Dentro de este artículo:
Derivado de los hallazgos de inspección realizados por los organismos reguladores y de supervisión de la auditoria, se destacaron problemas relacionados con las evaluaciones de riesgo de los auditores, incluido el trabajo realizado para comprender el control interno, la identificación de los riesgos significativos y las consideraciones y respuesta a los riesgos de Tecnología de la Información.
Por otro lado, la evolución y la naturaleza cada vez más compleja de los aspectos económicos, tecnológicos y regulatorios de los mercados y el entorno en el que operan las firmas de auditoría, y los desarrollos recientes relacionados con el control interno y otros marcos relevantes, han requerido proponer revisiones para ampliar la NIA 315, Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno.
Por lo anterior y, como parte de su estrategia y plan de trabajo 2015-2019 el International Auditing and Assurance Standard Board (IAASB, por sus siglas en inglés) aprobó un proyecto para revisar la NIA 315 vigente (el periodo de auscultación concluyó en noviembre de 2018).
El objetivo de la norma revisada es aclarar ciertos aspectos de la identificación y evaluación de los riesgos de errores materiales con el fin de impulsar mejores y más consistentes evaluaciones de riesgo y la calidad de las auditorías en general.
La propuesta de modificaciones se basa en cuatro temas generales y sus correspondientes secciones, como sigue:
Interés público
El IAASB considera que algunas de las consideraciones para entidades que son más pequeñas y menos complejas pueden ser aplicables en auditorías de entidades más grandes y menos complejas y viceversa. Este enfoque tiene como objetivo demostrar la escalabilidad en ambas direcciones, en relación con la naturaleza, oportunidad y alcance de los procedimientos de evaluación de riesgos del auditor.
Por otro lado, se reconoce la importancia del uso de herramientas y técnicas automatizadas para el análisis de datos aunque se entiende la necesidad de no convertir su uso en un “requerimiento obligatorio” al no estar disponibles para todos los auditores. El enfoque debe estar en recopilar evidencia de auditoría suficiente y apropiada. Por lo tanto, el IAASB decidió incorporar el término “herramientas y técnicas automatizadas”, como las aplicaciones de inteligencia artificial, los procesos de automatización, robótica y uso de drones al obtener y analizar la evidencia de auditoria.
De igual forma, se deposita un énfasis especifico en cuanto a las consideraciones significativas que debe seguir el auditor en busca de la comprensión y entendimiento de los controles generales de Tecnologías de Información (TI) a través de un anexo, como base para que el auditor identifique los riesgos de error importante que surgen del uso de TI por parte de la entidad.
La propuesta de modificación de la norma también contiene varias disposiciones clave que están diseñadas para mejorar el ejercicio del escepticismo profesional y fomentar la independencia mental por parte del auditor.
Comprensión de la entidad y su entorno
Las modificaciones propuestas pretenden aclarar el contexto
de la comprensión del marco de referencia de información financiera, e incluye mejoras
que requieren que el auditor
se centre en los motivos
de los cambios en las políticas contables de la entidad. Incorpora nuevos
conceptos como son los “factores de riesgo inherentes” (ej. complejidad,
subjetividad, incertidumbre, etc.), mismos
que se presentan a medida
que el auditor contempla los riesgos potenciales que surgen de la
aplicación del marco de referencia de información financiera aplicable.
El auditor deberá obtener un entendimiento de la entidad y su entorno aplicable al marco de información financiera, respecto de la clase transacciones, saldos de balance y la expectativa de revelaciones en los estados financieros, e incluye: (1) la estructura de organización; (2) su gobierno corporativo; (3) el modelo de negocio y (4) el alcance en el uso de TI, además de aspectos relevantes de la industria, factores externos, el uso de mediciones internas y externas para evaluar el desempeño financiero, etc.
Lo anterior en el contexto, naturaleza y circunstancias de cada entidad y su entorno, incluyendo los eventos y condiciones que están sujetas a los “factores de riesgo inherentes” y cualquier cambio en las políticas contables y la razón de los mismos.
Comprensión del sistema de control interno de la entidad
Se aclaran ciertos conceptos a través de definiciones explicitas (ej. controles) y se proponen revisiones para apoyar al auditor a que logre el entendimiento requerido en los cinco componentes del control interno, tres indirectos y dos directos, como sigue:
Controles Indirectos – Controles que generalmente no abordan directamente los riesgos de errores significativos en el nivel de aseveración:
- Entorno o ambiente de control;
- Proceso de evaluación de riesgos de la entidad; y
- El proceso de la entidad para monitorear el sistema de control interno
Controles directos – Controles que abordan directamente los riesgos de errores significativos a nivel de aseveración:
- Componentes de sistema de información y comunicación; y
- Actividades de control «Controles relevantes para la auditoría»
De igual forma, se proponen mejoras significativas a las consideraciones de TI por ser el medio del cual se obtiene evidencia de auditoria, incluida la forma en que se mantiene la integridad de la información, que incluye ejemplos sobre:
- Que documentar en relación con el entorno de TI (aplicaciones, infraestructura, etc.).
- Asuntos dentro del entorno de TI, que pueden ser relevantes para determinar las aplicaciones de TI y otros aspectos de su entorno que relevantes para la auditoria.
- Consideraciones del auditor en las que sistema de TI consiste en software comercial vs aplicaciones de TI altamente personalizadas.
La norma revisada considera que no es necesario que el auditor identifique los riesgos que surgen del uso de TI o de los controles generales de TI a menos de que haya aplicaciones de TI que se determinen como relevantes, considerando cuatro criterios específicos.
Identificación y evaluación del riesgo de error material
El IAASB ha introducido nuevas definiciones (mejorado algunas
otras), como son: Factores de riesgo
inherentes, afirmaciones relevantes, clases significativas de transacciones,
saldos o revelaciones, espectro de riesgo inherente, entre otras.
Algunos de estos nuevos conceptos de la propuesta de modificación a la NIA 315 ya se aprobaron en la versión revisada de la NIA 540 (revisada), Estimaciones contables y revelaciones relacionadas.
El IAASB acordó, en general, que también debería requerirse una evaluación separada del riesgo de control y riesgo inherente, y que este cambio se haría inicialmente en la NIA 540. Se han incluido nuevos requisitos que abordan estas evaluaciones separadas del riesgo inherente y el riesgo de control en relación con todos los riesgos de error importante a nivel de aseveración.
Otros asuntos
Se acordó como un requisito explicito documentar los controles identificados como relevantes para la auditoria, además de documentar los juicios hechos por el auditor al identificar y evaluar los riesgos de error material, incluyendo la determinación de riesgos significativos.
Se incorporan anexos y se actualizan los existentes. El anexo 1 incluye asuntos que puede considerar el auditor al entender la entidad y su modelo de negocio, el anexo 2 se relaciona con el nuevo concepto de riesgo inherente y el anexo 3 se actualizó para incorporar los cambios realizados en el marco del modelo COSO 2013 (se agrega otro anexo para proporcionar un contexto adicional al comprender los controles generales de TI).
La propuesta de modificación a la NIA 315 tiene repercusiones en otras normas, por lo que proponen las mejoras correspondientes, principalmente en busca de lograr la consistencia.
Vigencia
La fecha de vigencias propuesta es para todos los ejercicios auditados que inicien a partir del 15 de diciembre de 2020.
Contenido relacionado