Introducción. El sistema de control interno abarca las mismas cuestiones a las que se refieren las funciones del sistema contable y comprende:

Transcripción

1 Introducción 1. El propósito de esta Norma Internacional de Contabilidad (NIA) es establecer reglas y suministrar criterios en la obtención del necesario conocimiento de los sistemas contable y de control interno, así como del riesgo en la auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de detección. 2. El auditor debe obtener el conocimiento suficiente de los sistemas contable y de control interno, que le permita una adecuada planificación de la auditoría y el correcto desarrollo de las distintas etapas de la misma. Debe, asimismo, utilizar su criterio profesional para evaluar el riesgo en la auditoría y para diseñar los procedimientos de auditoría necesarios para asegurarse de que ha sido reducido a un nivel aceptablemente. 3. El riesgo en la auditoría es la posibilidad de que el auditor formule una opinión no adecuada cuando existan en los estados financieros irregularidades significativas. Tiene tres componentes: riesgo inherente, riesgo de control y riesgo de detección. 4. Riesgo inherente es la posibilidad de que un saldo de una cuenta o un tipo de transacción contengan irregularidades significativas, individualmente consideradas o agregadas o con otras similares, asumiendo que no están relacionadas con el control interno. 5. Riesgo de control es la posibilidad de que los saldos de las cuentas o una clase de transacciones contengan irregularidades significativas, individualmente consideradas o cuando se agreguen con otras similares, que no han sido prevenidas, detectadas o corregidas oportunamente por los sistemas contable y de control interno. 6. Riesgo de detección es la posibilidad de que en un procedimiento sustantivo de auditoría no detecte una irregularidad existente en un saldo de una cuenta o en una clase de transacción, que pueda ser significativa, individualmente considerada o cuando se agregue a irregularidades similares. 7. Por Sistema contable se entiende el conjunto de operaciones y registros de una entidad, mediante los que se procesan sus transacciones como manera de mantener sus registros contables. Tal sistema identifica, recopila, analiza, calcula, clasifica, registra, agrega e informa de las transacciones y otros hechos. 8. El término control interno implica el conjunto de políticas y procedimientos (controles internos) adoptados por la dirección de la entidad con la finalidad de asegurar, en la medida de lo posible, la consecución de los objetivos gerenciales relativos a la adecuada y eficiente realización de la actividad de la misma, incluido el cumplimiento de la políticas de la dirección, la adecuada custodia de los activos, la prevención y detección de fraudes y errores, la precisión y completitud de los registros contables y la oportuna preparación de la adecuada información financiera. El sistema de control interno abarca las mismas cuestiones a las que se refieren las funciones del sistema contable y comprende: a) El entorno o contexto de control, que implica la actitud, disposición y actuación, en términos generales, del Consejo de Administración y de la dirección en relación con el sistema de control interno y su importancia para la entidad. El entorno de control actúa sobre la efectividad de los procedimientos específicos de control. Unos mecanismos adecuados de contexto del control, por ejemplo, a través de controles ajustados al presupuesto o mediante funciones efectivas de auditoría interna, pueden complementar de manera muy importante los

2 procedimientos específicos de control. Sin embargo, un entorno adecuado no asegura por si mismo la eficacia del sistema de control interno. Entre los factores en que se apoya el entorno del control pueden incluirse: - Funciones del Consejo de Administración y de los comités que puedan existir en el mismo. - Filosofía y estilo de la dirección. - Estructura organizativa de la entidad y métodos para asignar autoridad y responsabilidades. - Sistemas gerenciales de control, incluyendo la función de auditoría interna, políticas y procedimientos de personal y de separación adecuada de funciones. b) Procedimientos de control, que incluyen políticas y procedimientos adicionales a los relativos al entorno del control, establecidos por la dirección para el cumplimiento de sus objetivos específicos. Entre estos procedimientos de control se incluyen: - Conciliaciones, revisadas y aprobadas adecuadamente. - Examen de la exactitud aritmética de los registros. a. cambios en los programas informáticos; b. acceso a los archivos de datos. - Mantenimiento y revisión del control y balance de saldos. - Aprobación y control de documentos. - Comparación de los datos internos con fuentes externas de información. - Comparación de los saldos de caja, valores y existencias con los registros contables. - Limitaciones al acceso físico directo a los activos y registros. - Comparación y análisis de los resultados financieros con los previamente presupuestados. 9. En la auditoría, el auditor sólo tiene en cuenta las políticas y procedimientos de los sistemas contable y de control interno que puedan resultar relevantes en relación con las afirmaciones implícitas en los estados financieros. El adecuado conocimiento de los aspectos significativos se los sistemas contable y de control interno, junto con la evaluación de los riesgos inherente y de control, así como otras consideraciones, pretenden situar al auditor en condiciones de: a) Identificar los tipos de irregularidades significativas que puedan existir en los estados financieros. b) Evaluar los factores que pueden afectar al riesgo de que existan irregularidades significativas; y c) Diseñar los procedimientos de auditoría adecuados. 10. Al abordar su trabajo, el auditor realiza una evaluación preliminar del riesgo de control (en conjunción con la evaluación del riesgo inherente), al objeto de determinar el adecuado nivel de riesgo de detección aceptable para las afirmaciones implícitas en los estados financieros, y

3 para determinar la naturaleza, programación y alcance de los procedimientos sustantivos aplicables a aquellas afirmaciones. Riesgo Inherente 11. Al establecer el plan global de auditoría, el auditor debe evaluar el riesgo inherente a nivel de los estados financieros. Al desarrollar el programa de auditoría, debe evaluar tal riesgo en relación con los saldos significativos y con los diferentes tipos de transacciones, al nivel de afirmaciones concretas implícitas en los estados financieros, o asumir que el riesgo inherente es alto a tal nivel. 12. En la evaluación del riesgo inherente, el auditor emplea su criterio profesional examinando diversos factores, tales como: A nivel de los estados financieros - La integridad y conocimientos de la dirección y los cambios habidos en la misma durante el período. Por ejemplo, la inexperiencia de los nuevos gerentes puede afectar a la preparación de los estados financieros de la entidad. - Presiones inusuales sobre la dirección. Por ejemplo, circunstancias que puedan predisponer a la gerencia a alterar los estados financieros, tales como el operar en un sector que presenta un elevado número de casos de fracasos financieros o el tratarse de una entidad que carece de medios financieros suficientes para continuar su actividad. - La naturaleza de la actividad de la entidad. Por ejemplo, si sus productos y servicios están obsoletos, la complejidad de su estructura de capital, la importancia de los terceros vinculados, el número de dependencias y la dispersión geográfica de su proceso de producción. - Factores que pueden afectar al sector en que se desenvuelve. Por ejemplo, condiciones económicas y de competencia puestas de manifiesto por tendencias financieras y ratios, cambios en la tecnología, demanda y prácticas contables habituales en el sector. Al nivel de saldos y clases transacciones - Circunstancias que pueden favorecer la probabilidad de existencia de irregularidades en los estados financieros. Por ejemplo, cifras que han requerido de ajustes en períodos previos o que implican un alto grado de estimación. - Complejidad de transacciones u otros hechos, que pueden requerir la utilización del trabajo de un experto. - Grado de subjetividad implícito en determinados saldos. - Vulnerabilidad de los activos en relación con pérdidas o apropiaciones indebidas, por ejemplo en el caso de bienes que pueden resultar atractivos o fácilmente transportables, como el dinero en efectivo. - Realización de transacciones inusuales y complejas, especialmente en el cierre o en otros períodos próximos al mismo. Sistema contable y de control interno 13. Los controles internos relativos al sistema contable se orientan a alcanzar objetivos tales como los siguientes:

4 - que las transacciones se realicen de acuerdo a la autorización general o específica, de la dirección; - que todas las transacciones y hechos se registren con prontitud por el importe correcto, en la cuenta adecuada y en el período en que han tenido lugar, de modo que sea posible la preparación de los estados financieros en el marco de un conjunto completo de principios contables adecuadamente identificados; - que el acceso a los activos y registros solo se permita con autorización de la dirección; y - que los saldos de los activos se comparen con la existencia real de los mismos a intervalos razonables, y que se tomen las medidas oportunas cuando se detecten diferencias. Limitaciones inherentes al control interno 14. Los sistemas contable y de control interno no puede suministrar a la dirección evidencia concluyente de que los objetivos han sido alcanzados, debido a limitaciones inherentes a tales sistemas. Entre estas limitaciones se encuentran las siguientes: - El requerimiento, normalmente impuesto por la dirección, de que el coste el control interno no exceda de los beneficios que se esperen del mismo. - La mayoría de los controles se dirigen a transacciones rutinarias y no a las que no lo son. - La posibilidad de errores humanos, debidos a faltas de atención, distracciones, equivocaciones, de criterio o confusión en la interpretación de las instrucciones. - La posibilidad de transgredir los controles internos mediante acuerdos colusivos de algún miembro de la dirección o de algún empleado con otras personas ajenas o relacionadas con la entidad. - La posibilidad de que alguna persona responsable de algún control interno utilice indebidamente su posición al respecto, por ejemplo, que un miembro de la dirección haga caso omiso de un control. - La posibilidad de que los procedimientos puedan volverse inadecuados, debido a cambios en las condiciones, con lo que su cumplimiento puede deteriorarse. Comprensión de los sistemas contable y de control interno 15. Cuando, al objeto de planificar su trabajo, el auditor se disponga a obtener la adecuada comprensión de los sistemas contable y de control interno, debe alcanzar suficiente conocimiento de su diseño, así como de la manera en que funcionan. Por ejemplo, mediante pruebas aleatorias sobre algunas transacciones del sistema contable. Este procedimiento debe ser tratado como parte integrante de las pruebas de control cuando las transacciones seleccionadas sean ajenas al sistema habitual. La naturaleza y alcance de las pruebas aleatorias aplicadas por el auditor no permite que por si solas suministren evidencia de auditoría suficiente y adecuada como para apoyar una evaluación del riesgo de control a un nivel diferente del alto.

5 16. La naturaleza, programación y alcance de los procedimientos aplicados por el auditor para obtener la necesaria comprensión de los sistemas contable y de control interno varían en función de circunstancias tales como: - Tamaño y complejidad de la entidad y de sus sistemas informáticos. - Consideraciones sobre el principio de importancia relativa. - Tipo de controles internos aplicables a cada situación. - Naturaleza de la documentación que la entidad realice sobre controles internos específicos. - Evaluación que realice el auditor del riesgo inherente. 17. La comprensión significativa para la auditoría de los sistemas contable y de control interno se obtiene generalmente por el auditor a partir de su experiencia previa en relación con la entidad en cuestión y, además, mediante: a) investigaciones con los miembros de la dirección, supervisores y restante personal del cliente, en diferentes niveles de la organización de la entidad, junto con el examen de documentación relativa a procedimientos o descripciones de trabajos y flujos; - inspección de documentos y registros producidos por los sistemas contable y de control interno; y - observación de las actividades y operaciones de la entidad, incluidas las relacionadas con su organización informática, dirección de personal y naturaleza del procesamiento de las transacciones. Sistema contable 18. El auditor debe obtener conocimiento y comprensión del sistema contable suficientes para que le permitan identificar y entender: a) los principales tipos de transacciones de las operaciones de la entidad; b) la manera en que se inician dichas transacciones; c) los registros contables significativos, los soportes documentales de los mismos y los saldos específicos de los estados financieros; y d) el proceso contable y de elaboración y presentación de la información financiera, desde el comienzo de las transacciones significativas y otros hechos hasta su inserción en los estados financieros. Entorno del Control 19. El auditoría debe obtener conocimiento del entorno del control en la medida necesaria para evaluar las actitudes, disposición y actuaciones del Consejo de Administración y de la dirección, relativas al control interno y a su importancia en la entidad. Procedimientos de control 20. El auditor debe obtener el conocimiento necesario en relación con los procedimientos de control para desarrollar el plan de auditoría.

6 Su conocimiento sobre la presencia o ausencia de procedimientos de control, obtenido del examen del contexto del control y del sistema contable, le resultará de utilidad para determinar si es necesario algún conocimiento adicional de los procedimientos de control, al objeto de planificar su trabajo. Dado que los procedimientos de control se encuentran integrados en el entorno del control y en el sistema contable, al adquirir conocimiento de estas cuestiones, probablemente tendrá acceso también al conocimiento de aspectos relacionados con los procedimientos de control; por ejemplo, al examinar el sistema contable relativo al efectivo, el auditor normalmente se dará cuenta de si se realizaran conciliaciones de las cuentas con bancos. Normalmente, el desarrollo del plan global de auditoría no requiere el conocimiento de los procedimientos de control de cada una de las afirmaciones significativas implícitas en los estados financieros en cada saldo o clase de transacción. Riesgo de control Evaluación preliminar del riesgo de control 21. La evaluación preliminar del riesgo de control es el proceso mediante el que se examina la eficacia de los sistemas contable y de control interno de una entidad en la prevención o detección de irregularidades, significativas. Siempre existe algún riesgo de control, debido a las limitaciones inherentes a cualquier sistema contable y de control interno. 22. Después de conocer los sistemas contable y de control interno, el auditor debe realizar una evaluación preliminar del riesgo de control al nivel de las principales afirmaciones implícitas en los estados financieros, para cada uno de los saldos significativos o clases de transacciones. 23. Normalmente el auditor debe considerar algo alto el riesgo de control en aquella o aquellas afirmaciones en las que: a) los sistemas contable y de control interno de la entidad no resulta efectivos; o b) la evaluación de la eficacia de las políticas y procedimientos de la entidad no haya resultado suficientemente ilustrativa. 24. La evaluación preliminar del riesgo de control de una afirmación implícita en los estados financieros debe ser alta, a menos que el auditor: a) pueda identificar controles internos relativos a afirmaciones concretas que sean capaces de prevenir o detectar irregularidades significativas, y b) planifique la realización de pruebas de control que confirmen su evaluación. Documentación del conocimiento y evaluación del riesgo de control 25. El auditor debe documentar en sus papeles de trabajo: a) el conocimiento obtenido de los sistemas contables y de control interno de la entidad; y b) la evaluación del riesgo de control. Cuando éste último se evalúe a niveles inferiores a los elevados, debe también documentar las bases en que asienta tal postura.

7 26. Pueden utilizarse diferentes procedimientos para documentar la información relativa a los sistemas contable y de control interno. Técnicas frecuentes, que pueden utilizarse individualmente o combinadas, son las descripciones en forma de narración, los cuestionarios, encuestas y diagramas de trabajo. La forma y extensión de esta documentación depende, entre otras cuestiones, del tamaño y complejidad de la entidad, así como de la naturaleza de sus sistemas contable y de control interno. Generalmente, cuanto más complejos son éstos últimos, y cuando más extensos son los procedimientos llevados a cabo por el auditor, mayor debe ser su documentación. Pruebas de control 27. Las pruebas de control se aplican para obtener evidencia de auditoría sobre la eficacia: a) del diseño de los sistemas contable y de control interno, es decir, si han sido concebidos adecuadamente para prevenir o detectar y corregir las irregularidades significativas; y b) del funcionamiento de los controles internos en el período. 28. Algunos de los procedimientos aplicados para obtener el necesario conocimiento de los sistemas contable y de control interno pueden no haber sido planificados específicamente como pruebas de control, pero son capaces de suministrar evidencia de auditoría sobre la eficacia del diseño y funcionamiento operativo de los controles internos relativos a determinar afirmaciones implícitas en los estados financieros y, por tanto, pueden servir como tales pruebas de control. Por ejemplo, al familiarizarse con el sistema relativo al efectivo, el auditor puede haber obtenido evidencia sobre la eficacia del proceso de conciliaciones bancarias mediante indagaciones y observación. 29. Cuando el auditor concluya que los procedimientos aplicados para obtener el necesario conocimiento de los sistemas contable y de control interno le suministran también evidencia sobre la eficacia del diseño y operatividad de las políticas y procedimiento relativos a afirmaciones concretas implícitas en los estados financieros, puede utilizar tal evidencia, a condición de que sea suficiente para apoyar una evaluación del riesgo de control a un nivel inferior alto. 30. Las pruebas de control pueden incluir: - Inspección de los soportes documentales de las transacciones y de otros hechos, para obtener evidencia de que los controles han actuado adecuadamente, por ejemplo, verificando que las transacciones han sido autorizadas. - Indagaciones y observación de controles que no dejan rastros en la auditoría, por ejemplo, determinando quien realiza actualmente cada función y no meramente quien se supone que la realiza. - Repetición de controles internos, por ejemplo, reconciliaciones de los saldos bancarios, para asegurarse de que se realizan adecuadamente por la entidad. 31. El auditor debe obtener evidencia de auditoría a partir de las correspondientes pruebas de control, para apoyar cualquier evaluación del riesgo de control a nivel inferior al elevado. Cuando más baja sea la evaluación de control de riesgo, mayor apoyo debe obtener el auditor del correcto diseño y funcionamiento de los sistemas contable y de control interno.

8 32. Al obtener evidencia sobre el adecuado funcionamiento de los controles internos, el auditor debe tener en cuenta la manera en que se aplicaban, la consistencia con que funcionan durante el período, y por quien son aplicados. El concepto de funcionamiento adecuado admite, no obstante, que pueden aparecer algunas desviaciones. Estas desviaciones de los controles establecidos pueden ser causadas por una variedad de factores, tales como cambios en el personal, fluctuaciones significativas estacionales en el volumen de transacciones y errores humanos. Cuando se detecten desviaciones, el auditor debe realizar indagaciones específicas relativas a estas cuestiones, especialmente en períodos de cambios en el personal responsable de las funciones básicas de control interno. En consecuencia, debe asegurarse de que las pruebas de control cubren adecuadamente tales períodos. 33. En un contexto informatizado, los objetivos de las pruebas de control no difieren de las relativas a entornos no informatizados; sin embargo, algunos procedimientos de auditoría pueden cambiar. Puede resultar necesario o preferible para el auditor la utilización de técnicas de auditoría asistidas por ordenador. La utilización de tales técnicas, por ejemplo, programas de comprobación de archivos o pruebas de datos de auditoría, puede ser adecuada cuando los sistemas contable y de control interno no suministren evidencia visible que documente el comportamiento de los controles internos programados en un sistema contable informatizado. 34. Apoyándose en los resultados de las pruebas de control, el auditor evaluará si los controles internos están diseñados y operan de la manera previstas en la evaluación preliminar del riesgo de control. La evaluación de las desviaciones encontradas puede llevar al auditor a concluir la necesidad de revisar su evaluación del nivel de riesgo de control. En este caso, debe modificar la naturaleza, programación y alcance de los procedimientos sustantivos previstos. Calidad y oportunidad de la evidencia 35. Algún tipo de evidencia, de entre la obtenida por el auditor, proporciona mayor fiabilidad que otra. Generalmente, las observaciones del auditor suministran mayor fiabilidad que la simple realización de indagaciones entre las personas; así, por ejemplo, la evidencia sobre la adecuación de la segregación de funciones es diferente si se observa al individuo que aplica el procedimiento de control que si se realizan indagaciones entre el personal. Sin embargo, la evidencia obtenida a través de alguna pruebas de control, como la observación, sólo es posible en el momento en que se aplica el procedimiento. El auditor puede decidir, por consiguiente, complementar estos procedimientos con otras pruebas de control susceptibles de proporcionarle evidencia sobre otros períodos de tiempo. 36. Al determinar cual es la evidencia adecuada para apoyar las conclusiones relativas al riesgo de control, el auditor debe tener en cuenta la evidencia obtenida en anteriores auditorías. En actuaciones sucesivas, el auditor conocerá los sistemas contable y de control interno a partir del trabajo previamente realizado, pero necesitará normalmente actualizarse ese conocimiento, así como evaluar la necesidad de obtener evidencia adicional sobre posibles cambios en el control.

9 Antes de confiar en los procedimientos aplicados en actuaciones anteriores, debe obtener evidencia que apoye tal confianza. El auditor debe obtener evidencia sobre la naturaleza, momento en que se produce y alcance de cualquier cambio en los sistemas contable y de control interno desde la última aplicación de procedimientos, y evaluar su posible impacto en la fiabilidad previamente supuesta. Cuando mayor sea el tiempo transcurrido, menor resultará la confianza que puede depositarse en tales procedimientos previos. 37. El auditor debe tener en cuenta si los controles internos permanecen en uso durante el período. Si se aplican controles sustancialmente diferentes en distintos momentos de un período, debe evaluar cada uno por separado. Un fallo en los controles internos en un momento específico del período requiere consideraciones independientes sobre la naturaleza, programación y alcance de los procedimientos de auditoría que deben aplicarse a las transacciones y a otros hechos de tal período. 38. El auditor puede decidir llevar a cabo algunas pruebas de control en períodos intermedios, previos al cierre. Sin embargo, no debe confiar en sus resultados sin evaluar la necesidad de obtener evidencia adicional relativa los momentos restantes del ejercicio contable. Entre los factores a tener en cuenta se encuentran: - Los resultados de las pruebas aplicadas en períodos intermedios. - La duración del período restante. - La existencia de cambios en los sistemas contable y de control interno en tal período restante. - La naturaleza e importes de las transacciones u otros hechos y de los hechos y de los saldos implicados. - El entorno del control, especialmente los controles de supervisión. - Los procedimientos sustantivos que pretende llevar a cabo. Evaluación final del riesgo de control 39. Antes de finalizar la auditoría, el auditor, basándose en los resultados de los procedimientos sustantivos y en otra evidencia obtenida, debe considerar si se confirma su evaluación preliminar del riesgo de control. Relación entre la evaluación de los riesgos inherentes y de control 40. La dirección reacciona con frecuencia a las situaciones de riesgo inherente diseñando sistemas contables y de control interno destinados a prevenir o detectar y corregir irregularidades por lo que, en muchos casos, el riesgo inherente y el riesgo de control están estrechamente relacionados. En tales situaciones, existe la posibilidad de una incorrecta evaluación del riesgo si el auditor intenta evaluar por separado los riesgos inherentes y de control. Por tanto, el riesgo de la auditoría puede en tales situaciones, determinarse más adecuadamente mediante una evaluación conjunta.

10 Riesgo de detección 41. En nivel de riesgo de detección se relaciona directamente con los procedimientos sustantivos de auditoría. La evaluación por el auditor del riesgo de control, junto con la evaluación del riesgo inherente, influye en la naturaleza, programación y alcance de los procedimientos sustantivos que deben aplicarse para reducir el riesgo de detección y, en consecuencia, el riesgo en la auditoría, a un nivel aceptablemente bajo. Algún riesgo de detección puede presentarse siempre, incluso si el auditor examinara el cien por ciento de los saldos o de las transacciones, ya que, por ejemplo, mucha de la posible evidencia tiene más carácter de indicio que de prueba concluyente. 42. El auditor debe tener en cuenta los niveles asumidos de riesgo inherente y de control al determinar la naturaleza, programación y alcance de los procedimientos sustantivos necesarios para reducir el riesgo de la auditoría a un nivel aceptable. A este respecto, el auditor debe tener en cuenta: a) la naturaleza de los procedimientos sustantivos, por ejemplo, utilizando pruebas sobre terceros independientes de la entidad y no sobre personas o documentación de la misma o utilizando pruebas de detalle para un objetivo concreto de auditoría, además de los procedimientos analíticos. b) la programación de los procedimientos sustantivos, por ejemplo, llevándolos a cabo al final del ejercicio, en lugar de en una fecha anterior, o c) su extensión, por ejemplo, utilizando una muestra de tamaño más amplio. 43. Existe una relación inversa entre el nivel combinado de riesgo inherente y de control y el riesgo de detección. Por ejemplo, cuando el riesgo inherente y el de control son altos, el riesgo de detección aceptable debe de ser bajo para reducir el riesgo de la auditoría a un nivel aceptablemente bajo. Por otro lado, cuando el riesgo inherente y de control sean bajos, el auditor puede aceptar un mayor riesgo de detección y, todavía, reducir el riesgo de la auditoría a un nivel aceptablemente bajo. En el Anexo a esta NIA puede encontrarse una ilustración de la interrelación entre los componentes del riesgo de la auditoría. 44. Mientras las pruebas de control y los procedimientos sustantivos son diferentes en su propósito, el resultado de cada uno de ellos puede contribuir a la finalidad del otro. Las irregularidades descubiertas en la aplicación de procedimientos sustantivos pueden llevar al auditor a modificar la evaluación previa del riesgo de control. Puede verse al respecto el Anexo. 45. Los niveles evaluados para el riesgo inherente y de control no pueden ser lo suficientemente bajos como para eliminar la necesidad de que el auditor aplique algunos procedimientos sustantivos. En función de los niveles evaluados de riesgo inherente y de control, el auditor debe aplicar algunos procedimientos sustantivos para los saldos significativos y las diferentes clases de transacciones. 46. la evaluación por el auditor de los componentes del riesgo de la auditoría puede cambiar durante el curso de la misma; por ejemplo, cuando realiza sus procedimientos sustantivos

11 puede encontrar información que difiera significativamente de aquella en la que originalmente basó su evaluación de los riesgos inherente y de control. En tales casos, debe modificar los procedimientos sustantivos previstos, apoyándose en la revisión de los niveles de riesgo inherente y de control. 47. Cuanto más sean los niveles de riesgo inherente y de control evaluados, mayor evidencia debe obtener el auditor de las pruebas sustantivas. Cuando ambos, el riesgo inherente y el de control, han sido evaluado como altos, el auditor debe también considerar si tales pruebas sustantivas le suministran la evidencia adecuada para reducir el riesgo de detección y, en consecuencia, el riesgo de la auditoría, a un nivel aceptablemente bajo. Cuando el auditor determine que el riesgo de detección relativo a una afirmación implícita en los estados financieros para un saldo significativo o una clase de transacción no puede ser reducido a un nivel aceptablemente bajo, debe emitir una opinión con salvedades o abstenerse de emitirla. Riesgo de la auditoría en pequeñas empresas 48. El auditor necesita obtener el mismo grado de seguridad para emitir una opinión sin salvedades sobre los estados financieros, tanto en las pequeñas como en las grandes empresas. No obstante, algunos controles internos que pueden se útiles en estas últimas, no son aplicables en las pequeñas. Por ejemplo, en las empresas de reducida dimensión, los procesos contables pueden llevarse a cabo por pocas personas, que pueden tener simultáneamente responsabilidades operativas y de custodia, de manera que la segregación de funciones desaparece o está muy limitada. La segregación inadecuada de tareas se compensa, en algunos casos, mediante fuertes controles de supervisión realizados por el dueño/propietario, que pueden existir debido a su conocimiento personal del negocio y a su participación en las transacciones. En circunstancias en las que la segregación de funciones es limitada y en las que falta evidencia sobre los controles de supervisión, la evidencia necesaria para apoyar la opinión del auditor sobre los estados financieros habrá de ser obtenida en gran medida mediante la aplicación de procedimientos sustantivos. Comunicación de los puntos débiles 49. Como consecuencia de su conocimiento de los sistemas contable y de control interno, y de las pruebas de control aplicadas, el auditor puede concluir que existen puntos débiles en los mismos. El auditor debe poner en conocimiento de la dirección, oportunamente y al nivel adecuado de la misma, los puntos débiles significativos en el diseño o en el funcionamiento de los sistemas contable y de control interno, que hayan podido llegar a su conocimiento. Preferiblemente la comunicación debe ser por escrito, pero si juzga que puede realizarse de palabra, debe estar documentada en papeles de trabajo. Es importante indicar en la carta que se refieren solo a fallos que han llegado a conocimiento del auditor como consecuencia de sui trabajo, y que el examen no ha tenido por objeto determinar la idoneidad de los controles internos con propósitos gerenciales.

12 Opiniones del Comité del Sector Público 1. En relación con el párrafo 8 de esta NIA, el auditor debe tener en cuenta que los objetivos generales de las entidades del Sector Público pueden estar influenciadas por conceptos relativos a la responsabilidad pública y pueden incluir objetivos con origen en legislación o regulación específica, gubernamental o de otro tipo. La fuente y naturaleza de estos objetivos deben ser tenidos en cuenta por el auditor en la evaluación de si los procedimientos de control interno son eficaces para el propósito de la auditoría. 2. El párrafo 9 de esta NIA afirma que, en la auditoría de los estados financieros, el auditor solo tiene en cuenta las políticas y procedimientos de los sistemas contable y de control interno que pueden resultar relevantes en relación con las afirmaciones implícitas en los estados financieros. Los auditores del Sector Público con frecuencia tienen responsabilidades adicionales, tanto en el contexto de los estados financieros auditados como en relación con los controles internos. Su revisión de estos últimos puede ser más amplia y más detallada que en la auditoría realizada en el Sector Privado. 3. El párrafo 49 de esta NIA se ocupa de la comunicación de los puntos débiles. Pueden existir para los auditores en el Sector Público requerimientos adicionales relativos a estos extremos. Así, es posible que los puntos débiles de control interno encontrados en los estados financieros o en otros aspectos de la auditoría deban ser puestos en conocimiento de órganos legislativos o gubernamentales.

13 ANEXO ILUSTRACIÓN DE LA INTERRELACIÓN DE LOS COMPONENTES DEL RIESGO EN LA AUDITORÍA La siguiente tabla muestra la manera en que el nivel aceptable de riesgo de detección puede variar a consecuencia de la evaluación del riesgo inherente y de control. Evaluación por el auditor del riesgo inherente La evaluación por el auditor del riesgo de control es ALTA MEDIA BAJA Alta La más baja Baja Media Media Baja Media Alta Baja Media Alta La más alta Los epígrafes de los recuadros se refieren al riesgo de detección. Existe una relación inversa entre el grado combinado de riesgo inherente y de control y el riesgo de detección. Por ejemplo, cuando el riesgo inherente y el de control son altos, los niveles aceptables de riesgo de detección deben de ser bajos para reducir el riesgo en la auditoría a un nivel aceptablemente bajo. Por otro lado, cuando los riesgos inherente y de control sean bajos, el auditor puede aceptar un mayor riesgo de detección y, todavía, reducir el riesgo de la auditoría a un nivel aceptablemente bajo.