Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Presupuesto y Gasto Público 91/2018: 153-168 Secretaría de Estado de Presupuestos y Gastos © 2018, Instituto de Estudios Fiscales Evaluación del control interno en la auditoría de cuentas MERCEDES E. LEBRANCÓN CORTÉS Intervención General de la Administración del Estado Ministerio de Hacienda Jefe de División de la Oficina Nacional de Auditoría Recibido: Abril 2018 Aceptado: Mayo 2018 Resumen Las sociedades modernas demandan cada vez más organizaciones y gestores públicos responsables, eficientes y eficaces en el manejo de los recursos que se les encomienda, sometidas a la obligación de rendición de cuentas y transparencia de la información que generan. Ello supone el establecimiento de sistemas de control que deben ser evaluados por los auditores públicos como palanca de mejora en la información que generan las entidades y en la generación de valor público. Palabras clave: Control interno, evaluación, rendición de cuentas, transparencia, riesgos financieros y gestión de riesgos, auditoría. Clasificación JEL: G32, M42. Abstract Modern societies increasingly demand public organizations and managers responsible, efficient and effective in the management of the resources entrusted to them, subject to the obligation of accountability and transparency of the information they generate. This implies the establishment of control systems that must be evaluated by public audi- tors as a lever to improve the information generated by the entities and in the generation of public value. Key words: Internal control, assesment, accountability, transparency, Financial Risk and Risk Management, Auditing. JEL Classification: G32, M42. 1. Introducción Una de las principales labores a las que se enfrenta cualquier auditor de cuentas anuales reside en el diseño de la estrategia global de auditoría, como mecanismo para optimizar su labor como profesional que emite una opinión cualificada, sometida a normas metodológicas exhaustivas y exigentes, sobre la información económica financiera que presentan las enti- dades de forma que permitan reflejar la imagen fiel en el uso de los recursos y disponer de información útil y oportuna para la toma de decisiones. Esta línea es general para todas las entidades y organizaciones, de cualquier tipología y configuración, si bien, si hablamos de entidades de naturaleza pública, toma especial relevancia la finalidad de transparencia que va unida a la representación económico-patrimonial de la gestión financiera de los recursos em- pleados por dichas entidades. En este ámbito, existe una ecuación que necesariamente debe 154 Mercedes E. Lebrancón Cortés ser evaluada en el proceso de diseño de la estrategia de auditoría por el auditor, de un lado, el control interno que haya establecido cualquier entidad y de otro los mecanismos que debe utilizar el auditor de cara a evaluar correctamente dicho control interno para realizar su labor. Cuando abordamos estas cuestiones, conviene detenerse en el entendimiento de dos conceptos que van completamente imbricados en el trabajo a considerar por un auditor: con- trol interno y evaluación del mismo. Una acepción común del control interno es aquella que lo define como un conjunto de áreas funcionales en una entidad y de acciones especializadas en la comunicación y el control en el seno de la misma. No obstante, son múltiples las referencias que podemos encontrar en la normativa específica en el sector de auditoría. Así las Normas de Auditoría del Sector Público, aprobadas por Resolución de la Intervención General de la Administración del Es- tado, de 1 de septiembre de 1998, pioneras en el ámbito público, ya delimitaron el concepto del control interno configurándolo como el plan de organización y el conjunto de medidas, métodos y procedimientos que se establecen en una entidad con el objetivo de salvaguardar y proteger los activos y recursos; asegurar la fiabilidad e integridad de la información; asegu- rar el cumplimiento de toda la normativa aplicable; garantizar una gestión eficiente y eficaz de los recursos públicos; y garantizar que se logren de manera eficaz y eficiente las metas y objetivos establecidos en los programas. En el ámbito internacional, son diversas las referencias que podemos encontrar, entre ellas, la NIA 315 «Identificación y valoración de los riesgos de incorrección material me- diante el conocimiento de la entidad y de su entorno», considera el control interno como el proceso diseñado, implementado y mantenido por los responsables del gobierno de la enti- dad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. Si nos detenemos en la definición que otorga la «Guía para las normas de control interno del sector público» (INTOSAI, 2004) de INTOSAI, el control interno se define como un pro- ceso integral efectuado por la gerencia y el personal, diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales: • Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones. • Cumplimiento de las obligaciones de responsabilidad. • Cumplimiento de las leyes y regulaciones aplicables. • Salvaguarda de los recursos para evitar pérdidas, mal uso y daño. El control interno, por tanto, es un proceso integral y dinámico que requiere de adap- taciones constantes a los cambios a los que se enfrenta cualquier organización. Ello supone que los responsables y el personal de todo nivel deben estar involucrados en este proceso para enfrentarse a los riesgos y para dar seguridad razonable sobre el logro de la misión de la institución y de sus objetivos. Evaluación del control interno en la auditoría de cuentas 155 2. Responsabilidad sobre el control interno de los responsables públicos A la vista de las definiciones conceptuales reseñadas, parece claro que la responsabili- dad sobre el diseño y el establecimiento de los sistemas de control interno en las organiza- ciones para alcanzar sus objetivos reside y debe emanar de sus máximos responsables y de la alta dirección imbricándose a todos los niveles (horizontal y verticalmente) a lo largo de la organización. En el ámbito público se han ido reforzando normativamente las responsabilidades de los gestores públicos en cuanto a los procesos de rendición de cuentas, transparencia y jus- tificación en el empleo de recursos. A este respecto, basta ver entre otras, recientes normas como la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno que ha establecido requerimientos específicos en este sentido o la reciente Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público cuyo fin parte de la necesidad de dotar a nuestro sistema legal de un derecho administrativo sistemático, coherente y ordenado, en base a los resultados emanados del informe aprobado por la CORA y responde de manera específica, por un lado, a regular la legislación básica sobre el régimen jurídico administrati- vo, aplicable a todas las Administraciones Públicas; y por otro, el régimen jurídico específico de la Administración General del Estado, donde se incluye tanto la llamada Administración institucional, como la Administración periférica del Estado. En dicha ley, encontramos una mención expresa y concreta, en su artículo 90, que alude a la responsabilidad de los gestores públicos en el sentido indicado. Señala dicho precepto que la dirección del organismo público debe establecer un modelo de control orientado a conseguir una seguridad razonable en el cumplimiento de sus objetivos. Es consustancial, por tanto, a la propia naturaleza de entidad pública, que el sistema decontrol interno debería contemplar entre sus objetivos, el de generación de información financiera válida, íntegra y fiable. Es en dicho proceso de rendición de cuentas anuales y transparencia de la gestión pú- blica, donde toma importancia, por tanto, la evaluación del control interno que establecen las entidades públicas para la generación de dicha información financiera. No obstante, no es menos cierto que a pesar de que existen múltiples marcos metodo- lógicos, muchos de los cuales se inspiran en el modelo definido por el Committee of Spon- soring Organizations of the Treadway Commission (COSO), al que a continuación nos refe- riremos, no está muy extendida aún en la cultura de las organizaciones públicas la necesidad de abordar procesos que de forma estratégica e integrada ayuden a tener explicitados de forma expresa los sistemas de control interno ni existan documentos descriptivos estructu- rados sobre el análisis de los riesgos que afectan a los objetivos estratégicos, operativos, de cumplimiento, y de generación de información financiera y contable, entre otros. Existe aún un déficit de cultura respecto de la evaluación de riesgos en las organizaciones públicas. En este camino, un paso adicional que ha dado recientemente el legislador y ahonda en la responsabilidad de los gestores públicos focalizándolo en la evitación del fraude en el seno de las organizaciones la encontramos en la Ley Orgánica 5/2010, del Código Penal que incorporó a nuestro marco normativo la responsabilidad penal de la persona jurídica. 156 Mercedes E. Lebrancón Cortés Posteriormente, ha sido la Ley Orgánica 1/2015 de 30 de marzo cuya entrada en vigor se produjo el 1 de julio de 2015, la que ha venido a concretar las circunstancias para la exigencia y exención de dicha responsabilidad en el caso de la persona jurídica y ha incluido expresa- mente en su ámbito de aplicación a las sociedades mercantiles públicas. La nueva regulación supone una fuerte exigencia y compromiso con la prevención de los riesgos penales en el seno de las organizaciones, también las públicas, y establece la necesidad de que las mismas establezcan sistemas de control interno, mediante programas y acciones que impliquen a todas las personas y profesionales en la cultura del cumplimiento. La propia ley ha establecido mecanismos que actúan de eximentes respecto de las penas apli- cables, los cuales se articulan sobre las siguientes líneas: • Adopción y ejecución con eficacia y previos a la materialización del riesgo, por el órgano de administración de modelos de organización y gestión que incluyan me- didas de vigilancia y control idóneas para la prevención de la comisión de delitos o para reducir significativamente el riesgo. • Atribución de la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado a un órgano dentro de la organización, con poderes autóno- mos de iniciativa y control. • El riesgo debe haberse materializado eludiendo fraudulentamente los modelos de organización o prevención. • No debe haberse producido una omisión o ejercicio insuficiente en las funciones de supervisión, vigilancia y control. Todos estos elementos en los que se concretan los sistemas de control para la prevención de riesgos penales, en tanto que referidos al ámbito de la evaluación y prevención de fraudes, podría llevar al lector a pensar que su referencia específica pueda no ser de aplicación o de aplicación muy limitada al ámbito de la rendición de cuentas anuales si bien interesa poner el énfasis en que todos ellos se sustentan sobre elementos o componentes del control interno así como, en el foco que el legislador ha querido señalar en torno a la responsabilidad que tienen los gestores públicos en el diseño y establecimiento del sistema de control interno. Este es- quema sin ser quizá tan explícito en el ámbito de la generación de información financiera no es por tanto, de menor aplicación y significación. En este sentido, encontramos también referencias en la normativa de aplicación a la auditoría de los estados financieros que realizan los auditores públicos, que han de tener en cuenta una especial exigencia en relación con los riesgos de incumplimiento legal y fraude y, en consecuencia, una mayor profundización en la descripción y valoración del control interno relacionado con esta materia. Correlativamente, ello implica un mayor y mejor co- nocimiento del marco legal que afecta a la entidad auditada, tanto el que le aplica de forma específica (materia contable, presupuestaria, etc.), como la materia legal por la que se puede ver afectada de forma más o menos directa. La Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) es- tablece en la ISSAI 1240 (Párrafo P4) que «En una auditoría financiera en el sector público los objetivos van más allá de la emisión de una opinión sobre si los estados financieros han Evaluación del control interno en la auditoría de cuentas 157 sido elaborados, en todos sus aspectos significativos, de acuerdo con el marco de informa- ción financiera aplicable (es decir, el alcance de las NIA). El mandato de auditoría derivado de leyes, reglamentos, órdenes ministeriales, exigen- cias de política pública o resoluciones del poder legislativo puede contener objetivos adicio- nales, entre ellos obligaciones de auditoría o de información, cuando los auditores del sector público hayan detectado falta de conformidad con las normas en cuestiones presupuestarias o de rendición de cuentas, o informen sobre la eficacia del control interno. Sin embargo, aun no existiendo objetivos adicionales, los ciudadanos pueden esperar de los auditores del sec- tor público que notifiquen cualquier caso de falta de conformidad con las normas que hayan detectado durante la auditoría o informen sobre la eficacia del control interno. Los auditores del sector público han de tomar en consideración estas obligaciones suplementarias, y los riesgos de fraude conexos, al planificar y ejecutar la auditoría.» 3. Marcos de referencia para el establecimiento del control interno Los sistemas de control interno de cualquier organización y por ende, de las entidades públicas variarán en función de la estructura y complejidad de las mismas, del sector en el que operan, de su dimensión, de su exposición a operaciones vinculadas con otras entidades, de las obligaciones de rendición de cuentas, individuales y/o consolidadas, etc. Podemos encontrar referencias comunes en distintos marcos metodológicos que pueden orientar su es- tablecimiento, si bien el referente más extendido lo constituye el marco integrado elaborado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) en 1992. El informe COSO define el control interno como «Las normas, los procedimientos, las prácticas y estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán». El marco integral definido por COSO se fundamenta en cinco componentes básicos de control interno: • Entorno de control. • Evaluación de riesgos. • Actividades de control. • Información y comunicación. • Supervisión. Hay una relación directa entre los objetivos de una entidad y los controles que implanta para suministrar información sobre su realización. No obstante, conviene indicar que no to- dos los controles que establece una entidad tienen interés directo para la auditoría financiera. El auditor se focalizará en los relacionados con la información financiera, las operaciones y el cumplimiento de la normativa, la integridad y corrección de la información generada o los controles sobre la protección de los activos contra las adquisiciones, uso o disposición no autorizados. 158 Mercedes E. Lebrancón Cortés El marco integrado COSO fue actualizado en 2013, estableciendo 17 principios desa- rrollados a partir de los cinco componentes de control internoexistentes en la versión original del enfoque. El establecimiento de los principios ayuda a codificar los principales parámetros de COSO y a explicar lo que constituye un control eficaz. Ello supone ampliar, por tanto, el análisis de los componentes para dar entrada a un mayor detalle en la identificación de los eventos que constituyen riesgos, su evaluación y las respuestas de la organización. En el Cuadro 1 se delimitan dichos principios. Cuadro 1 Principios del marco integrado de control interno COSO Entorno de control La organización: 1. La organización demuestra un compromiso con la integridad y los valores éticos. 2. El consejo de administración demuestra independen- cia de la gerencia y ejerce la supervisión del desarrollo y el desempeño del control interno. 3. Bajo la supervisión del consejo de administración, la gerencia establece estructuras, lineamientos para la pre- sentación de informes, y las autoridades y responsabili- dades correspondientes en pos del logro de los objetivos. 4. La organización demuestra su compromiso para atraer, desarrollar y retener a los individuos competen- tes en coordinación con los objetivos. 5. La organización exige a los individuos que asuman sus propias responsabilidades por el control interno en pos del logro de los objetivos Actividades de control La organización: 10. Selecciona y desarrolla actividades de control que contribuyen a mitigar los riesgos relacionados con el logro de los objetivos a niveles aceptables. 11. Selecciona y desarrolla actividades de control ge- neral sobre la tecnología para apoyar el logro de los objetivos. 12. Implementa actividades de control a través de po- líticas que establecen los pasos a seguir y los procedi- mientos que transforman las políticas en acción. Evaluación de riesgos La organización: 6. Establece los objetivos con la claridad suficiente para permitir la identificación y la evaluación de los riesgos relacionados con los objetivos. 7. Identifica los riesgos relacionados con el logro de sus objetivos en toda la entidad y analiza los riesgos como punto de partida para determinar cómo se van a gestionar. 8. Considera la posibilidad de fraude al evaluar los ries- gos relacionados con el logro de los objetivos. 9. Identifica y evalúa los cambios que podrían impactar significativamente en el sistema de control interno. Información y comunicación La organización: 13. Obtiene o genera y usa información relevante y de calidad que respalde el funcionamiento del control in- terno. 14. Comunica la información internamente (incluidos los objetivos y las responsabilidades por el control in- terno) necesaria para respaldar el funcionamiento del control interno. 15. Se comunica con terceros externos respecto de asuntos que afectan el funcionamiento del control in- terno. Vigilancia de actividades La organización: 16. Selecciona, desarrolla e implementa evaluaciones continuas y separadas para asegurar que los compo- nentes de control interno estén presentes y funcionen correctamente. 17. Evalúa y comunica oportunamente las deficiencias de control interno a las partes responsables de tomar las medidas correctivas, incluida la alta dirección y el consejo de administración, según corresponda. Fuente: Larry E. Rittenberg – Internal Auditor. 2013. Evaluación del control interno en la auditoría de cuentas 159 Recientemente, en junio de 2017, se ha publicado una nueva actualización del enfoque integrado de COSO. El nuevo marco –denominado ‘Enterprise Risk Management–Integra- ting With Strategy and Performance’– se basa en el Marco Integrado de Gestión de Riesgos Empresariales de 2004 y ahonda en los procesos de gestión de riesgos y su evaluación. Un segundo marco metodológico de referencia a considerar lo constituye el modelo PIFC (Public Internal Financial Control) desarrollado por la Comisión Europea. Su finalidad fue proporcionar un modelo estructurado y operativo para asistir a los gobiernos en el redise- ño de sus sistemas de control interno haciéndolos compatibles con los estándares internacio- nales y las mejores prácticas a nivel europeo. En el Cuadro 2 se incluyen los pilares fundamentales y las fases de implementación recomendadas por el sistema PIFC. Cuadro 2 Pilares del PIFC Pilares fundamentales PIF Fases implementación Responsabilidad de la gerencia en el establecimiento de políticas operativas y sistemas de control interno utili- zando como herramienta el análisis de riesgos. Esto es tarea de los responsables de las unidades y no de las unidades de auditoría interna. Conceptualización del sistema y de sus elementos bá- sicos. Unidad de auditoría interna funcionalmente indepen- diente y reportando al máximo nivel de la dirección de la organización. Nunca involucradas en tareas de gestión y revisando los sistemas de control interno de la entidad de cara a detectar debilidades en el mismo. Desarrollo estructura organizativa. Existencia de una unidad central armonizadora que im- pulse y conduzca el cambio en el modelo de control mediante desarrollo de metodologías y estándares en relación con los pilares anteriores. Establecimiento y desarrollo del marco legal. Política de desarrollo del personal. Fuente: Elaboración propia. 4. Referencias para el auditor en la evaluación del control interno en la auditoría de cuentas anuales Una primera referencia en el ámbito público la encontramos en las Normas de Audito- ría del Sector Público (apartado 5 Control Interno) que establecen que deberá efectuarse un estudio y una evaluación adecuada del control interno para determinar su grado de confianza y en base a ello planificar la auditoría, determinando el alcance y la naturaleza, el momento y la extensión de las pruebas a realizar. El control interno en su sentido más amplio se puede subdividir de acuerdo con los aspectos a los que se dirija, contemplándose entre los mismos, los controles contable-finan- cieros, que comprenden el plan de organización y todos los métodos y procedimientos cuyo objetivo es la salvaguarda de los activos y la fiabilidad de los registros contables-financieros; 160 Mercedes E. Lebrancón Cortés y el control de cumplimiento de la entidad, como conjunto de métodos y procedimientos destinados a detectar si se cumple toda la normativa de aplicación, dado que el alcance de una auditoría de cuentas en el sector público suele ser más amplio por los requerimientos inherentes a la propia naturaleza de las entidades. El control interno contable se debe relacionar con cada una de las etapas de las que se compone una transacción, comprendiendo su autorización, ejecución, registro y finalmente la responsabilidad respecto a la salvaguarda y custodia de los activos que en su caso resulten de dicha transacción, garantizándose que han sido clasificados en las cuentas apropiadas. Dentro del control interno contable-financiero, habrá que prestar especial atención a los controles de protección y custodia de activos que son aquellos relativos a la prevención y detección opor- tuna de transacciones y accesos no autorizados a los activos que pudieran generar pérdidas con significación en los estados financieros. La entidad deberá tener perfectamente determinado a través de las correspondientes instrucciones de la dirección a quién corresponde autorizar cada operación, y qué requisitos y procedimientos deben seguirse en la adquisición, empleo y disposición de cada uno de los activos. Adicionalmente, las entidades públicas pueden estar sometidas a un régimen presu- puestario de carácter limitativo y a disposiciones legales y normativas de carácter general o específico que obligan a la propia dirección de la entidad, por lo que los controles de protec- ción deberán diseñarse de manera que puedan prever y detectar los incumplimientos de estas normas a la hora de adquirir, usar o disponer de estos activos. Si acudimos al ámbito internacional, dos son las referencias fundamentales que ofrecen pautas al auditor de cuentas, la NIA 300«Planificación de la auditoría de estados financieros» (o NIA-ES 300 adaptada para su aplicación en España mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas de 15 de octubre de 2013) y la NIA 315 «Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno» (o NIA-ES 315 respectivamente). De acuerdo con la NIA-ES 300, el planteamiento de los procedimientos de auditoría debe tener en cuenta si la auditoría se realiza por primera vez o se trata de una auditoría recurrente. La realización de una auditoría recurrente no ha de impedir la implementación de una planifi- cación correcta, pero evita la repetición de algunos procedimientos o los hace innecesarios (es lo que se denomina «rotación de énfasis»). Todo trabajo, sea nuevo o sea recurrente, ha de estar convenientemente planificado y documentado en los papeles de trabajo. Pero evidentemente sobre aquellas cuestiones que resulten invariables no es preciso volver a hacer trabajo con tal de que se encuentre documentada la cuestión y su invariabilidad en los papeles de trabajo. Entre los factores significativos y actividades preliminares sobre los que el auditor debe poner el foco en la evaluación del control interno, destacan: • Los resultados de las auditorías anteriores que evaluaron la eficacia operativa del control interno, incluida la naturaleza de las deficiencias identificadas y las medidas adoptadas para tratarlas. • La evidencia del compromiso de la dirección con el diseño, la implementación y el mantenimiento de un control interno sólido, incluida la evidencia de una documen- tación adecuada de dicho control interno. Evaluación del control interno en la auditoría de cuentas 161 • El volumen de las transacciones, que puede determinar si resulta más eficiente para el auditor confiar en el control interno. • La importancia concedida al control interno en toda la entidad para el buen funcio- namiento del negocio. Por su parte la NIA-ES 315 cuando habla del control interno de la entidad señala que el auditor deberá obtener conocimiento del control interno relevante para la auditoría. Si bien es probable que la mayoría de los controles relevantes para la auditoría estén relacionados con la información financiera, no todos los controles relativos a la información financiera son relevantes para la auditoría. El hecho de que un control, considerado individualmente o en combinación con otros, sea o no relevante para la auditoría es una cuestión de juicio profesional del auditor. Al obtener conocimiento de los controles relevantes para la auditoría, el auditor tendrá que evaluar el diseño de dichos controles y determinar si se han implementado y funcionan correctamente, mediante la aplicación de procedimientos adicionales a la indagación realiza- da entre el personal de la entidad. Dicha norma define claramente qué actividades debe realizar el auditor para evaluar cada uno de los componentes del control interno (tomando como referencia COSO). 4.1. Entorno de control El auditor debe obtener conocimiento del entorno de control debiendo evaluar, como parte de este conocimiento, si: • la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha establecido y mantenido una cultura de honestidad y de comportamiento ético; y si • los puntos fuertes del entorno de control proporcionan en conjunto una base adecua- da para los demás componentes del control interno y si estos otros componentes, a su vez, no están menoscabados como consecuencia de deficiencias en el entorno de control. 4.2. Evaluación de riesgos por la entidad El auditor deberá obtener conocimiento de si la entidad ha establecido un proceso para: • la identificación de los riesgos de negocio relevantes para los objetivos de la infor- mación financiera; • la estimación de la importancia de los riesgos; • la valoración de su probabilidad de ocurrencia; y • la toma de decisiones para minimizar o mitigar dichos riesgos. A su vez, la norma diferencia entre dos situaciones: 162 Mercedes E. Lebrancón Cortés • Si la entidad ha establecido dicho proceso, el auditor obtendrá conocimiento de tal proceso y de sus resultados. • Por el contrario, si la entidad no ha establecido dicho proceso, el auditor discutirá con la dirección si han sido identificados riesgos de negocio relevantes para los objetivos de la información financiera y el modo en que se les ha dado respuesta, debiendo va- lorar si es adecuada, en función de las circunstancias, la ausencia de un proceso de va- loración del riesgo documentado. En caso contrario, determinará si ello constituye una deficiencia significativa en el control interno que incluso pudiera afectar a la opinión. 4.3. El sistema de información, incluidos los procesos de negocio relacionados, relevante para la información financiera, y la comunicación El auditor deberá obtener conocimiento del sistema de información relevante para la información financiera, incluyendo: • los tipos de transacciones que son significativos para los estados financieros; • los procedimientos, relativos tanto a las tecnologías de la información (TI) como a los sistemas manuales, mediante los que dichas transacciones se inician, se re- gistran, se procesan, se corrigen en caso necesario, se trasladan al libro mayor y se incluyen en los estados financieros; • los registros contables relacionados, la información auxiliar que sirve de soporte y las cuentas específicas de los estados financieros que son utilizados para iniciar, registrar y procesar transacciones e informar sobre ellas; • el modo en que el sistema de información captura los hechos y condiciones, distin- tos de las transacciones, significativos para los estados financieros; • el proceso de información financiera utilizado para la preparación de los estados financieros de la entidad, incluidas las estimaciones contables y la información a revelar significativas; y • los controles sobre los asientos en el libro diario, incluidos aquellos asientos que no son estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o inusuales. Asimismo, el auditor deberá conocer y evaluar el modo en que la entidad comunica las funciones y responsabilidades relativas a la información financiera y las cuestiones significa- tivas relacionadas con dicha información financiera, incluidas las: • comunicaciones entre la dirección y los responsables del gobierno de la entidad; y • comunicaciones externas, tales como las realizadas con los organismos reguladores. 4.4. Actividades de control relevantes para la auditoría Por lo que respecta a este aspecto, el auditor deberá obtener conocimiento de las activi- dades de control relevantes para la auditoría, entendiendo por tales aquellas que, a su juicio, Evaluación del control interno en la auditoría de cuentas 163 es necesario conocer para valorar los riesgos de incorrección material y para diseñar los pro- cedimientos de auditoría posteriores que respondan a los riesgos valorados. 4.5. Seguimiento de los controles En esta área, el auditor obtendrá conocimiento de las principales actividades que la entidad lleva a cabo para realizar un seguimiento del control interno relativo a la información financiera, incluidas las actividades relevantes para la auditoría, y el modo en que la entidad adopta medidas correctoras por las deficiencias en sus controles. Si la entidad cuenta con una función de auditoría interna deberá, con el fin de determi- nar si la función de auditoría interna puede ser relevante para la auditoría, obtener conoci- miento sobre: • la naturaleza de las responsabilidades de la función de auditoría interna y el modo en que se integra en la estructura organizativa de la entidad; y • las actividades que han sido o que serán realizadas por la función de auditoría inter- na. Ciñéndonos al marco regulatorio en el sector público estatal, resulta de interésdestacar la emisión por la Intervención General de la Administración del Estado (IGAE), a través de la Oficina Nacional de Auditoría (ONA), de recientes notas técnicas que pretenden ir reforzando en el trabajo de los auditores públicos determinados procedimientos desarrolla- dos en dichas normas internacionales y que resultan operativos, eficientes y perfectamente encuadrables en la metodología vigente de la IGAE. La emisión de dichas notas técnicas se incardina en el marco del proceso de adaptación a las NIA-ES emprendido por dicho centro directivo mediante Resolución de 18 febrero de 2014 por la que se establecen los objetivos y líneas básicas del proceso de adaptación de las Normas de Auditoría del Sector Público a las Normas Internacionales de Auditoría. En este marco, interesa destacar la emisión de la Nota Técnica 3/2016 sobre planifica- ción y evaluación del control interno en la auditoría de cuentas. El objetivo principal de la misma es realizar una aproximación a las NIA-ES en una materia tan relevante como es la planificación y evaluación del control interno, permaneciendo como contexto de trabajo las NASP actualmente en vigor en tanto no se adopten las nuevas normas. Así las directrices fijadas por la ONA en dicha nota pretenden fijar la definición, naturaleza y contenido de los hitos más importantes y frecuentes en las actividades a realizar por el auditor al tiempo que presentar los estándares más habituales que suelen realizarse en la auditoría de cuentas en relación con estas materias. Ello supone considerar como premisa de partida que en la planificación de una auditoría de cuentas en el Sector Público el auditor, en la mayoría de los casos, tiene que considerar objetivos adicionales, permanentes o eventuales, como el cumplimiento de la legalidad no relacionada directamente con la imagen fiel, la valoración de la eficiencia del control interno o cualesquiera otras indicaciones que se establezcan dentro del alcance del trabajo. El auditor, por tanto, debe poner el foco en la necesidad de realizar una correcta evalua- ción del control interno al objeto de evitar riesgos innecesarios, permitir optimizar tiempos 164 Mercedes E. Lebrancón Cortés de ejecución y diseñar una estrategia de auditoría y plan global que conlleven una auditoría más eficiente y segura. Las claves de la evaluación del control interno habrán de versar sobre: • El entorno o ambiente de control. Hace referencia al estilo de control que se practica en la entidad auditada y a qué valores éticos se trasladan. • El sistema de valoración del riesgo que la entidad auditada emplea. En tal sentido puede ser indicativo la existencia de un manual de control interno que la entidad aplica en el que se describan sus riesgos y los grandes procesos de control interno; es decir, la descripción de qué riesgos existen y cómo se controlan las diferentes áreas de trabajo de la entidad que generan información financiera. • El sistema informático disponible. Conviene conocer con detalle el sistema infor- mático y todas sus prestaciones, esencialmente las generadoras de información fi- nanciera o de procesos relacionados más directamente con dicha información. • Las rutinas de control existentes, distinguiendo entre controles de prevención y con- troles de detección de errores o fraudes. • Seguimiento realizado de los controles: La entidad auditada ha de tener una idea precisa de cómo ha funcionado su control interno en el periodo auditado y en tal sentido ha de disponer de documentos, que evidencien este funcionamiento, donde se concreten los efectos tanto globales como a nivel de áreas de los sistemas y ex- pongan cómo se han cubierto en la práctica los riesgos de la entidad y cuáles son las medidas que se han tomado o se van a tomar para reducirlos a límites razonables en el futuro. En la evaluación del control interno, el auditor contemplará asuntos tales como: • Existencia de mapa o relación de riesgos, descripción escrita y contrastada de un procedimiento de control interno implementado por la entidad con sus correspon- dientes informes de seguimiento. • Existencia de códigos de ética en la entidad y la difusión entre su personal. • Procedimientos de selección y formación del personal. • Sistema informático y sus prestaciones. • Control físico de activos y las medidas para evitar su pérdida, mitigarla o compen- sarla en caso de siniestro. • Existencia de departamentos de auditoría interna o de asuntos legales o de cumpli- miento con mayor o menor grado de dedicación en función de la dimensión de la entidad. • Sistema contable, presupuestario, y en general regulatorio que se le aplica y su gra- do de cumplimiento general. Profundizando en este ámbito, la ONA emitió en 2017 la Nota técnica 1/2017 sobre el procedimiento de «Términos del documento de inicio de la auditoría de cuentas (TDA)» cuya Evaluación del control interno en la auditoría de cuentas 165 aplicación es obligatoria en los trabajos de auditoría de cuentas anuales 2018. La aplicación de la Nota técnica pretende favorecer la existencia de unas condiciones previas al tiempo del inicio del trabajo, o en una fase muy incipiente de este, que supongan la realización de una auditoría más organizada y un mejor entendimiento entre el auditor y el auditado. En el punto 4 del modelo de TDA que se contiene en la propia nota técnica, «Otra documentación relevante», se solicita a la entidad cuyas cuentas van a ser auditadas por la IGAE, entre otra información relevante, una descripción en forma narrativa del sistema de control interno sobre la información financiera que presenta y una evaluación de los princi- pales riesgos asociados a la generación de las cuentas anuales. Se pretende que la descripción contenga una manifestación de los responsables del sistema de control interno de la entidad sobre la implantación de un sistema adecuado a la entidad, el desarrollo de los principales aspectos del mismo, la evaluación de los principales riesgos asociados a la generación de la información contable y su opinión sobre si el sistema de control en el ejercicio auditado es eficaz o no. En desarrollo de lo previsto en dicha Nota técnica de la ONA, el pasado mes de febrero fue aprobada por dicha oficina la «Guía para elaborar la descripción del sistema de control interno sobre la información financiera de la entidad y la evaluación de los principales riesgos asociados a la generación de las cuentas anuales». Dicha guía se emite con la finalidad de cubrir varios objetivos: • orientar a los auditores respecto de la elaboración que debe realizar la entidad que va a ser auditada sobre dicha descripción del sistema de control interno en lo que afecta a la información financiera y al cumplimiento de la legalidad; • facilitar el entendimiento del tipo de contenido que se espera contenga la misma, y • establecer herramientas para que la entidad realice la descripción y valoración de los principales riesgos del sistema de control establecido para la generación de in- formación financiera así como para que el propio auditor pueda efectuar la evalua- ción del sistema establecido en la elaboración de su estrategia de auditoría. En la misma, basándose en el enfoque del marco integrado de control interno de COSO, se analizan los distintos componentes del control interno y se establecen algunos indicadores al respecto que sirvan de referencia a los auditores públicos en los trabajos de auditoría sobre las cuentas anuales. (Figura 1). Considerando esto una exigencia para los auditores y por ende, para las entidades ob- jeto de auditoría por la IGAE, una vez obtenida la descripción y evaluación, en actuaciones recurrentes el auditor necesitará actualizar ese conocimiento, así como evaluar la necesidad de obtener evidencia adicional sobre posibles cambios en el control. 166 Mercedes E. Lebrancón Cortés Figura 1 Forma en que interactúan los cinco componentes del control interno Fuente: Guía para eluso de las Normas Internacionales de Auditoría en Pequeñas y Medianas Empresas emitida por la International Federation of Acountants. 5. Conclusión A la vista de lo expuesto, podemos concluir que la estrategia del auditor necesariamente debe ir enfocada, atendiendo a los requerimientos establecidos en las normas y marcos me- todológicos de aplicación, a la prevención y detección de incorrecciones materiales por error o fraude en el proceso de rendición de cuentas anuales por las entidades, y a la realización de un proceso de auditoría más eficiente centrándose en las áreas críticas y con alto riesgo y, minimizando o minorando la aplicación de procedimientos de auditoría en otras áreas menos críticas con bajo riesgo. En una situación de riesgos controlados, donde la entidad auditada haya valorado sus riesgos, diseñado controles mitigadores de estos riesgos y además pueda evidenciar que di- cho sistema ha funcionado, el auditor, tras aplicar una serie de procedimientos de auditoría, Transacciones Cuentas e información a revelar importante en estados financieros Controles transaccionales (proceso del negocio) Controles a nivel entidad Incluye controles sobre: • Fraude (Dirección abusa, pasa por encima) • Procesamiento centralizado • Proceso de información financiera de final de ejercicio Aplicación de controles de TI Controles generales de TI C on tr ol es d om in an te s C on tr ol es e sp ec ífi co s Monitoreo Ent orn o de l control Valoración del riesgo Sis tem a d e i nf or m ac ió n Actividades de control Evaluación del control interno en la auditoría de cuentas 167 estará en condiciones de poder concluir que el riesgo se ha reducido a límites razonables y proceder a la calificación del grado de confianza que le suponga el mismo. De esta forma, llevará a cabo el diseño de su estrategia o plan de trabajo, poniendo especial atención en aquellas áreas en las que haya encontrado debilidades en el sistema de control. Por el contra- rio, en situaciones de riesgos no controlados, su estrategia de auditoría requerirá de esfuerzos adicionales con el objeto de obtener seguridad razonable en la emisión de su opinión. No obstante, debe tenerse en cuenta que ni la planificación ni la evaluación del control interno y sus riesgos constituyen un departamento estanco, sino que se enlazan con otras partes de la auditoría, imbricándose y retroalimentándose. Por ello, aunque la planificación y la evaluación del control interno constituyen hitos o procesos recurrentes, debe tenerse en cuenta que pueden variar en función de los propios resultados obtenidos al ejecutar el trabajo. La evaluación del control interno debe permitirnos obtener un conocimiento de las en- tidades e informar a la administración y a sus responsables de gobierno respecto de las fallas o debilidades en el sistema que hayan sido identificadas en el transcurso de nuestro trabajo como auditores. Y ello, en última instancia, supone la generación de valor público para las propias entidades que debe revertir a la sociedad. Bibliografía Committee of Sponsoring Organizations of the Treadway Commission (COSO 2004). «Enterprise Risk Management – Integrated Framework». Committee of Sponsoring Organizations of the Treadway Commission (2013). «Internal Control – In- tegrat ed F r amework (2013)». Committee of Sponsoring Organizations of the Treadway Commission (COSO 2017). «Enterprise Risk Management–Integrating with Strategy and Performance» (2017). Dirección General de Presupuesto de la Comisión Europea (2006). «Welcome to the world of PIFC (Public Internal Financial Control)». ICAC. Resolución ICAC de 15 de octubre de 2013. NIA-ES 300 «Planificación de la auditoría de estados financieros». ICAC. Resolución ICAC de 15 de octubre de 2013. NIA-ES 315 «Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno». International Federation of Accountants (IFAC). ISA (NIA) 300 «Planificación de la auditoría de esta- dos financieros». International Federation of Accountants (IFAC). International Federation of Accountants (IFAC). ISA (NIA) 315 «Identificación y evaluación de los riesgos de incorrección material mediante el conoci- miento de la entidad y de su entorno». International Federation of Accountants (2010). Comité de Pequeñas y Medianas Firmas de Auditoría de la Federación Internacional de Contadores (IFAC). «Guía para el uso de las Normas Internacio- nales de Auditoría en Pequeñas y Medianas Empresas». Intervención General de la Administración del Estado IGAE (1998). Normas de Auditoría del Sector Público. 168 Mercedes E. Lebrancón Cortés INTOSAI (2004). «Guía para las normas de control interno del sector público». INTOSAI (2007). «Guía para las normas de control interno del sector público. Información adicional sobre la administración de riesgos de la entidad». INTOSAI (2010). ISSAI 1240 «Obligaciones del auditor en relación con el fraude en una auditoria de estados financieros». Oficina Nacional de Auditoría IGAE (2016). «Nota técnica 3/2016 sobre planificación y evaluación del control interno en la auditoría de cuentas». Oficina Nacional de Auditoría IGAE (2017). «Nota técnica 1/2017 sobre el procedimiento de «Térmi- nos del documento de inicio de la auditoría de cuentas (TDA)». Oficina Nacional de Auditoría. IGAE (2018). «Guía de ayuda para elaborar la descripción del sistema de control interno sobre la información financiera de la entidad y la evaluación de los principales riesgos asociados a la generación de las cuentas anuales». Rittenberg, L. E. (2013). «Un reflejo del paso del tiempo». Internal Auditor, pp. 63.
Compartir