Introducción

El objetivo de una auditoría de estados financieros realizada conforme a las Normas Internacionales de Auditoria (NIA) es, emitir una opinión sobre si la información financiera de una Entidad se presenta razonablemente conforme a las Normas de Información Financiera (NIF) aplicables; para cumplir con este, el auditor debe obtener una comprensión del control interno de la empresa para así poder diseñar los procedimientos de auditoría adecuados para el encargo.

El auditor no es responsable de opinar sobre la efectividad del control interno, sin embargo, en caso de detectar una deficiencia al mismo dentro de sus pruebas, debe comunicarla a los encargados de gobierno de la Entidad.

NIA 265

La NIA 265, relata la responsabilidad que tiene el auditor de comunicar las deficiencias de control interno a la dirección y en su caso, a los encargados de gobierno, y establece que el auditor, atendiendo a su juicio profesional, decidirá hasta que nivel de administración debe comunicar dichas deficiencias.

La deficiencia de un control interno significa que, un control está diseñado, está implementado y operado, pero, aun así, no sirve para prevenir, detectar o corregir incorrecciones en los estados financieros oportunamente.

En este sentido, las entidades pueden tener diversos controles para las distintas actividades que desarrollan, y estos pueden realizarse por las personas tal y como la administración deseó que se hiciera; sin embargo, si estos no son capaces de prevenir, detectar o corregir errores en la información financiera, serán deficientes.

Por lo que, un control puede ser deficiente desde su creación, aun y cuando el auditor no hubiera detectado una incorrección en la información financiera de la entidad.

Deficiencia significativa en el control interno

Una deficiencia significativa en el control interno es aquella que, según el juicio del auditor, tiene la suficiente importancia como para comunicarla a los encargados de gobierno de la entidad.

La NIA 265 otorga las bases para catalogar una deficiencia como significativa, el auditor debe evaluar si la deficiencia en el control tiene un impacto en la información financiera y a su vez, si existe el riesgo de una incorrección material que pueda llevar a los usuarios de los estados financieros a una interpretación errónea de la información.

Consideraciones del auditor

Como apoyo para la determinación antes mencionada el auditor puede considerar las siguientes cuestiones:

  • La probabilidad de que las deficiencias den lugar en el futuro a incorrecciones materiales en los estados financieros
  • La exposición del activo o pasivo correspondiente a pérdida o fraude
  • La subjetividad y complejidad a la hora de determinar cantidades estimadas, como, por ejemplo, las estimaciones contables a valor razonable.
  • Las cantidades en los estados financieros que podrían estar afectadas por las deficiencias.
  • El movimiento que se ha producido o podría producirse en el saldo de las cuentas o los tipos de transacciones que
    • podrían estar afectados por la deficiencia o deficiencias.
  • La importancia de los controles en relación con el proceso de información financiera; por ejemplo:
    • Controles generales de seguimiento.
    • Controles sobre la prevención y detección del fraude.
    • Controles sobre la selección y aplicación de políticas contables significativas.
    • Controles sobre las transacciones significativas con partes vinculadas.
    • Controles sobre las transacciones significativas ajenas al curso normal del negocio de la Entidad.
    • Controles sobre el proceso de información financiera al cierre del periodo.
  • La causa y frecuencia de las excepciones detectadas como consecuencia de las deficiencias de los controles.
  • La interacción de la deficiencia con otras deficiencias en el control interno.

Existen deficiencias significativas en los controles

El auditor debe estar atento a la presencia de situaciones que lo pudieran llevar a concluir que existen deficiencias significativas en los controles, tales como:

  • Indicios de que los responsables de gobierno no están examinando adecuadamente las transacciones significativas.
  • La falta de implementación de medidas correctivas de deficiencias comunicadas anteriormente.
  • La ausencia de un proceso de valoración de riesgos o ausencia de controles sobre riesgos identificados.
  • La evidencia de que la dirección no es capaz de supervisar la preparación de estados financieros.

TIPOS Y MOMENTOS DE COMUNICACIÓN

El informe de las deficiencias detectadas puede realizarse de manera verbal o escrita; la NIA 265 establece que las deficiencias significativas deben comunicarse siempre por escrito aún y cuando ya se hubieran transmitido de manera verbal. Las deficiencias pueden ser detectadas en cualquier etapa del trabajo.

El auditor determinará con base en su juicio profesional el momento en que entregará de manera escrita las deficiencias a la administración; para esto, debemos tener en mente que la comunicación de las deficiencias de los controles forma parte de la evidencia de auditoría y, por lo tanto, debe quedar archivada junto con toda la documentación del trabajo.

La NIA 230 establece que un periodo máximo para compilar el archivo final de auditoría la debe ser de 60 días después de la emisión del informe.

Se recomienda que los hallazgos se informen de manera verbal lo antes posible a la administración, con el objeto de que se puedan tomar las medidas necesarias para corregir la situación, antes de que se sigan cometiendo errores y estos generen incorreciones materiales.

Cuando el auditor detecte que los encargados de gobierno no han realizado correcciones a las deficiencias significativas comunicadas en un año anterior, estas deficiencias deben volver a comunicarse en el año actual.

REQUISITOS

El auditor deberá incluir en su informe de hallazgos al control interno lo siguiente:

  • Una descripción de las deficiencias y una explicación de sus posibles efectos.
  • Información suficiente para permitir a los responsables del gobierno de la entidad y a la dirección comprender el contexto de la comunicación.
  • En especial, el auditor deberá resaltar que:
    • El propósito de la auditoría era expresar una opinión sobre los estados financieros.
    • La auditoría tuvo en cuenta el control interno relevante para la preparación de los estados financieros con el fin de diseñar los procedimientos de auditoría adecuados a las circunstancias, y no con la finalidad de expresar una opinión sobre la eficacia del control interno.
    • Las cuestiones sobre las que se informa se limitan a las deficiencias que el auditor ha identificado durante la realización de la auditoría y sobre las que el auditor ha llegado a la conclusión de que tienen importancia suficiente para merecer ser comunicadas a los responsables del gobierno de la entidad.

CONCLUSIONES

Ante las disposiciones de la NIA 265 se puede concluir que, el auditor no tiene responsabilidad de opinar sobre la eficacia del control interno de la Entidad, sin embargo, si ha detectado deficiencias y más aún, si estas son significativas, sí está obligado a comunicarlas al nivel adecuado de la administración de manera escrita con la oportunidad que el mismo determine.

También, debemos tomar en cuenta que cuando el auditor inicie la revisión de una Entidad que ya ha auditado el año anterior, deberá prestar atención a las comunicaciones con el objetivo de asegurarse de que los encargados de gobierno han corregido las deficiencias encontradas y en caso de no haberlo hecho, estas deben volver a resaltarse.