De la teoría a la práctica:
Claves para realizar una exitosa evaluación de riesgos en las auditorías
Identificación y evaluación de riesgo de error material
• El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debido a fraude o error, en los EF y en las afirmaciones mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material.
Riesgo significativo:
Riesgo identificado y valorado de incorrección material que, a juicio del auditor, requiere una consideración especial en la auditoría.
NIA 315 – Identificación y evaluación de riesgo de error material
Principais procedimientos de valoración del riesgo que el auditor debe aplicar:
1.Indagaciones ante la dirección, ante las personas adecuadas de la función de auditoría interna (en caso de que exista esta función) y ante otras personas de la entidad que, a juicio del auditor, puedan disponer de información que pueda facilitar la identificación de los riesgos de incorrección material, debida a fraude o error;
2.Observación e inspección;
3.Procedimientos analíticos;
Secuencia de procedimentos para evaluación de riesgos
Entender la entidad y su entorno
Indagar con la Admin. quiénes están a cargo del Gobierno Corporativo y Otros
Entender el control interno de la entidad sobre el Reporte Financiero
Desarrollar procedimiento de Revisión
Analítica sobre información financiera y no financiera
Considerar y revisar otras informaciones relevantes
Realizar una agenda para discusión de evaluación de los riesgos con la alta administración
Leer los libros de actas
El
conocimiento requerido de la entidad y su entorno, incluido su control interno
Factores relevantes sectoriales y normativos, así como otros factores externos, incluido el marco de información financiera aplicable
01
02
La naturaleza de la entidad: (i) sus operaciones; (ii) (sus estructuras de gobierno y propiedad; (iii) los tipos de inversiones que la entidad realiza o tiene previsto realizar; y (iv) el modo en que la entidad se estructura y la forma en que se financia.
La entidad y su entorno
03
La selección y aplicación de políticas , incluidos cambios y motivos de cambios, si aplicable.. Evaluar si las políticas contables son adecuadas a sus actividades y consistentes con el marco de información financiera aplicable, así como con las normas y políticas contables utilizadas en el sector correspondiente.
04
05
Los objetivos y las estrategias, así como los riesgos de negocio relacionados, que puedan dar lugar a incorrecciones materiales
La medición y revisión del resultado financiero de la entidad.
Quién es el gobierno corporativo y otros
• Presidente/Gerente
General
• Junta Directiva
• Auditoría Interna
• Miembros de Comités
Administración y Gobierno Corporativo • Vicepresidentes
Abogados
Gerentes
Controller Financiero
Otros miembros claves
Control interno sobre el reporte financiero
Ambiente de Control
Etica e Integridad
Evaluación de Riesgos de la Entidad Monitoreo
Objetivos
Encargados del Gobierno Corporativo
Responsabilidad y Autoridad
Identificación/Análisis de riesgos
Principales actividades de monitoreo del control interno
Información y Comunicación
Comunicación al interior de la entidad
Fraude
Personal competente
Cultura organizacional
Evaluación de los cambios
Acciones de remediación de las deficiencias
Comunicación entre la Administración y los Encargados del Gobierno Corporativo Comunicación con las partes relacionadas
Secuencia de procedimentos para evaluación de riesgos
Entender la entidad y su entorno
Indagar con la Admin. quiénes están a cargo del Gobierno Corporativo y Otros
Entender el control interno de la entidad sobre el Reporte Financiero
Desarrollar procedimiento de Revisión Analítica sobre información financiera y no financiera
Considerar y revisar otras informaciones relevantes
Realizar una agenda para discusión de evaluación de los riesgos con la alta administración
Leer los libros de actas
Identificar y evaluar los riesgos de errores materiales
Diseñar las respuestas de auditoría
Factores de riesgo – Cualitativos / Cuantitativos
Naturaleza de la cuenta o revelación
Susceptibilidad debido a un error
Volumen de actividades y homogeneidad de las transacciones
Susceptibilidad a un error debido a sesgo de la administración u otros factores de fraude
Tamaño y composición de la cuenta
Incertidumbre
Complejidad en la contabilidad, reporte y transacción
Relacionado con cambios significativos económicos, contables o desarrollos
Posibilidad de pasivos contingentes significativos e exposición de perdidas en la cuenta
Existencia de transacciones con partes relacionadas en la cuenta
Cambios en las características de periodos anteriores en la cuenta o revelación
Como determinar los riesgos significativos
Para juzgar los riesgos que son significativos, el auditor considerará, al menos, lo siguiente:
• Si se trata de un riesgo de fraude
• Si el riesgo está relacionado con significativos y recientes acontecimientos económicos, contables o de otra naturaleza y, en consecuencia, requiere una atención especial;
• Si el riesgo afecta a transacciones significativas con partes vinculadas
• El grado de subjetividad en la medición de la información financiera relacionada con el riesgo, en especial aquellas mediciones que conllevan un elevado grado de incertidumbre
• La complejidad de las transacciones
• Si el riesgo afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad, o que, por otras razones, parecen inusuales
3
2
1
Identificar los riesgos de errores
Evaluar los riesgos de error a nivel de EFs
Evaluar los tipos de errores potenciales
4 5
Evaluar la probabilidad y magnitud de los errores potenciales para determinar los riesgos de errores materiales y evaluar el Riesgo Inherente.
Identificar las cuentas y revelaciones significativas; y aseveraciones relevantes
6
Determinar si alguno de los riesgos de error material son riesgos significativos|
Identificar las cuentas y revelaciones significativas; y aseveraciones relevantes
Identificar las clases significativas de transacciones y aplicaciones relacionadas
Entender los Controles generales de IT (GITCs)
Entender los flujos de transacciones e identificar los puntos de riesgo del proceso y los controles relevantes.
Diseñar y ejecutar las pruebas de GITCs
Evaluar los GITCs
Realizar las pruebas de recorrido Seleccionar los controles a probar
Definición: Cuentas y revelaciones significativas y aseveraciones relevantes son aquellas que tienen una posibilidad razonable de contener un error material
Cases para discusión
¿Que diferencia existe entre riesgo de auditoría, riesgo inherente y riesgo de control?
Entendimiento del fraude (NIA 240)
Por que alguien podría cometer fraude
El estado mental que ayuda a justificar cometer fraude
Ej. La actitud de la gerencia de que la entidad cumplirá sus objetivos a cualquier costo, o Su justificación de que la fraude no daña a nadie.
Actitud o Racionalización
Incentivo /
Incentivo /
Ej. Un empleado puede estar en dificultad financiera, o la gerencia está bajo presión extrema para cumplir los objetivos financieros
Presión
Presión
Fraude
Oportunidad
El 'escenario' que ayuda a alguien cometer fraude
Ej. Controles mal diseñados o la persona esta en un puesto de confianza o tiene conocimiento de deficiencias en el control interno
Retos prácticos en la evaluación y documentación del riesgo de fraude
Falta de documentación explicando a la ausencia de riesgo de fraude (entidad y en los componentes).
Falta de documentación del por qué un riesgo de fraude no existe para ciertas cuentas contables a pesar de tener factores similares a otras cuentas que si tiene el riesgo de fraude.
Se refuta el riesgo de fraude en cuentas contables, en especial ingresos, pero no es justificado y documentado..
Inconsistencias con las conclusiones de riesgo de fraude y el enfoque de las pruebas de lanzamientos de diarios.
Considere el fraude a lo largo de la auditoría
. Fuera del proceso de evaluación de riesgo, considere que puede haber otros requerimientos de documentación cuando se identifican el fraude o los factores de riesgo de fraude.
Generalidades de Ciberseguridad
¿Qué son los riesgos e incidentes de ciberseguridad?
• Los riesgos de ciberseguridad están relacionados con el acceso no autorizado a los sistemas informáticos.
• Los incidentes de ciberseguridad son ataques intencionados o eventos no intencionados por los que usuarios no autorizados acceden a sistemas de TI para interrumpir operaciones, corromper datos, robar información sensible o provocar la denegación de servicio en sitios web.
¿Obtenendo el entendimento de la evaluación de riesgo de ciberseguridad?
Cómo la entidad valora el proceso de evaluación de riesgos de ciberseguridad en toda la entidad?
¿Cómo ha evaluado la entidad sus controles internos en relación con los riesgos derivados de los fraudes relacionados con la ciberseguridad (por ejemplo, estafas BEC (Business Email Compromise), suplantación de identidad, phishing, etc.)?
¿Cómo la entidad analiza y valora la importancia de los riesgos para la información financiera?
¿Cómo sabría la entidad, en el momento oportuno, si sus aplicaciones informáticas, bases de datos, sistemas operativos y/o red han sido objeto de un incidente de ciberseguridad que pudiera afectar la integridad de la información utilizada en el proceso de elaboración de informes financieros?
¿Se ha producido algún incidente de ciberseguridad en la entidad durante el periodo o en periodos anteriores que afecte al periodo actual?
¿Cómo identifica, evalúa y responde la entidad a los riesgos relacionados con ataques perpetrados mediante estafas BEC o rutinas de suplantación de identidad o phishing?
Procedimientos
de Auditoria - Ciberseguridad
¿Qué procedimientos podemos llevar a cabo si un incidente de ciberseguridad llega a nuestro conocimiento en el transcurso de la auditoría?
Obtener un entendimiento de la naturaleza, magnitud, duración del incidente de ciberseguridad (…) e impacto en la información financiera.
Determinar si se ha identificado alguna deficiencia de control como resultado de un incidente de ciberseguridad y evaluarla de acuerdo con la actividad "Identificar y evaluar las deficiencias de controles".
Reevaluar si se justifica seguir confiando en las actividades de control automatizadas y, en caso afirmativo, si se deben probar actividades de controles de procesos o GITC adicionales.
Considerar las implicaciones contables y de información financiera relacionadas con un incidente de ciberseguridad, determinar procedimientos sustantivos adicionales
Identificar y reevaluar el riesgo de incorrecciones materiales, si aplicable
Sostenibilidad y Cambios climaticos
ESG: Riesgos y oportunidades
AAmbiental / Social / Gobernanza
Medio ambiente: cómo actúa una empresa en su papel de administrador de la naturaleza, como el uso de energía, las prácticas de reciclaje y la evaluación de los riesgos ambientales y cómo la empresa los gestiona..
SSocial: examina qué tan bien una empresa gestiona las relaciones con los empleados, proveedores, clientes y la comunidad…
GGobernanza: preocupaciones con el liderazgo de una empresa, los controles internos, la remuneración de los ejecutivos, las auditorías y los derechos de los accionistas…
Tipo de información y Standares de Aseguramiento - ESG
Asunto: Informes de sostenibilidad
ISAE 3000 (Revised)
Asunto: Estados de gases de efecto invernadero (GHG)
Estándares aplicables
ISAE 3000 (Revised) ISAE 3410
• La evaluación de Riesgos es un proceso iterativo;
• La evaluación de riesgos ocurre a través de toda la auditoría y los auditores deben evaluar continuamente si existen nuevas presiones u oportunidades basado en el ambiente económico cambiante o cambios en los procesos de negocio;
• De un paso atrás y evalúe, con un enfoque en fraude, si se requiere mayor trabajo;
• Aplique escepticismo profesional, esté atento a desviaciones, y mantenga una mente cuestionadora;
• Introduzca imprevisibilidad en las áreas de auditoria más allá de los lanzamientos de diarios;
• Enfoque en los controles a nivel entidad incluyendo el tono de alto nivel y sus procesos para investigar denuncias;
• Considere como la compañía piensa internamente sobre fraude en su evaluación de riesgos y controles.