Por: CP Alexander Camargo M.
Para la ejecución de las actividades de control, las compañías utilizan información que viene de diferentes fuentes y en formatos diversos. Información que debe ser entendida por el auditor en la realización de las pruebas de recorrido de los controles y consideradas en la re-ejecución de los controles en que planificamos confianza y efectuamos pruebas de eficacia operativa.
El nivel de documentación de las pruebas sobre esta información es más exigente cuando realizamos pruebas de controles en auditorias SOX. En donde además de las pruebas de integridad y precisión realizada a Información utilizada por la Entidad (IUE) se realizan también a la Información provista por la Entidad (IPE).
Las IPE, corresponde con la evidencia de la auditoría que es generada por la entidad y utilizada por los auditores para probar un control.
Aunque la diferencia entre IUE y las IPE parece ser sutil, es importante entender la diferencia. Pues para una IUC, la entidad deberá contar con verificaciones o controles establecidos para asegurar que esta información es completa y precisa, para las IPE, el auditor deberá realiza procedimientos que aseguren que la información en completa y precisa.
La PCAOB Public Company Accounting Oversight Board, en su estándar de auditoria AS No. 15, Evidencia de Auditoria en el parágrafo 10 “Usar Información producida por la Entidad”:
“Al utilizar información producida por la entidad como evidencia de auditoría, el auditor debe evaluar si la información es suficiente y adecuada para los fines de la auditoría mediante la aplicación de procedimientos para:
- Probar la exactitud e integridad de la información, o probar los controles sobre la exactitud e integridad de esa información; y
- Evaluar si la información es suficientemente precisa y detallada para efectos de la auditoría.”
Esta referencia a las auditorias SOX, no quiere decir que, en las ISA, no se encuentre requerimientos similares, revisemos la ISA 500 en su parágrafo
“Al utilizar información generada por la entidad, el auditor evaluará si, para sus fines, dicha información es suficientemente fiable, lo que comportará, según lo requieran las circunstancias:
(a) la obtención de evidencia de auditoría sobre la exactitud e integridad de la información; y (Ref: Apartados A49-A50)
(b) la evaluación de la información para determinar si es suficientemente precisa y detallada para los fines del auditor. (Ref: Apartado A51)”
Es decir que estemos frente a una auditoria SOX o una auditoria llevada a cabo de conformidad con las normas internacionales de auditoría, debemos ocuparnos por las IPE y IUE.
La información producida por la entidad y la información utilizada en los controles a menudo viene en forma de un informe. Los informes pueden ser generados por el sistema, preparados o una combinación de ambos (descarga de datos acumulados del sistema ingresados manualmente en una hoja de cálculo de Excel). Una entidad podría gastar mucho tiempo y dinero si intenta abordar la integridad y precisión de todos sus IPE e IUC en sus entornos de control. Para evitar gastar demasiado tiempo o dinero en esta área, una entidad generalmente se centrará más en los controles relevantes que respaldan sus requisitos para el cumplimiento de los controles internos contables.
La NIA 315 revisada respecto del conocimiento del control interno nos indica en el apartado A132:
“El sistema de control interno de la entidad incluye aspectos relacionados con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero también pueden incluir aspectos relacionados con sus objetivos operativo o de cumplimiento cuando dichos aspectos son relevantes para la información financiera.(…)”.
Un ejemplo de lo anterior son los controles sobre el cumplimiento de las disposiciones legales y reglamentarios pueden ser relevantes para la información financiera cuando dichos controles son relevantes para la preparación por la entidad de información a revelar en los estados financieros sobre contingencias.
Para iniciar el proceso de documentar los IUC e IPE, las entidades pueden priorizar los controles relevantes para centrarse en ellos y realizar el análisis de las IUC e IPE relacionadas. Es decir, para cada control identificado como relevante, enumerar exactamente cuáles son los documentos que se utilizan para ejecutar o realizar dichos controles. Esta información debe incluir cualquier documento de respaldo del que dependa el control.
Es probable que se requiera documentar los pasos que toman los ejecutores de los controles para documentar la integridad y precisión de la documentación de los que dependente los controles.
Mejorar la documentación de los controles asegura que los mismos son desarrollados en forma consistente asegurando que cumplen sus objetivos de control y además facilitan los procesos de auditoria.
CP Alexander Camargo M.
Contador Público, CFCS “Especialista Certificado en delitos financieros”, especialista en Control Interno de la Universidad Militar Nueva Granada, magíster en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Cuenta con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda.