Riesgos y controles a auditar
RIESGOS Y CONTROLES
A AUDITAR
El riesgo de control es el riesgo de que una representación
errónea, que pudiera ser de importancia relativa individualmente o en conjunto
con otras, no sea prevenida o detectada y corregida oportunamente por los
sistemas de contabilidad y de control interno.
El riesgo de control es el riesgo causado por las limitaciones
inherentes a cualquier sistema de contabilidad y de control interno. Es
esencial tener en cuenta que el riesgo de control será diferente para
diferentes cuentas dependiendo de la eficacia de los controles relacionados con
cada una.
Evaluación preliminar del riesgo de control
Una vez que se han identificado los controles, las
deficiencias importantes, debilidades materiales y los objetivos de auditoría
relacionados con las operaciones, el auditor puede evaluar de manera preliminar
el riesgo de control al nivel de aseveración, para cada saldo de cuenta o clase
de transacciones.
La evaluación preliminar del riesgo de control es el proceso
de evaluar la efectividad de los sistemas de contabilidad y de control interno
de una entidad para prevenir o detectar y corregir representaciones erróneas de
importancia relativa.
La evaluación preliminar del riesgo de control para una
aseveración del estado financiero debería ser alta a menos que el auditor:
·
Pueda identificar controles internos relevantes
a la aseveración que sea probable que prevengan o detecten y corrijan una
representación errónea de importancia relativa.
·
Planee desempeñar pruebas de control para
soportar la evaluación.
Documentación de la comprensión y la evaluación del riesgo de
control
El auditor debe documentar en los papeles de trabajo de la
auditoría:
·
La comprensión obtenida de los sistemas de
contabilidad y de control interno de la entidad; y
·
La evaluación del riesgo de control.
Cuando el riesgo de control es evaluado como menos que alto,
el auditor debería documentar también la base para las conclusiones.
Pruebas de control
El auditor debe obtener evidencia de auditoría por medio de
pruebas de control para soportar cualquiera evaluación del riesgo de control
que sea menos que alto. Mientras más baja sea la evaluación del riesgo de
control, más soporte debería obtener el auditor de que los sistemas de
contabilidad y de control interno están adecuadamente diseñados y operando en
forma efectiva.
Basado en los resultados de las pruebas de control, el auditor
debe evaluar si los controles internos están diseñados y operando según se
contempló en la evaluación preliminar de riesgo de control. El hallazgo de
desviaciones puede dar como resultado que el auditor concluya que es necesario
modificar la evaluación del riesgo de control. En tales casos el auditor debe
modificar también la naturaleza, oportunidad y alcance de los procedimientos
sustantivos planeados.
Evidencia
El auditor debe utilizar procedimientos para obtener un
conocimiento del control interno, lo cual incluye reunir evidencia sobre el
diseño de controles internos y si se han puesto en operación. Por lo general,
son tres métodos los que utilizan los auditores para obtener y documentar su
conocimiento del diseño de control interno: las narrativas, los diagramas de flujo
y los cuestionarios de control interno (¿Desea saber más? Adicionalmente, el
auditor hace revisiones exhaustivas, revisa los datos de auditorías anteriores
y realiza pruebas de control y procedimientos sustantivos.
Comunicaciones
Como parte del conocimiento del control interno y la
evaluación del riesgo de control, se requiere que el auditor comunique las
deficiencias importantes y debilidades materiales por escrito al comité de
auditoría. Con frecuencia, esta información y otras recomendaciones
relacionadas con los controles también se comunican a la administración.
Evaluación final del riesgo de control
El auditor utiliza toda la información analizada para hacer
una evaluación subjetiva del riesgo de control para cada objetivo. Existen
diferentes formas de expresar esta evaluación. Algunos auditores utilizan una
expresión subjetiva como: alta, moderada o baja. Otros utilizan probabilidades
numéricas como 1.0, 0.6, o 0.2.
Antes de la conclusión de la auditoría y basado en los
resultados de los procedimientos sustantivos y de otra evidencia de auditoría
obtenida, el auditor debe revisar si la evaluación del riesgo de control fue
adecuada y presentar su concepto definitivo sobre el sistema de control
interno.
Comentarios
Publicar un comentario