El auditor tiene la obligación de comunicar a su cliente las debilidades significativas detectadas en el sistema de control interno
COMUNICAR ASUNTOS RELACIONADOS CON EL CONTROL INTERNO IDENTIFICADOS EN UNA AUDITORÍA
INTRODUCCIÓN
Alcance de esta Sección
1. Esta Sección trata la responsabilidad del auditor de comunicar apropiadamente a los encargados del Gobierno Corporativo y a la Administración las deficiencias en el control interno que el auditor ha identificado en una auditoría de estados financieros. Esta Sección no impone responsabilidades adicionales al auditor en relación con obtener un entendimiento de control interno o diseñar y efectuar pruebas de los controles más allá de los requerimientos de la Sección AU 315, Entendimiento de la Entidad y de su Entorno y Evaluar los Riesgos de Representaciones Incorrectas Significativas y Sección AU 330, Efectuar Procedimientos de Auditoría en Respuesta a Riesgos Evaluados y Evaluar la Evidencia de Auditoría Obtenida. La Sección AU 260, La Comunicación del Auditor con los Encargados del Gobierno Corporativo, establece requerimientos adicionales y proporciona guías respecto a la responsabilidad del auditor de comunicarse con los encargados del Gobierno Corporativo en relación con la auditoría. Se requiere que el auditor obtenga un entendimiento del control interno pertinente a la auditoría al identificar y evaluar los riesgos de representaciones incorrectas significativas.(1)
Al efectuar esas evaluaciones de riesgos, el auditor considera el control interno a fin de diseñar procedimientos de auditoría que sean apropiados en las circunstancias pero no con el propósito de expresar una opinión sobre la efectividad del control interno. El auditor puede identificar deficiencias en el control interno no sólo durante el proceso de evaluación de riesgos sino también en cualquier otra etapa de la auditoría. Esta Sección específica cuáles deficiencias identificadas debe comunicar el auditor a los encargados del Gobierno Corporativo y a la Administración. Nada en esta Sección impide al auditor comunicar a los encargados del Gobierno Corporativo o a la Administración otros asuntos de control interno que el auditor ha identificado durante la auditoría.
Esta Sección no es aplicable si el auditor ha sido contratado para informar sobre la efectividad del control interno de una entidad sobre el proceso de preparación y (1) Ver párrafo 13 de la Sección AU 315, Entendimiento de la Entidad y de su Entorno y Evaluar los Riesgos de Representaciones Incorrectas Significativas, los párrafos A61-A67 de la Sección AU 315, Entendimiento de la Entidad y de su Entorno y Evaluar los Riesgos de Representaciones Incorrectas Significativas proporcionan guías sobre los controles pertinentes a la auditoría. Presentación de información financiera preparada de acuerdo con la Sección AT 501, Un Examen del Control Interno de una Entidad sobre el Proceso de Preparación y Presentación de Información Financiera el cual está Integrado a una Auditoría de los Estados Financieros. Fecha de vigencia
5. Esta Sección tiene vigencia para las auditorías de estados financieros para los períodos terminados el o con posterioridad al 15 de Diciembre de 2012. Objetivo.
6. El objetivo del auditor es comunicar apropiadamente a los encargados del Gobierno Corporativo y a la Administración las deficiencias en el control interno que el auditor ha identificado durante la auditoría y que, a juicio profesional del auditor, son de suficiente importancia para ameritar su respectiva atención. Para los propósitos de las normas de auditoría generalmente aceptadas, los siguientes términos tienen atribuidos los siguientes significados: Deficiencia en el control interno. Una deficiencia en el control interno existe cuando el diseño u operación de un control no permite a la Administración o al personal, durante el curso normal del desarrollo de sus funciones asignadas, prevenir, o detectar y corregir, oportunamente representaciones incorrectas.
EXISTE UNA DEFICIENCIA EN EL DISEÑO CUANDO:
(a) falta un control necesario para cumplir el objetivo de control o (b) un control existente no ha sido diseñado apropiadamente, de modo que aún cuando el control opere como fue diseñado, no se cumpla el objetivo de control. Existe una deficiencia operacional cuando un control diseñado apropiadamente no opera para lo que fue diseñado o cuando la persona quien realiza el control no tiene la autoridad necesaria ni la competencia para realizar el control en forma efectiva. Debilidad importante.
Es una deficiencia o una combinación de éstas en el control interno tal, que existe la razonable posibilidad que una representación incorrecta significativa en los estados financieros de la entidad no será prevenida, o detectada y corregida, oportunamente. Deficiencia significativa. Es una deficiencia o una combinación de éstas en el control interno que es menos grave que una debilidad importante, pero lo suficientemente importante para ameritar la atención de los encargados del Gobierno Corporativo. Requerimientos Determinar si las deficiencias en el control interno han sido identificadas
8. El auditor debiera determinar si, a base del trabajo de auditoría efectuado, el auditor ha identificado una o más deficiencias en el control interno. (Ver párrafos A1–A4) Evaluar las deficiencias identificadas en el control interno (Ver párrafos A5–A14)
9. Si el auditor ha identificado una o más deficiencias en el control interno, el auditor debiera evaluar cada deficiencia para determinar, con base en el trabajo de auditoría efectuado si, individualmente o en combinación, constituyen deficiencias significativas o debilidades importantes. Si el auditor determina que una deficiencia, o una combinación de deficiencias en el control interno no es una debilidad importante, el auditor debiera considerar si ejecutivos prudentes, teniendo conocimiento de los mismos hechos y circunstancias, probablemente llegarían a la misma conclusión. Comunicar las deficiencias en el control interno
11. El auditor debiera comunicar oportunamente por escrito a los encargados del Gobierno Corporativo las deficiencias significativas y las debilidades importantes identificadas durante la auditoría, incluyendo las que fueron corregidas durante la auditoría. (Ver párrafos A15–A20 y A28)
12. El auditor también debiera comunicar a la Administración oportunamente a un apropiado nivel de responsabilidad: (Ver párrafos A21 y A28) a. Por escrito, las deficiencias significativas y las debilidades importantes que el auditor ha comunicado o que tiene la intención de comunicar a los encargados del Gobierno Corporativo, a menos que fuere inapropiado comunicarse directamente con la Administración en las circunstancias. Por escrito o verbalmente, otras deficiencias en el control interno identificadas durante la auditoría que no han sido comunicadas a la Administración por otras partes y que, de acuerdo con el juicio profesional del auditor, son de suficiente importancia para ameritar la atención de la Administración. Si las otras deficiencias en el control interno son comunicadas verbalmente, el auditor debiera documentar la comunicación. Las comunicaciones mencionadas en los párrafos 11-12 debieran efectuarse a más tardar dentro de los 60(*) días siguientes a la fecha de emisión del informe.
El auditor debiera incluir en la comunicación escrita del auditor las deficiencias significativas y las debilidades importantes: (Ver párrafos A29–A33) a. La definición del término debilidad importante y cuando fuere pertinente, la definición del término deficiencia significativa. Una descripción de las deficiencias significativas y de las debilidades importantes y una explicación de sus efectos potenciales. Suficiente información para permitir a los encargados del Gobierno Corporativo y de la Administración entender el contexto de la comunicación. El propósito de la auditoría era que el auditor exprese una opinión sobre los estados financieros. La auditoría incluyó la consideración del control interno sobre el proceso de preparación y presentación de información financiera con el objeto de diseñar los procedimientos de auditoría que sean apropiados en las circunstancias, pero no con el propósito de expresar una opinión sobre la efectividad del control interno. El auditor no está expresando una opinión sobre la efectividad del control interno. (*) En el caso de entidades fiscalizadas por la Superintendencia de Valores y Seguros (SVS), la Circular Nº 980 del día 24 de Diciembre de 1990. Establece textualmente, que para las mencionadas entidades fiscalizadas por la Superintendencia de Valores y Seguros (SVS), éstas: “…deben entregar al directorio un informe definitivo de control interno, referido a las debilidades detectadas en la revisión preliminar efectuada a la entidad durante el calendario del período auditado, con una anticipación no inferior a 30 días de la fecha de cierre de los estados financieros anuales”.
Como excepción a lo anterior, se encuentran las disposiciones del Oficio Circular Nº 422 del día 6 de Diciembre de 2007, que sólo son aplicables al caso de empresas que se encuentren fiscalizadas por la SVS y también se encuentren registradas en la Securities and Exchange Comission (SEC). En este caso, se amplía el plazo dispuesto en la Circular Nº 980, tal como se indica a continuación: “…a más tardar hasta la fecha en la cual el directorio tome conocimiento de los estados financieros correspondientes al 31 de Diciembre de cada año, es decir, actualmente no más allá de 60 días desde el cierre de dichos estados financieros, lo cual debe quedar debidamente documentado en la correspondiente acta de directorio…”. La consideración por el auditor del control interno no fue diseñada para identificar todas las deficiencias en el control interno que podrían ser debilidades importantes o deficiencias significativas y, por lo tanto, pueden existir debilidades importantes o deficiencias significativas que no fueron identificadas. Un alerta apropiado, de acuerdo con la Sección AU 905, Alertas que Restringen el Uso de las Comunicaciones Escritas del Auditor, (Ver párrafo A32)
15. Cuando el auditor emite una comunicación por escrito indicando que ninguna debilidad importante fue identificada durante la auditoría, la comunicación debiera incluir los asuntos de los párrafos 14(a) y (c)-(d). El auditor no debiera emitir una comunicación por escrito indicando que ninguna deficiencia significativa fue identificada durante la auditoría. (Ver párrafo A34) *** Guía de aplicación y otro material explicativo Determinar si las deficiencias en el control interno han sido identificadas (Ver párrafo 8)
A1
Al determinar si el auditor ha identificado una o más deficiencias en el control interno, el auditor puede reunirse para analizar los hechos y las circunstancias pertinentes de los hallazgos del auditor con el nivel apropiado de la Administración.
Este análisis proporciona una oportunidad para que el auditor alerte oportunamente a la Administración respecto a la existencia de deficiencias que la Administración puede no haber estado anteriormente en conocimiento. El nivel de la Administración con el cual es apropiado analizar los hallazgos es aquel que tiene conocimiento del área de control interno en cuestión y que tiene la autoridad para tomar acción correctiva sobre cualquier deficiencia en el control interno identificada. En algunas circunstancias, puede no ser apropiado que el auditor analice sus hallazgos directamente con la Administración (por ejemplo, si los hallazgos aparentemente cuestionan la integridad o la competencia de la Administración [Ver párrafo A22]). Al analizar con la Administración los hechos y las circunstancias de los hallazgos del auditor, el auditor puede obtener otra información pertinente para ser considerada adicionalmente, tales como: el entendimiento de la Administración de las causas actuales o sospechadas de las deficiencias. Excepciones resultantes de las deficiencias que la Administración pueda haber notado (por ejemplo, representaciones incorrectas que no fueron prevenidas por los controles TI pertinentes).
Consideraciones específicas para entidades más pequeñas, menos complejas
A3
Aún cuando los conceptos subyacentes a las actividades de control en entidades más pequeñas probablemente sean similares a los de entidades más grandes, variará la formalidad con la cual los controles operan. Además, las entidades más pequeñas pueden encontrar que ciertos tipos de actividades de control no son necesarios debido a los controles aplicados por la Administración. Por ejemplo, la autoridad única de la Administración para conceder créditos a los clientes y aprobar compras importantes, puede proporcionar un control efectivo sobre los saldos de cuentas y transacciones importantes, minimizando o eliminando la necesidad de actividades de control más detalladas. Adicionalmente, las entidades más pequeñas a menudo tienen menos empleados, lo cual puede limitar la medida en que sea practicable una segregación de funciones. Sin embargo, en una entidad pequeña administrada por el dueño, el dueño- administrador puede estar en condiciones de ejercer una supervisión más efectiva que en una entidad más grande. Por otro lado, tal supervisión mayor por la Administración puede también incrementar el riesgo que la Administración haga caso omiso de los controles en forma intencional. Evaluar las deficiencias identificadas en el control interno (Ver párrafos 9-10)
A5
La gravedad de una deficiencia, o de una combinación de deficiencias en el control interno no sólo depende de si una representación incorrecta ha efectivamente ocurrido sino también de: la magnitud de la representación incorrecta potencial que resulte de una deficiencia o deficiencias, y si existe una posibilidad razonable que los controles de la entidad fallarán en prevenir, o detectar y corregir una representación incorrecta de un saldo de cuenta o de una revelación. Una posibilidad razonable existe cuando la oportunidad que un hecho o hechos futuros ocurran sea más que remoto. Pueden existir deficiencias significativas y debilidades importantes aún cuándo el auditor no haya identificado representaciones incorrectas durante la auditoría.
Los factores que afectan a la magnitud de una representación incorrecta que podría resultar en una deficiencia o deficiencias en el control interno incluyen, pero no están limitados, a los siguientes: Los montos en los estados financieros o el total de transacciones expuestas a la deficiencia. Al evaluar la magnitud de la representación incorrecta potencial, el monto máximo por el cual un saldo contable o el total de transacciones pueden estar “sobreestimados” generalmente es el monto contabilizado, mientras que las “subestimaciones” podrían ser mayores al monto contabilizado. Los factores de riesgo afectan si existe una razonable posibilidad que una deficiencia o una combinación de éstas resultarán en una representación incorrecta de un saldo de cuenta o de una revelación. La interacción con otras deficiencias en el control interno. La importancia de los controles en el proceso de preparación y presentación de la información financiera, por ejemplo: – el monitoreo general de los controles (tal como la supervisión por la Administración). – controles sobre transacciones significativas con partes relacionadas. – controles sobre el proceso de preparación y presentación de la información financiera al cierre del período (tales como controles sobre asientos de diario no recurrentes). Los controles pueden ser diseñados para operar individualmente, o en combinación, para prevenir, o detectar y corregir, con efectividad las representaciones incorrectas.(2)
POR EJEMPLO, los controles sobre las cuentas por cobrar pueden consistir de tanto controles automatizados como manuales, diseñados para operar en forma conjunta para prevenir, o detectar y corregir, representaciones incorrectas en un saldo contable. Sin embargo, una combinación de deficiencias que afectan a la misma cuenta o revelación, afirmación pertinente o componente de control interno significativo, puede aumentar los riesgos de representaciones incorrectas de tal manera que resulten en una deficiencia significativa o en una debilidad importante. Los indicadores de debilidades importantes en el control interno incluyen: identificación de fraude, sea o no significativo, cometido por la Administración Superior; re-expresión de estados financieros emitidos con anterioridad, para reflejar la corrección de una representación incorrecta significativa debido a fraude o error; identificación por el auditor de una representación incorrecta significativa en los estados financieros que están siendo auditados, en circunstancias que (2) Ver párrafo A68 de la Sección AU 315, Entendimiento de la Entidad y de su Entorno y Evaluar los Riesgos de Representaciones Incorrectas Significativas. Indican que la representación incorrecta no habría sido detectada por el control interno de la entidad, y; supervisión inefectiva del proceso de preparación y presentación de la información financiera y del control interno por los encargados del Gobierno Corporativo. Consideraciones específicas para entidades gubernamentales
A12
Las leyes o las regulaciones pueden requerir que el auditor comunique a los encargados del Gobierno Corporativo u otras partes pertinentes (tales como los organismos reguladores), las deficiencias en el control interno que el auditor ha identificado durante la auditoría utilizando términos y definiciones específicos diferentes de los indicados en esta Sección. En tales circunstancias, el auditor utiliza tales términos y definiciones al comunicar deficiencias en el control interno de acuerdo con los requerimientos de las leyes y regulaciones y de acuerdo con esta Sección. Cuando las leyes y las regulaciones requieren que el auditor comunique las deficiencias en el control interno que el auditor ha identificado durante la auditoría utilizando términos específicos, pero tales términos no han sido definidos, el auditor puede utilizar las definiciones, requerimientos y guías en esta Sección para cumplir con las leyes y regulaciones. Los requerimientos de esta Sección continúan siendo aplicables, a pesar que las leyes o regulaciones puedan requerir que el auditor utilice términos o definiciones específicos. La Sección AU 260, La Comunicación del Auditor con los Encargados del Gobierno Corporativo, establece las consideraciones pertinentes respecto a la comunicación con los encargados del Gobierno Corporativo cuando todos ellos están involucrados en la administración de la entidad.(3)
A16
Aunque el párrafo 13 requiere que el auditor efectúe las comunicaciones mencionadas en los párrafos 11–12 a más tardar a los 60 días siguientes a la fecha (3) Ver párrafo 9 de la Sección AU 260, La Comunicación del Auditor con los Encargados del Gobierno Corporativo. Sin embargo, debido a que la comunicación escrita del auditor de las deficiencias significativas y de las debilidades importantes forma parte del archivo final de auditoría, la comunicación escrita está sujeta al requerimiento preponderante que el auditor complete la recopilación del archivo de auditoría final en forma oportuna, a más tardar a los 60 días siguientes de la fecha de emisión del informe.(4)
A17
Sin embargo, la comunicación verbal no libera al auditor de la responsabilidad de comunicar las deficiencias significativas y las debilidades importantes por escrito, como lo requiere esta Sección. Por ejemplo, mayor detalle puede necesitarse si los encargados del Gobierno Corporativo incluyen miembros que no tienen una experiencia significativa de la industria de la entidad o en las áreas afectadas. La Administración y los encargados del Gobierno Corporativo pueden ya tener conocimiento de deficiencias significativas y de debilidades importantes que el auditor ha identificado durante la auditoría y pueden haber optado por no corregirlas debido al costo u otras consideraciones. En consecuencia, los requerimientos de comunicar las deficiencias significativas y las debilidades importantes de los párrafos 11–12 son aplicables, independientemente del costo u otras consideraciones que la Administración y los encargados del Gobierno Corporativo puedan considerar pertinentes al determinar si corrigen tales deficiencias. Para las deficiencias significativas y debilidades importantes, es probable que el nivel apropiado sea el ejecutivo máximo o el ejecutivo financiero principal (o sus equivalentes) debido a que estos asuntos también requieren ser comunicados a los encargados del Gobierno Corporativo.
La Sección AU 250, Consideración de Leyes y Regulaciones en una Auditoría de Estados Financieros, establece requerimientos y proporciona guías sobre cómo informar los incumplimientos identificados o la sospecha de incumplimiento de leyes y regulaciones, incluyendo cuando los mismos encargados del Gobierno Corporativo están involucrados en tales incumplimientos.(5) La Sección AU 240, Consideración de Fraude en una Auditoría de Estados Financieros, establece los requerimientos y proporciona guías respecto a comunicaciones a los encargados del Gobierno Corporativo cuando el auditor ha identificado o sospecha de un fraude que involucra a la Administración.(6) Comunicar las otras deficiencias en el control interno a la Administración (Ver párrafo 12(b))
A24
Durante la auditoría, el auditor puede identificar otras deficiencias en el control interno que no son deficiencias significativas o debilidades importantes que puedan tener suficiente importancia para ameritar la atención de la Administración. Además, las leyes y las regulaciones pueden requerir que los auditores informen sobre aspectos más amplios del control interno (por ejemplo, controles relacionados con el cumplimiento con leyes, regulaciones o cláusulas de contratos o acuerdos de subvenciones).(7) Contenido de las comunicaciones escritas sobre deficiencias significativas y debilidades importantes en el control interno (Ver párrafos 14-16) .
A29
El siguiente es un ejemplo de tal párrafo: La respuesta por escrito de la Compañía ABC a las deficiencias significativas (y debilidades importantes) identificadas en nuestra auditoría (8) Ver párrafo 8 de la Sección AU 905, Alertas que Restringen el Uso de las Comunicaciones Escritas del Auditor. No fue sujeta a los procedimientos de auditoría aplicados en la auditoría de los estados financieros y, en consecuencia, no expresamos una opinión sobre ésta. Una comunicación por escrito indicando que ninguna debilidad importante fue identificada durante la auditoría no proporciona ninguna seguridad respecto a la efectividad del control interno de una entidad sobre el proceso de preparación y presentación de información financiera. Los siguientes son ejemplos de circunstancias que pueden ser deficiencias, deficiencias significativas o debilidades importantes: Deficiencias en el diseño de los controles Los siguientes son ejemplos de circunstancias que pueden ser deficiencias, deficiencias significativas o debilidades importantes relacionadas con el diseño de los controles: Diseño inadecuado de los controles sobre la preparación de los estados financieros que están siendo auditados. Ausencia de un proceso interno para informar oportunamente a la Administración de las deficiencias en el control interno. Por ejemplo, supongamos que una compañía utiliza dispositivos de seguridad para proteger sus existencias (controles preventivos) y también realiza recuentos físicos periódicos (control detectivo) en forma oportuna en relación con la preparación y presentación de su información financiera.