo de personal de la compañía suficientemente competente y objetivo no solamente auditores internos y terceros que trabajen bajo la dirección 21 Ver parágrafo 9. Mayo 2007 Pg. 11/105

12 AS-5 Auditoría del Control Interno de la administración o del comité de auditoría, para los propósitos de la auditoría de estados financieros así como para la auditoría del control interno. La Junta recibió numerosos comentarios sobre el estándar propuesto sobre el uso del trabajo de otros. Los comentaristas generalmente mostraron apoyo a una sola estructura conceptual relacionado con el uso, por parte del auditor, del trabajo de otros en una auditoría integrada. Algunos, sin embargo, sugirieron mantener la existente AU sec. 322 como la base para una sola estructura conceptual. Ellos expresaron el punto de vista de que el objetivo de eliminar las barreras a la integración y uso del trabajo de otros en la máxima extensión que sea apropiada sería logrado manteniendo la AU sec. 322 y yendo más allá con la eliminación propuesta de la provisión de evidencia principal. Al mismo tiempo, algunos otros comentaristas sugirieron que el estándar propuesto no iba suficientemente lejos para fomentar que los auditores usen el trabajo de otros. Luego de considerar esos comentarios, la Junta continúa creyendo que una sola estructura conceptual para el uso, por parte del auditor, del trabajo de otros es preferible a estructuras conceptuales separadas para la auditoría del control interno y para la auditoría de estados financieros. Los factores usados para determinar si y en qué extensión es apropiado usar el trabajo de otros deben ser los mismos para ambas auditorías. Al mismo tiempo, la Junta estuvo de acuerdo con aquellos comentaristas que sugirieron que la mejor integración de las auditorías sería lograda sin reemplazar el existente estándar de auditoría. La Junta, por consiguiente, ha decidido mantener el AU sec. 322 para ambas auditorías e incorporar en el Auditing Standard No. 5 lenguaje que establezca esos conceptos de integración más que adoptar el estándar propuesto sobre consideración y uso del trabajo de otros. Consistente con la propuesta, sin embargo, el Auditing Standard No. 5 permite que el auditor use el trabajo de otros para obtener evidencia sobre el diseño y le efectividad de la operación de los controles y elimina la provisión de evidencia principal. Reconociendo que los emisores pueden emplear personal diferente a los auditores internos para desempeñar actividades relevantes para la valoración que hace la administración respecto del control interno sobre la presentación de reportes financieros, el estándar final permite que el auditor use el trabajo de personal de la compañía diferente de los auditores internos, lo mismo que terceros que trabajan bajo la dirección de la administración o del comité de auditoría. 22 En línea con el enfoque general basado-en-riesgos para la auditoría del control interno sobre la presentación de reportes financieros, la extensión en la cual el auditor puede usar el trabajo de otros depende, en parte, del riesgo asociado con el control que se está probando. En la medida en que el riesgo decrece, lo hace la necesidad que tiene el auditor de desempeñar el trabajo por sí mismo. El impacto que el trabajo de otros tiene en el trabajo del auditor también depende de la relación entre el riesgo y la competencia y objetividad de quienes desempeñan el trabajo. En la medida en que el riesgo disminuye, también disminuye el nivel necesario de competencia y objetividad. 23 De la misma manera, en las áreas de más alto riesgo (por ejemplo, controles que direccional riesgos de fraude específicos), el uso del trabajo de otros estaría limitado, si pudiera llegar a usarse. 22 Ver parágrafo Ver parágrafo 18. Mayo 2007 Pg. 12/105

13 AS-5 Auditoría del Control Interno Finalmente, la Junta entiende que algún trabajo desempeñado por otros para los propósitos de la valoración que hace la administración respecto de los controles internos puede ser relevante para la auditoría de estados financieros. Por consiguiente, en una auditoría integrada, el estándar final permite que el auditor use el trabajo de esos otros suficientemente competentes y objetivos no solo auditores internos para obtener evidencia que apoye la valoración que hace el auditor respecto del riesgo de control para los propósitos de la auditoría de estados financieros. 24 La Junta cree que esta provisión promoverá mejor integración de la auditoría del control interno con la auditoría de estados financieros. 3. Regla 3525 Pre-aprobación, por parte del comité de auditoría, de servicios de noauditoría relacionados con el control interno sobre la presentación de reportes financieros La Junta también propuso una nueva regla relacionada con las responsabilidades del auditor cuando busca la pre-aprobación, por parte del comité de auditoría, de servicios de no-auditoría relacionados con el control interno. Tal y como se propuso, la regla requiere que una firma de compañía pública registrada que busca pre-aprobación, por parte del comité de auditoría de un cliente de auditoría que es emisor, para desempeñar servicios de no-auditoría relacionados con el control interno que de otra manera no están prohibidos por la Ley o por las reglas de la SEC o de la Junta para: describir, por escrito, al comité de auditoría, el alcance del servicio propuesto; discutir con el comité de auditoría los efectos potenciales que el servicio propuesto tiene en la independencia de la firma; y documentar la sustancia de la discusión de la firma con el comité de auditoría. Esos requerimientos están en paralelo con la responsabilidad que tiene el auditor de buscar pre-aprobación, por parte del comité de auditoría, para desempeñar servicios tributarios para un cliente de auditoría bajo la PCAOB Rule La mayoría de los comentaristas apoyaron la regla propuesta, si bien algunos ofrecieron sugerencias que se deben incluir en la comunicación requerida. Luego de considerar los comentarios a la regla propuesta, la Junta la adoptó sin cambios. 4. Ajustes por las enmiendas Como parte de la propuesta emitida para comentario público, la Junta propuso enmiendas a ciertos otros estándares de auditoría de la Junta. Solamente una carta comentario direccionó de manera específica las enmiendas propuestas. Esa carta expresó apoyo a las enmiendas y sugirió algunas enmiendas adicionales que pueden ser necesarias. La Junta consideró este comentario y añadió esas enmiendas adicionales, lo mismo que otras, como necesarias con base en el estándar final. 5. Fecha efectiva 24 Ver parágrafo 17. Mayo 2007 Pg. 13/105

14 AS-5 Auditoría del Control Interno La publicación de la propuesta solicitó retroalimentación por parte de los comentaristas respecto de cómo la Junta estructuraría la fecha efectiva de los requerimientos finales de manera que se minimice de la mejor manera la ruptura con las auditorías en curso, pero dando la mayor flexibilidad disponible para que los auditores la apliquen tan temprano como sea posible. Quienes comentaron sobre este tópico sugirieron hacer el estándar final sobre auditoría del control interno efectivo tan pronto como sea posible en orden a que esté disponible para las auditorías del La Junta estuvo de acuerdo con que los mejoramientos contenidos en el Auditing Standard No. 5 deben estar disponibles tan pronto como sea posible. De acuerdo con ello, la Junta ha determinado que el Auditing Standard No. 5, la Regla 3525, y los ajustes por las enmiendas serán efectivos, sujeto a aprobación de la SEC, para las auditorías de los años fiscales que terminan en o después de Noviembre 15, Sin embargo, la adopción temprana se permite en cualquier momento luego de la aprobación de la SEC. Los auditores que elijan cumplir con el Auditing Standard No. 5 luego de la aprobación de la SEC pero después de su fecha efectiva también tienen que cumplir, al mismo tiempo, con la Regla 3525 y con los otros estándares de la PCAOB que son enmendados por esta publicación. El Auditing Standard No. 2 será reemplazado cuando se vuelva efectivo el Auditing Standard No. 5. Los auditores que no elijan cumplir con el Auditing Standard No. 5 antes de esa fecha (pero después de la aprobación de la SEC) tienen que continuar cumpliendo con el Auditing Standard No. 2 hasta que sea reemplazado. Tales auditores deben, sin embargo, aplicar la definición de debilidad material contenida en el Auditing Standard No. 5, más que la contenida en el Auditing Standard No.2. La SEC ha adoptado una regla para definir el término debilidad material, y la definición contenida en el Auditing Standard No. 5 está en paralelo con la nueva definición de la SEC. * * * El día 24 de Mayo, en el año 2007, lo precedente fue, de acuerdo con los estatutos de la Public Company Accounting Oversight Board, ADOPTADO POR LA JUNTA. /s/ J. Gordon Seymour J. Gordon Seymour Secretario Mayo 2007 Pg. 14/105

15 AS-5 Auditoría del Control Interno APENDICE 1 Auditing Standard No. 5 Auditoría del control interno sobre el proceso de presentación de reportes financieros integrada con la auditoría de estados financieros APENDICE 2 Regla 3525 Pre-aprobación, por parte del comité de auditoría, de servicios de noauditoría relacionados con el control interno sobre la presentación de reportes financieros. APENDICE 3 Ajustes por las enmiendas a los PCAOB Auditing Standards APENDICE 4 Discusión adicional de los comentarios y la respuesta de la Junta. Mayo 2007 Pg. 15/105

16 AS-5 Auditoría del Control Interno Apéndice 1 Auditing Standard MAYO 24, 2007 AUDITING AND RELATED PROFESSIONAL PRACTICE STANDARDS Auditing Standard No. 5 Auditoría del control interno sobre la presentación de reportes financieros integrada con una auditoría de estados financieros Mayo 2007 Pg. 16/105

17 Apéndice A - Estándar Tabla de contenido Parágrafo Introducción Integración de las auditorías Planeación de la auditoría Rol de la valoración del riesgo Escalando la auditoría Direccionar el riesgo de fraude Uso del trabajo de otros Materialidad Uso de un enfoque de arriba-hacia-abajo Identificación de controles a nivel-de-entidad Ambiente de control Proceso de información financiera de fin de período Identificación de cuentas y revelaciones significantes y sus aserciones relevantes Entendimiento de las fuentes probables de declaración equivocada Desempeño de recorridos Selección de los controles a probar Prueba de los controles Prueba de la efectividad del diseño Prueba de la efectividad de la operación Relación del riesgo con la evidencia a ser obtenida Naturaleza de las pruebas de los controles Oportunidad de las pruebas de los controles,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Extensión de las pruebas de los controles Procedimientos de actualización Consideraciones especiales para las auditorías de años subsiguientes Evaluación de las deficiencias identificadas Indicadores de debilidades materiales Cierre Formación de la opinión Obtención de representaciones escritas Comunicación de ciertas materias Presentación de reportes sobre el control interno Reportes separados o combinados Mayo 2007 Pg. 17/105

18 Apéndice A - Estándar Fecha del reporte Debilidades materiales Eventos subsiguientes APENDICES APENDICE A DEFINICIONES... APENDICE B Asuntos especiales... Integración de las auditorías... Decisiones sobre el alcance en múltiples localizaciones... Uso de organizaciones de servicio... Comparación de controles automatizados... APENDICE C SITUACIONES ESPECIALES DE PRESENTACION DE REPORTES. Modificaciones del reporte... Archivos bajo los estatutos federales de valores... A1-A11 B1-B33 B1-B9 B10-B16 B17-B27 B28-B33 C1-C17 C1-C15 C16-C17 Mayo 2007 Pg. 18/105

19 Apéndice A - Estándar Introducción 1. Este estándar establece requerimientos y provee dirección que aplica cuando un auditor es contratado para desempeñar una auditoría de la valoración que hace la administración 1 respecto de la efectividad del control interno sobre la presentación de estados financieros ( auditoría del control interno sobre la presentación de reportes financieros ) integrada con una auditoría de estados financieros El efectivo control interno sobre la presentación de reportes financieros provee seguridad razonable en relación con la confiabilidad de la información financiera y la preparación de estados financieros para propósitos externos. 3 Si existe una o más debilidades materiales, no se puede considerar que el control interno sobre la presentación de reportes financieros de la compañía sea efectivo En una auditoría del control interno sobre la presentación de reportes financieros, el objetivo del auditor es expresar una opinión respecto de la efectividad del control interno sobre la presentación de reportes financieros de la compañía. Dado que el control interno de una compañía no se puede considerar que es efectivo si existen una o más debilidades materiales, para formarse una base para expresar una opinión, el auditor tiene que planear y desempeñar la auditoría para obtener evidencia competente que sea suficiente para obtener seguridad razonable 5 respecto de si existían debilidades materiales en la fecha que se especifica en la valoración que realiza la administración. Puede aún existir una debilidad material en el control interno sobre la presentación de reportes financieros cuando los estados financieros no estén declarados materialmente en forma equivocada. 4. Los estándares generales 6 aplican a una auditoría del control interno sobre la presentación de reportes financieros. Esos estándares requieren entrenamiento técnico y proficiencia como auditor, independencia, así como el ejercicio de debido cuidado profesional, incluyendo escepticismo profesional. Este estándar establece el trabajo de campo y los estándares de presentación de reportes que aplican a una auditoría del control interno sobre la presentación de reportes financieros. 1 Los términos que se definen en el Apéndice A, Definiciones, se expresan en negrilla la primera vez que aparecen 2 Este estándar de auditoría reemplaza al Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros desempeñada junto con una auditoría de estados financieros], y es el estándar sobre contratos de atestación al que hace referencia la Sección 404(b) de la Ley. También es el estándar al que se hace referencia en la Sección 103(a)(2)(A)(iii) de la Ley. 3 Ver Securities Exchange Act Rules 13a-15(f) y 15d-15(f), 17 C.F.R a-15(f) y d-15(f); Parágrafo A5. 4 Ver Item 308 of Regulation S-K, 17 C.F.R Ver AU sec. 230, Due Professional Care in The Performance of Work [Debido cuidado profesional en el desempeño del trabajo], para discusión adicional del concepto de seguridad razonable en una auditoría. 6 Ver AU sec. 150, Generally Accepted Auditing Standards [Estándares de auditoría generalmente aceptados]. Mayo 2007 Pg. 19/105