De-la-teoria-a-la-practica-claves-para-realizar-una-exitosa-evaluacion-de-riesgos-en-las-auditorias

Page 1


De la teoría a la práctica:

Claves para realizar una exitosa evaluación de riesgos en las auditorías

Identificación y evaluación de riesgo de error material

• El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debido a fraude o error, en los EF y en las afirmaciones mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material.

Riesgo significativo:

Riesgo identificado y valorado de incorrección material que, a juicio del auditor, requiere una consideración especial en la auditoría.

NIA 315 – Identificación y evaluación de riesgo de error material

Principais procedimientos de valoración del riesgo que el auditor debe aplicar:

1.Indagaciones ante la dirección, ante las personas adecuadas de la función de auditoría interna (en caso de que exista esta función) y ante otras personas de la entidad que, a juicio del auditor, puedan disponer de información que pueda facilitar la identificación de los riesgos de incorrección material, debida a fraude o error;

2.Observación e inspección;

3.Procedimientos analíticos;

Secuencia de procedimentos para evaluación de riesgos

Entender la entidad y su entorno

Indagar con la Admin. quiénes están a cargo del Gobierno Corporativo y Otros

Entender el control interno de la entidad sobre el Reporte Financiero

Desarrollar procedimiento de Revisión

Analítica sobre información financiera y no financiera

Considerar y revisar otras informaciones relevantes

Realizar una agenda para discusión de evaluación de los riesgos con la alta administración

Leer los libros de actas

El

conocimiento requerido de la entidad y su entorno, incluido su control interno

Factores relevantes sectoriales y normativos, así como otros factores externos, incluido el marco de información financiera aplicable

01

02

La naturaleza de la entidad: (i) sus operaciones; (ii) (sus estructuras de gobierno y propiedad; (iii) los tipos de inversiones que la entidad realiza o tiene previsto realizar; y (iv) el modo en que la entidad se estructura y la forma en que se financia.

La entidad y su entorno

03

La selección y aplicación de políticas , incluidos cambios y motivos de cambios, si aplicable.. Evaluar si las políticas contables son adecuadas a sus actividades y consistentes con el marco de información financiera aplicable, así como con las normas y políticas contables utilizadas en el sector correspondiente.

04

05

Los objetivos y las estrategias, así como los riesgos de negocio relacionados, que puedan dar lugar a incorrecciones materiales

La medición y revisión del resultado financiero de la entidad.

Quién es el gobierno corporativo y otros

• Presidente/Gerente

General

• Junta Directiva

• Auditoría Interna

• Miembros de Comités

Administración y Gobierno Corporativo • Vicepresidentes

Abogados

Gerentes

Controller Financiero

Otros miembros claves

Control interno sobre el reporte financiero

Ambiente de Control

Etica e Integridad

Evaluación de Riesgos de la Entidad Monitoreo

Objetivos

Encargados del Gobierno Corporativo

Responsabilidad y Autoridad

Identificación/Análisis de riesgos

Principales actividades de monitoreo del control interno

Información y Comunicación

Comunicación al interior de la entidad

Fraude

Personal competente

Cultura organizacional

Evaluación de los cambios

Acciones de remediación de las deficiencias

Comunicación entre la Administración y los Encargados del Gobierno Corporativo Comunicación con las partes relacionadas

Secuencia de procedimentos para evaluación de riesgos

Entender la entidad y su entorno

Indagar con la Admin. quiénes están a cargo del Gobierno Corporativo y Otros

Entender el control interno de la entidad sobre el Reporte Financiero

Desarrollar procedimiento de Revisión Analítica sobre información financiera y no financiera

Considerar y revisar otras informaciones relevantes

Realizar una agenda para discusión de evaluación de los riesgos con la alta administración

Leer los libros de actas

Identificar y evaluar los riesgos de errores materiales

Diseñar las respuestas de auditoría

Factores de riesgo – Cualitativos / Cuantitativos

Naturaleza de la cuenta o revelación

Susceptibilidad debido a un error

Volumen de actividades y homogeneidad de las transacciones

Susceptibilidad a un error debido a sesgo de la administración u otros factores de fraude

Tamaño y composición de la cuenta

Incertidumbre

Complejidad en la contabilidad, reporte y transacción

Relacionado con cambios significativos económicos, contables o desarrollos

Posibilidad de pasivos contingentes significativos e exposición de perdidas en la cuenta

Existencia de transacciones con partes relacionadas en la cuenta

Cambios en las características de periodos anteriores en la cuenta o revelación

Como determinar los riesgos significativos

Para juzgar los riesgos que son significativos, el auditor considerará, al menos, lo siguiente:

• Si se trata de un riesgo de fraude

• Si el riesgo está relacionado con significativos y recientes acontecimientos económicos, contables o de otra naturaleza y, en consecuencia, requiere una atención especial;

• Si el riesgo afecta a transacciones significativas con partes vinculadas

• El grado de subjetividad en la medición de la información financiera relacionada con el riesgo, en especial aquellas mediciones que conllevan un elevado grado de incertidumbre

• La complejidad de las transacciones

• Si el riesgo afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad, o que, por otras razones, parecen inusuales

3

2

1

Identificar los riesgos de errores

Evaluar los riesgos de error a nivel de EFs

Evaluar los tipos de errores potenciales

4 5

Evaluar la probabilidad y magnitud de los errores potenciales para determinar los riesgos de errores materiales y evaluar el Riesgo Inherente.

Identificar las cuentas y revelaciones significativas; y aseveraciones relevantes

6

Determinar si alguno de los riesgos de error material son riesgos significativos|

Identificar las cuentas y revelaciones significativas; y aseveraciones relevantes

Identificar las clases significativas de transacciones y aplicaciones relacionadas

Entender los Controles generales de IT (GITCs)

Entender los flujos de transacciones e identificar los puntos de riesgo del proceso y los controles relevantes.

Diseñar y ejecutar las pruebas de GITCs

Evaluar los GITCs

Realizar las pruebas de recorrido Seleccionar los controles a probar

Definición: Cuentas y revelaciones significativas y aseveraciones relevantes son aquellas que tienen una posibilidad razonable de contener un error material

Cases para discusión

¿Que diferencia existe entre riesgo de auditoría, riesgo inherente y riesgo de control?

Cartera de prestamo
Inventario

Entendimiento del fraude (NIA 240)

Por que alguien podría cometer fraude

El estado mental que ayuda a justificar cometer fraude

Ej. La actitud de la gerencia de que la entidad cumplirá sus objetivos a cualquier costo, o Su justificación de que la fraude no daña a nadie.

Actitud o Racionalización

Incentivo /

Incentivo /

Ej. Un empleado puede estar en dificultad financiera, o la gerencia está bajo presión extrema para cumplir los objetivos financieros

Presión

Presión

Fraude

Oportunidad

El 'escenario' que ayuda a alguien cometer fraude

Ej. Controles mal diseñados o la persona esta en un puesto de confianza o tiene conocimiento de deficiencias en el control interno

Retos prácticos en la evaluación y documentación del riesgo de fraude

Falta de documentación explicando a la ausencia de riesgo de fraude (entidad y en los componentes).

Falta de documentación del por qué un riesgo de fraude no existe para ciertas cuentas contables a pesar de tener factores similares a otras cuentas que si tiene el riesgo de fraude.

Se refuta el riesgo de fraude en cuentas contables, en especial ingresos, pero no es justificado y documentado..

Inconsistencias con las conclusiones de riesgo de fraude y el enfoque de las pruebas de lanzamientos de diarios.

Considere el fraude a lo largo de la auditoría

. Fuera del proceso de evaluación de riesgo, considere que puede haber otros requerimientos de documentación cuando se identifican el fraude o los factores de riesgo de fraude.

Generalidades de Ciberseguridad

¿Qué son los riesgos e incidentes de ciberseguridad?

• Los riesgos de ciberseguridad están relacionados con el acceso no autorizado a los sistemas informáticos.

• Los incidentes de ciberseguridad son ataques intencionados o eventos no intencionados por los que usuarios no autorizados acceden a sistemas de TI para interrumpir operaciones, corromper datos, robar información sensible o provocar la denegación de servicio en sitios web.

¿Obtenendo el entendimento de la evaluación de riesgo de ciberseguridad?

Cómo la entidad valora el proceso de evaluación de riesgos de ciberseguridad en toda la entidad?

¿Cómo ha evaluado la entidad sus controles internos en relación con los riesgos derivados de los fraudes relacionados con la ciberseguridad (por ejemplo, estafas BEC (Business Email Compromise), suplantación de identidad, phishing, etc.)?

¿Cómo la entidad analiza y valora la importancia de los riesgos para la información financiera?

¿Cómo sabría la entidad, en el momento oportuno, si sus aplicaciones informáticas, bases de datos, sistemas operativos y/o red han sido objeto de un incidente de ciberseguridad que pudiera afectar la integridad de la información utilizada en el proceso de elaboración de informes financieros?

¿Se ha producido algún incidente de ciberseguridad en la entidad durante el periodo o en periodos anteriores que afecte al periodo actual?

¿Cómo identifica, evalúa y responde la entidad a los riesgos relacionados con ataques perpetrados mediante estafas BEC o rutinas de suplantación de identidad o phishing?

Procedimientos

de Auditoria - Ciberseguridad

¿Qué procedimientos podemos llevar a cabo si un incidente de ciberseguridad llega a nuestro conocimiento en el transcurso de la auditoría?

Obtener un entendimiento de la naturaleza, magnitud, duración del incidente de ciberseguridad (…) e impacto en la información financiera.

Determinar si se ha identificado alguna deficiencia de control como resultado de un incidente de ciberseguridad y evaluarla de acuerdo con la actividad "Identificar y evaluar las deficiencias de controles".

Reevaluar si se justifica seguir confiando en las actividades de control automatizadas y, en caso afirmativo, si se deben probar actividades de controles de procesos o GITC adicionales.

Considerar las implicaciones contables y de información financiera relacionadas con un incidente de ciberseguridad, determinar procedimientos sustantivos adicionales

Identificar y reevaluar el riesgo de incorrecciones materiales, si aplicable

Sostenibilidad y Cambios climaticos

ESG: Riesgos y oportunidades

AAmbiental / Social / Gobernanza

Medio ambiente: cómo actúa una empresa en su papel de administrador de la naturaleza, como el uso de energía, las prácticas de reciclaje y la evaluación de los riesgos ambientales y cómo la empresa los gestiona..

SSocial: examina qué tan bien una empresa gestiona las relaciones con los empleados, proveedores, clientes y la comunidad…

GGobernanza: preocupaciones con el liderazgo de una empresa, los controles internos, la remuneración de los ejecutivos, las auditorías y los derechos de los accionistas…

Tipo de información y Standares de Aseguramiento - ESG

Asunto: Informes de sostenibilidad

ISAE 3000 (Revised)

Asunto: Estados de gases de efecto invernadero (GHG)

Estándares aplicables

ISAE 3000 (Revised) ISAE 3410

• La evaluación de Riesgos es un proceso iterativo;

• La evaluación de riesgos ocurre a través de toda la auditoría y los auditores deben evaluar continuamente si existen nuevas presiones u oportunidades basado en el ambiente económico cambiante o cambios en los procesos de negocio;

• De un paso atrás y evalúe, con un enfoque en fraude, si se requiere mayor trabajo;

• Aplique escepticismo profesional, esté atento a desviaciones, y mantenga una mente cuestionadora;

• Introduzca imprevisibilidad en las áreas de auditoria más allá de los lanzamientos de diarios;

• Enfoque en los controles a nivel entidad incluyendo el tono de alto nivel y sus procesos para investigar denuncias;

• Considere como la compañía piensa internamente sobre fraude en su evaluación de riesgos y controles.

Gracias! Obrigada!

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.