NIA 315 (Revisada 2019) Identificación y Valoración del Riesgo de Incorrección Material PDF

NORMA INTERNACIONAL DE AUDITORÍA 315 (REVISADA 2019) IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO DE INCORRECCIÓN MATERIAL (Aplicable a las auditorías de estados financieros correspondientes a periodos iniciados a partir del 15 de diciembre de 2021) CONTENIDO Apartado Introducción Alcance de esta NIA........................................................................................................................................................ 1 Conceptos clave en esta NIA........................................................................................................................................... 2 -8 Graduación....................................................................................................................................................................... 9 Fecha de entrada en vigor................................................................................................................................................ 10 Objetivo.......................................................................................................................................................................... 11 Definiciones..................................................................................................................................................................... 12 Requerimientos Procedimientos de valoración del riesgo y actividades relacionadas............................................................................... 13-18 Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad........................................................................................................................... 19-27 Identificación y valoración del riesgo de incorrección material...................................................................................... 28-37 Documentación................................................................................................................................................................ 38 Guía de aplicación y otras anotaciones explicativas Definiciones..................................................................................................................................................................... A1–A10 Procedimientos de valoración del riesgo y actividades relacionadas............................................................................... A11–A47 Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad........................................................................................................................... A48–A183 Identificación y valoración del riesgo de incorrección material...................................................................................... A184–A236 Documentación................................................................................................................................................................ A237–A241 Anexo 1: Consideraciones para el conocimiento de la entidad y su modelo de negocio Anexo 2: Conocimiento de los factores de riesgo inherente Anexo 3: Conocimiento del sistema de control interno de la entidad Anexo 4: Consideraciones para el conocimiento de la función de auditoría interna de la entidad Anexo 5: Consideraciones para el conocimiento de las Tecnologías de la Información (TI) Anexo 6: Consideraciones para el conocimiento de los controles generales de TI La Norma Internacional de Auditoría (NIA) 315 (Revisada 2019), Identificación y valoración del riesgo de incorrección material, debe interpretarse conjuntamente con la NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría. Introducción Alcance de esta NIA 1. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de identificar y valorar los riesgos de incorrección material en los estados financieros. Conceptos clave en esta NIA 2. La NIA 200 trata de los objetivos globales del auditor en la ejecución de una auditoría de estados financieros1, incluida la obtención de evidencia de auditoría suficiente y adecuada para reducir el riesgo de auditoría a un nivel aceptablemente bajo2. El riesgo de auditoría es una función del riesgo de incorrección material y del riesgo de detección3. La NIA 200 explica que los riesgos de incorrección material pueden estar relacionados con4: los estados financieros en su conjunto; y las afirmaciones sobre determinados tipos de transacciones, saldos contables e información a revelar. 3. La NIA 200 requiere que el auditor aplique su juicio profesional en la planificación y ejecución de la auditoría y que planifique y ejecute la auditoría con escepticismo profesional reconociendo que pueden darse circunstancias que supongan que los estados financieros contengan incorrecciones materiales5. 4. Los riesgos en los estados financieros se relacionan de manera generalizada con los estados financieros en su conjunto y que afectan potencialmente a muchas de las afirmaciones. Los riesgos de incorrección material en las afirmaciones tienen dos componentes, el riesgo inherente y el riesgo de control:  El riesgo inherente se describe como la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información a una incorrección que pudiera ser material, ya sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los posibles controles correspondientes.  El riesgo de control se describe como el riesgo de que una incorrección que pudiera existir en una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información, y que pudiera ser material ya sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida, o detectada y corregida oportunamente, por los controles de la entidad. 5. La NIA 200 explica que los riesgos de incorrección material en las afirmaciones se valoran con el fin de determinar la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría necesarios para obtener evidencia de auditoría suficiente y adecuada6. Para los riesgos identificados de incorrección material en las afirmaciones, esta NIA exige una valoración separada del riesgo inherente y del riesgo de control. El grado en que varía el riesgo inherente se denomina en esta NIA “espectro de riesgo inherente”. 6. Los riesgos de incorrección material identificados y valorados por el auditor incluyen tanto los que se deben a error como los debidos a fraude. Aunque ambos se tratan en esta NIA, la significatividad del fraude es tal que la NIA 240 7 incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información con el fin de identificar, valorar y responder a los riesgos de incorrección material debida a fraude. 7. El proceso de identificación y valoración de los riesgos por el auditor es iterativo y dinámico. El conocimiento por el auditor de la entidad y su entorno, el marco de información financiera aplicable y el sistema de control interno son interdependientes con conceptos incluidos en los requerimientos de identificación y valoración de los riesgos de incorrección material. En la obtención de conocimiento requerida por esta NIA se pueden desarrollar expectativas iniciales de riesgos, las cuales pueden ser afinadas a medida que el auditor progresa en el proceso de identificación y valoración de riesgos. Además, esta NIA y la NIA 330 requieren que el auditor revise las valoraciones de riesgo, y modifique las respuestas globales posteriores y los procedimientos posteriores de auditoría, sobre la base de la evidencia de auditoría obtenida de la aplicación de procedimientos posteriores de auditoría de conformidad con la NIA 330, o en caso de obtener nueva información. 8. La NIA 330 requiere que el auditor diseñe e implemente respuestas globales para responder a los riesgos valorados de incorrección material en los estados financieros8. La NIA 330 explica asimismo que el conocimiento del entorno de control por el auditor afecta a la valoración que hace de los riesgos de incorrección material en los estados financieros y a sus respuestas 1 NIA 200, Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría 2 NIA 200, apartado 17 3 NIA 200, apartado 13(c) 4 NIA 200, apartado A37 5 NIA 200, apartados 15-16 6 NIA 200, apartado A46 y NIA 330, Respuestas del auditor a los riesgos valorados, apartado 6 7 NIA 240, Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude 8 NIA 330, apartado 5 globales. La NIA 330 también requiere que el auditor diseñe y aplique procedimientos posteriores de auditoría cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones y respondan a dichos riesgos9. Graduación 9. La NIA 200 establece que algunas NIA incluyen consideraciones de graduación que ilustran la aplicación de los requerimientos a todas las entidades independientemente de si su naturaleza y circunstancias son más o menos complejas10. Esta NIA se dirige a todas las entidades independientemente de su dimensión o complejidad y la guía de aplicación incorpora, en consecuencia, consideraciones específicas tanto para entidades menos complejas como para entidades más complejas, según proceda. Aunque la dimensión de una entidad puede ser indicativa de su complejidad, algunas entidades de pequeña dimensión pueden ser complejas y algunas entidades de mayor dimensión pueden ser menos complejas. Fecha de entrada en vigor 10. Esta NIA es aplicable a las auditorías de estados financieros correspondientes a periodos iniciados a partir del 15 de diciembre de 2021. Objetivo 11. El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material. Definiciones 12. A efectos de las NIA, los siguientes términos tienen los significados que figuran a continuación: (a) Afirmaciones – Manifestaciones, explícitas o no, con respecto al reconocimiento, medición, presentación y revelación de información en los estados financieros que son inherentes a la manifestación de la dirección de que los estados financieros se preparan de conformidad con el marco de información financiera aplicable. El auditor utiliza las afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir al identificar, valorar y responder a los riesgos de incorrección material. (Ref: Apartado A1) (b) Riesgo de negocio – Riesgo derivado de condiciones, hechos, circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias o derivado del establecimiento de objetivos y estrategias inadecuados. (c) Controles – Políticas o procedimientos que establece una entidad para alcanzar los objetivos de control de la dirección o de los responsables del gobierno de la entidad. En este contexto: (Ref: Apartados A2–A5) (i) Las políticas son declaraciones de lo que se debería o no se debería hacer dentro de la entidad para llevar a cabo el control. Esas declaraciones pueden estar documentadas, formuladas explícitamente en comunicados o implícitas en actuaciones y decisiones. (ii) Los procedimientos son actuaciones para implementar las políticas. (d) Controles generales de las tecnologías de la información (TI) – Controles de los procesos de TI de la entidad que apoyan el funcionamiento continuo apropiado del entorno de TI, incluido el funcionamiento continuo efectivo de los controles de procesamiento de la información y la integridad de la información (es decir, la integridad, exactitud y validez de la información) en el sistema de información de la entidad. Véase también la definición de entorno de TI. (e) Controles del procesamiento de la información – Controles relacionados con el procesamiento de la información en aplicaciones de TI o procesamientos manuales de la información en el sistema de información de la entidad que responden directamente a los riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y otra información). (Ref: Apartado A6) (f) Factores de riesgo inherente – Características de hechos o condiciones que afectan la susceptibilidad de incorrección, debida a fraude o error, de una afirmación sobre un tipo de transacción, saldo contable u otra revelación, antes de considerar los controles. Dichos factores pueden ser cualitativos o cuantitativos e incluyen complejidad, subjetividad, cambio, incertidumbre o susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude11 en la medida en la que afectan al riesgo inherente. (Ref: Apartados A7–A8) 9 NIA 330, apartado 6 10 NIA 200, apartado A69 11 NIA 240, apartados A24‒A27 (g) Entorno de las TI – Las aplicaciones de TI y la infraestructura que da soporte a las TI, así como los procesos y el personal involucrado en esos procesos que una entidad utiliza para respaldar las operaciones de negocio y para lograr la consecución de las estrategias de negocio. A los efectos de esta NIA: (i) Una aplicación de TI es un programa o un conjunto de programas que se utiliza para el inicio, procesamiento, registro e información de transacciones o información. Las aplicaciones de TI incluyen almacenes de datos y generadores de informes. (ii) La infraestructura de TI comprende la red, los sistemas operativos y las bases de datos y el hardware y software relacionados con estos. (iii) Los procesos de TI son los procesos de la entidad para la gestión del acceso al entorno de TI, la gestión de cambios en los programas o de los cambios al entorno de TI, así como para la gestión de las operaciones de TI. (h) Afirmaciones relevantes – Una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información es relevante cuando tiene un riesgo identificado de incorrección material. La determinación de si una afirmación es relevante se realiza antes de tener en cuenta los posibles controles correspondientes (es decir, el riesgo inherente). (Ref: Apartado A9) (i) Riesgos derivados de la utilización de TI – Exposición de los controles de procesamiento de la información a un diseño o un funcionamiento ineficaces, o riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y demás información) en el sistema de información de la entidad, debido a un diseño o a un funcionamiento ineficaz de los procesos de TI de la entidad (véase entorno de TI). (j) Procedimientos de valoración del riesgo – Procedimientos de auditoría diseñados y aplicados para identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones concretas contenidas en estos. (k) Tipos de transacciones, saldos contables o información a revelar significativos – Un tipo de transacción, saldo contable o información a revelar para el que existen una o varias afirmaciones significativas. (l) Riesgo significativo – Un riesgo identificado de incorrección material. (Ref: Apartado A10) (i) para el que la valoración del riesgo inherente se encuentra próxima al límite superior del espectro de riesgo inherente debido al grado en el que los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección y a la magnitud de la incorrección potencial si existe; o (ii) que deba ser tratado como riesgo significativo de conformidad con los requerimientos de otras NIA12. (m) Sistema de control interno – El sistema diseñado, implementado y mantenido por los responsables del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. A los efectos de las NIA, el sistema de control interno comprende cinco componentes interrelacionados: (i) el entorno de control; (ii) el proceso de valoración del riesgo por la entidad; (iii) el proceso de la entidad para el seguimiento del sistema de control interno; (iv) el sistema de información y comunicación y (v) las actividades de control. Requerimientos Procedimientos de valoración del riesgo y actividades relacionadas 13. El auditor diseñará y aplicará procedimientos de valoración del riesgo con el fin de obtener evidencia de auditoría que proporcione una base adecuada para: (Ref: Apartados A11–A18) (a) la identificación y valoración de los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones contenidas en estos; y (b) el diseño de procedimientos posteriores de auditoría de conformidad con la NIA 330. El auditor diseñará y aplicará procedimientos de valoración del riesgo de un modo que no esté sesgado hacia la obtención de 12 NIA 240, apartado 27 y NIA 550, Partes vinculadas, apartado 18 evidencia de auditoría que pueda ser corroborativa o hacia la eliminación de evidencia de auditoría que pueda ser contradictoria. (Ref: Apartado A14) 14. Los procedimientos de valoración del riesgo incluirán los siguientes: (Ref: Apartados A19–A21) (a) Indagaciones ante la dirección y ante otras personas apropiadas de la entidad, incluidas personas de la función de auditoría interna (en caso de que exista esta función). (Ref: Apartados A22–A26) (b) Procedimientos analíticos. (Ref: Apartados A27–A31) (c) Observación e inspección. (Ref: Apartados A32–A36) Información procedente de otras fuentes 15. En la obtención de evidencia de conformidad con el apartado 13, el auditor tendrá en cuenta la información procedente de: (Ref: Apartados A37‒A38) (a) los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o del encargo de auditoría y, (b) en su caso, otros encargos realizados por el socio del encargo para la entidad. 16. Cuando el auditor tenga la intención de utilizar información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores, evaluará si esa información aún es relevante y fiable como evidencia de auditoría para la auditoría actual. (Ref: Apartados A39‒A41) Discusión por el equipo del encargo 17. El socio del encargo y otros miembros clave del equipo del encargo discutirán la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material. (Ref: Apartados A42–A47) 18. Cuando algunos miembros del equipo del encargo no participen en la discusión por el equipo del encargo, el socio del encargo determinará qué cuestiones se les debe comunicar. Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (Ref: Apartados A48‒A49) Conocimiento de la entidad y su entorno y del marco de información financiera aplicable (Ref: Apartados A50‒A55) 19. El auditor aplicará procedimientos de valoración del riesgo para obtener conocimiento de: (a) los siguientes aspectos de la entidad y su entorno: (i) la estructura organizativa, de propiedad y de gobierno de la entidad y su modelo de negocio, incluido el grado en que el modelo de negocio integra el uso de TI; (Ref: Apartados A56‒A67) (ii) factores sectoriales, normativos y otros factores externos;(Ref: Apartados A68‒A73) y (iii) las mediciones utilizadas, interna y externamente, para valorar el resultado de la entidad; (Ref: Apartados A74‒ A81) (b) el marco de información financiera aplicable, así como las políticas contables de la entidad y los motivos de cualquier cambio en estas; (Ref Apartados A82‒A84) y (c) el modo y el grado en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros de conformidad con el marco de información financiera aplicable sobre la base del conocimiento adquirido en (a) y (b). (Ref: Apartados A85‒A89) 20. El auditor evaluará si las políticas contables de la entidad son adecuadas y congruentes con el marco de información financiera aplicable. Conocimiento de los componentes del sistema de control interno de la entidad (Ref: Apartados A90– A95) Entorno de control, proceso de valoración del riesgo por la entidad y proceso para el seguimiento del sistema de control interno de la entidad (Ref: Apartados A96‒A98) Entorno de control 21. El auditor obtendrá conocimiento del entorno de control que sea relevante para la preparación de los estados financieros mediante la aplicación de procedimientos de valoración del riesgo mediante: (Ref: Apartados A99–A100) (a) el conocimiento del conjunto de controles, procesos y y estructuras que tratan: (Ref: Apartados A101‒ (b) la evaluación de si: (Ref: Apartados A103‒ A102) A108) (i) el modo en que la dirección ejerce las responsabilidades de supervisión, tales como (i) la dirección, bajo la supervisión de los la cultura de la entidad y el compromiso de la responsables del gobierno de la entidad, dirección con la integridad y los valores ha establecido y mantenido una cultura éticos; de honestidad y de comportamiento ético; (ii) la independencia de los responsables del (ii) el entorno de control proporciona una gobierno de la entidad y su supervisión del base adecuada para los demás sistema de control interno de la entidad componentes del sistema de control cuando estos sean distintos de la dirección; interno de la entidad considerando la (iii) la asignación de autoridad y responsabilidad naturaleza y complejidad de esta; y en la entidad; (iii) las deficiencias de control identificadas en (iv) el modo en que la entidad atrae, desarrolla y el entorno de control menoscaban los retiene personas competentes; y demás componentes del sistema de (v) el modo en que la entidad exige control interno de la entidad. responsabilidades por la consecución de los objetivos del sistema de control interno a las personas que han de responder de ello; El proceso de valoración del riesgo por la entidad 22. El auditor obtendrá conocimiento del proceso de valoración del riesgo por la entidad que sea relevante para la preparación de los estados financieros mediante la aplicación de procedimientos de valoración del riesgo a través de: (a) el conocimiento del proceso de la entidad para: (Ref: y Apartados A109‒A110) (b) la evaluación de si el proceso de valoración (i) la identificación de los riesgos de negocio del riesgo por la entidad es adecuado a las relevantes para los objetivos de la circunstancias de la entidad teniendo en información financiera; (Ref: Apartado A62) cuenta la naturaleza y complejidad de esta. (ii) la evaluación de la significatividad de dichos (Ref: Apartados A111‒A113) riesgos, incluida la probabilidad de ocurrencia y (iii) la respuesta a dichos riesgos; 23. Si el auditor identifica riesgos de incorrección material que la dirección no ha identificado: (a) determinará si por su naturaleza era de esperar que cualquiera de dichos riesgos hubiera sido identificado por el proceso de valoración del riesgo por la entidad y, en su caso, obtendrá conocimiento del motivo por el que el proceso de valoración del riesgo por la entidad no identificó esos riesgos de incorrección material; y (b) considerará las implicaciones para la evaluación por el auditor del apartado 22(b). El proceso de la entidad para el seguimiento del sistema de control interno 24. El auditor obtendrá conocimiento del proceso de la entidad para el seguimiento del sistema de control interno relevante para la preparación de los estados financieros, mediante la aplicación de procedimientos de valoración del riesgo a través de: (Ref: Apartados A114–A115) (a) el conocimiento de los aspectos del proceso de y la entidad que tratan de: (c) la evaluación de si el proceso de seguimiento (i) las evaluaciones continuas e del sistema de control interno de la entidad es individuales para el seguimiento de la adecuado a las circunstancias de la entidad eficacia de los controles y la teniendo en cuenta la naturaleza y complejidad identificación y corrección de las de esta. (Ref: Apartados A121‒A122) deficiencias de control identificadas; (Ref: Apartados A116‒A117) y (ii) en su caso, la función de auditoría interna de la entidad, incluida su naturaleza, responsabilidades y actividades; (Ref: Apartado A118) (b) el conocimiento de las fuentes de información utilizadas en el proceso de la entidad para el seguimiento del sistema de control interno, y los fundamentos de la dirección para considerar que la información es suficientemente fiable para esa finalidad; (Ref: Apartados A119‒A120) Sistema de información y comunicación y actividades de control (Ref: Apartados A123–A130) Sistema de información y comunicación 25. El auditor obtendrá conocimiento del sistema de información y comunicación de la entidad que sea relevante para la preparación de los estados financieros, mediante la aplicación de procedimientos de valoración del riesgo a través de: (Ref: Apartado A131) (a) el conocimiento de las actividades de y procesamiento de la información de la entidad, (c) la evaluación de si el sistema de incluidos sus datos e información, los recursos que información y comunicación de la entidad se deben utilizar en esas actividades y las políticas sustentan adecuadamente la preparación de que definen, para los tipos significativos de los estados financieros de conformidad con transacciones, saldos contables e información a el marco de información financiera revelar: (Ref: Apartados A132‒A143) aplicable. (Ref: Apartado A146) (i) el modo en que la información fluye por el sistema de información de la entidad, incluido el modo en que: a. las transacciones se inician y la información sobre ellas se registra, se procesa, se corrige si es necesario, se traslada al mayor y se incluye en los estados financieros; y b. la información sobre los hechos y condiciones, distintos de las transacciones, se captura, se procesa y se revela en los estados financieros; (ii) los registros contables, cuentas específicas de los estados financieros y otros registros de soporte relacionados con los flujos de información en el sistema de información; (iii) el proceso de información financiera utilizado para la preparación de los estados financieros de la entidad, incluida la información a revelar; y (iv) los recursos de la entidad, incluido el entorno de TI, relevantes para los apartados (a)(i) a (a)(iii) anteriores; (b) el conocimiento del modo en que la entidad comunica las cuestiones significativas que sustentan la preparación de los estados financieros y las correspondientes responsabilidades de información en el sistema de información y otros componentes del sistema de control interno: (Ref: Apartados A144‒A145) (i) a personas dentro de la entidad, incluido el modo en que se comunican las funciones y responsabilidades relacionadas con la información financiera; (ii) a la dirección y los responsables del gobierno de la entidad y (iii) con terceros, tales como las realizadas con las autoridades reguladoras; Actividades de control 26. El auditor obtendrá conocimiento del componente de actividades de control mediante la aplicación de procedimientos de valoración del riesgo, a través de: (Ref: Apartados A147–A157) (a) la identificación, en el componente de y actividades de control, de controles que (d) para cada uno de los controles identificados en responden a los riesgos de incorrección los apartados (a) o (c)(ii): (Ref: Apartados material en las afirmaciones como sigue: A175‒A181) (i) controles que responden a un riesgo que (i) la evaluación de si el control está se considera riesgo significativo; (Ref: diseñado eficazmente para responder al Apartados A158‒A159) riesgo de incorrección material en las (ii) controles sobre los asientos en el diario, afirmaciones o si está diseñado incluidos aquellos asientos que no son eficazmente para sustentar el estándar y que se utilizan para registrar funcionamiento de otros controles; y transacciones o ajustes no recurrentes o (ii) la determinación de si el control ha sido inusuales;(Ref: Apartados A160‒A161) implementado aplicando (iii) controles cuya eficacia operativa tiene procedimientos además de indagar ante previsto comprobar el auditor en la el personal de la entidad. determinación de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos, que incluirán controles que responden a riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada; y (Ref: Apartados A162‒ A164) (iv) otros controles que el auditor considere adecuados para permitirle cumplir con los objetivos del apartado 13 con respecto a los riesgos en las afirmaciones, basándose en su juicio profesional; (Ref: Apartado A165) (b) la identificación de las aplicaciones de TI y otros aspectos del entorno de TI que están sujetos a riesgos derivados de la utilización de TI basándose en los controles identificados en (a); (Ref: Apartados A166‒A172) (c) para dichas aplicaciones de TI y otros aspectos del entorno de TI identificados en (b), la identificación de: (Ref: Apartados A173‒ A174) (i) los riesgos derivados de la utilización de TI; y (ii) los controles generales de TI de la entidad que responden directamente a dichos riesgos; Deficiencias de control en el sistema de control interno de la entidad 27. Basándose en su evaluación de cada uno de los componentes del sistema de control interno de la entidad, el auditor determinará si se han identificado una o más deficiencias de control. (Ref: Apartados A182–A183) Identificación y valoración del riesgo de incorrección material (Ref: Apartados A184‒A185) Identificación de los riesgos de incorrección material 28. El auditor identificará los riesgos de incorrección material y determinará si existen: (Ref: Apartados A186–A192) (a) en los estados financieros (Ref: Apartados A193–A200) o (b) en las afirmaciones sobre determinados tipos de transacciones saldos contables e información a revelar. (Ref: Apartado A201) 29. El auditor determinará las afirmaciones relevantes y los correspondientes tipos de transacciones, saldos contables e información a revelar. (Ref: Apartados A202–A204) Valoración de los riesgos de incorrección material en los estados financieros 30. Para los riesgos identificados de incorrección material en los estados financieros, el auditor valorará los riesgos y: (Ref: Apartados A193–A200) (a) determinará si dichos riesgos afectan a la valoración de riesgos en las afirmaciones y (b) evaluará la naturaleza y extensión de su efecto generalizado sobre los estados financieros. Valoración de los riesgos de incorrección material en las afirmaciones Valoración del riesgo inherente (Ref: Apartados A205–A217) 31. Para los riesgos identificados de incorrección material en las afirmaciones, el auditor valorará el riesgo inherente valorando la probabilidad de ocurrencia y la magnitud de la incorrección. Al hacerlo, el auditor tendrá en cuenta el modo y el grado en que: (a) los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones relevantes a incorrección; y (b) los riesgos de incorrección material en los estados financieros afectan a la valoración del riesgo inherente en el caso de riesgos de incorrección material en las afirmaciones. (Ref: Apartados A215‒A216) 32. El auditor determinará si alguno de los riesgos de incorrección material valorados es un riesgo significativo. (Ref: Apartados A218–A221) 33. El auditor determinará si los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada con respecto a alguno de los riesgos valorados de incorrección material en las afirmaciones. (Ref: Apartados A222– A225) Valoración del riesgo de control 34. Si el auditor tiene previsto comprobar la eficacia operativa de los controles, deberá valorar el riesgo de control. Si el auditor no tiene previsto comprobar la eficacia operativa de los controles, su valoración del riesgo de control deberá ser tal que la valoración del riesgo de incorrección material sea la misma que la valoración del riesgo inherente. (Ref: Apartados A226– A229) Evaluación de la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo 35. El auditor evaluará si la evidencia obtenida de los procedimientos de valoración del riesgo proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material. En caso contrario, el auditor aplicará procedimientos de valoración del riesgo adicionales hasta obtener evidencia de auditoría que proporcione dicha base adecuada. En la identificación y valoración de los riesgos de incorrección material, el auditor tendrá en cuenta toda la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo, tanto si corrobora como si contradice las afirmaciones de la dirección. (Ref: Apartados A230–A232) Tipos de transacciones, saldos contables e información a revelar que no son significativos pero si son materiales 36. En el caso de tipos de transacciones, saldos contables o información a revelar materiales que no se han considerado tipos de transacciones, saldos contables o información a revelar significativos, el auditor evaluará si su determinación continúa siendo adecuada. (Ref: Apartados A233–A235) Revisión de la valoración del riesgo 37. Si el auditor obtiene nueva información que es incongruente con la evidencia de auditoría sobre la que el auditor basó inicialmente la identificación o las valoraciones de los riesgos de incorrección material, el auditor revisará la identificación o la valoración. (Ref: Apartado A236) Documentación 38. El auditor incluirá en la documentación de auditoría13: (Ref: Apartados A237–A241) 13 NIA 230, Documentación de auditoría, apartados 8-11 y A6–A7 (a) los resultados de la discusión entre los miembros del equipo del encargo, así como las decisiones significativas que se tomaron; (b) los elementos clave del conocimiento del auditor de conformidad con los apartados 19, 21, 22, 24 y 25; las fuentes de información de las que el auditor obtuvo ese conocimiento y los procedimientos de valoración del riesgo aplicados; (c) la evaluación del diseño de los controles identificados y la determinación de si dichos controles han sido implementados, de conformidad con los requerimientos del apartado 26; y (d) los riesgos de incorrección material en los estados financieros y en las afirmaciones identificados y valorados, incluidos los riesgos significativos y los riesgos para los cuales los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada, y el fundamento de los juicios significativos aplicados. *** Guía de aplicación y otras anotaciones explicativas Definiciones (Ref: Apartado 12) Afirmaciones (Ref: Apartado 12(a)) A1. Al identificar, valorar y responder a los riesgos de incorrección material, los auditores utilizan categorías de afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir. Algunos ejemplos de esas categorías de afirmaciones se describen en el apartado A190. Las afirmaciones son distintas de las manifestaciones escritas requeridas por la NIA 58014 para confirmar determinadas cuestiones o sustentar otra evidencia de auditoría. Controles (Ref: Apartado 12(c)) A2. Los controles están integrados en los componentes del sistema de control interno de la entidad. A3. Las políticas son implementadas a través de las actuaciones del personal dentro de la entidad o a través de restricciones que impiden al personal llevar a cabo actuaciones que entrarían en conflicto con esas políticas. A4. Los procedimientos pueden ser exigidos mediante documentación formal u otra comunicación de la dirección o de los responsables del gobierno de la entidad, o pueden ser el resultado de comportamientos que no se exigen, sino que están condicionados por la cultura de la entidad. Los procedimientos se pueden aplicar mediante actuaciones permitidas por las aplicaciones de TI utilizadas por la entidad o por otros aspectos de su entorno de TI. A5. Los controles pueden ser directos o indirectos. Los controles directos son controles lo suficientemente precisos para responder a riesgos de incorrección material en las afirmaciones. Los controles indirectos son controles que sustentan los controles directos. Controles de procesamiento de la información (Ref: Apartado 12(e)) A6. Los riesgos para la integridad de la información se originan por la susceptibilidad a una implementación ineficaz de las políticas de información de la entidad, que son políticas que definen los flujos de información, los registros y los procesos de información del sistema de información de la entidad. Los controles de procesamiento de la información son procedimientos que sustentan la implementación eficaz de las políticas de información de la entidad. Los controles de procesamiento de la información pueden estar automatizados (es decir, incorporados en las aplicaciones de TI) o ser manuales (por ejemplo, controles de entrada o salida) y pueden depender de otros controles, incluidos otros controles de procesamiento de la información o en controles generales de TI. Factores de riesgo inherente (Ref: Apartado 12(f)) El Anexo 2 contiene consideraciones adicionales relativas a la obtención de conocimiento de los factores de riesgo inherente. A7. Los factores de riesgo inherente pueden ser cualitativos o cuantitativos y afectar a la susceptibilidad de las afirmaciones a incorrección. Los factores de riesgo inherente cualitativos relativos a la preparación de información requerida por el marco de información financiera aplicable incluyen:  complejidad;  subjetividad;  cambio; 14 NIA 580, Manifestaciones escritas  incertidumbre o  susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afecten al riesgo inherente. A8. Otros factores de riesgo inherente, que afectan a la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable o revelación de información a incorrección pueden incluir:  la significatividad cuantitativa o cualitativa del tipo de transacción, del saldo contable o de la información a revelar;  el volumen o la falta de uniformidad en la composición de los elementos que deben ser procesados a través del tipo de transacción o saldo contable, o reflejado en la información a revelar. Afirmaciones relevantes (Ref: Apartado 12(h)) A9. Un riesgo de incorrección material puede estar relacionado con más de una afirmación, en cuyo caso, todas las afirmaciones con las que se relaciona dicho riesgo son afirmaciones relevantes. Si una afirmación no tiene un riesgo identificado de incorrección material, no se trata de una afirmación relevante. Riesgo significativo (Ref: Apartado 12(l)) A10. La significatividad se puede describir como la importancia relativa de una cuestión y el auditor la juzga en el contexto en la que se está considerando. Para el riesgo inherente, la significatividad se puede considerar en el contexto de cómo y en qué grado los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección material y a la magnitud de la incorrección potencial si existe. Procedimientos de valoración del riesgo y actividades relacionadas (Ref: Apartado 13-18) A11. Los riesgos de incorrección material que deben ser identificados y valorados incluyen tanto los que se deben a fraude como los debidos a error, y ambos se tratan en la presente NIA. Sin embargo, la significatividad del fraude es tal, que la NIA 240 incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información que se utilice para identificar y valorar los riesgos de incorrección material debida a fraude15. Además, las siguientes NIA proporcionan requerimientos y orientaciones adicionales sobre la identificación y valoración de riesgos de incorrección material con respecto a cuestiones o circunstancias específicas:  NIA 540 (Revisada)16 en relación con las estimaciones contables;  NIA 550 en referencia con las relaciones y transacciones con partes vinculadas;  NIA 570 (Revisada)17 en relación con la empresa en funcionamiento y  NIA 60018 en relación con los estados financieros de grupos. A12. El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría obtenida al aplicar los procedimientos de valoración del riesgo y ayuda al auditor a estar alerta a evidencia de auditoría que no esté sesgada hacia la corroboración de la existencia de riesgos o que pueda ser contradictoria a la existencia de riesgos. El escepticismo profesional es una actitud aplicada por el auditor en la formulación de juicios profesionales que, a continuación, proporciona una base para sus actuaciones. El auditor aplica el juicio profesional para determinar cuándo tiene evidencia de auditoría que proporciona un fundamento adecuado para la valoración del riesgo. A13. La aplicación de escepticismo profesional por el auditor puede incluir:  cuestionar información contradictoria y la fiabilidad de los documentos;  considerar las respuestas a indagaciones, así como otra información, obtenidas de la dirección y de los responsables del gobierno de la entidad;  prestar una especial atención a las circunstancias que puedan ser indicativas de posible incorrección debida a fraude o error; y  considerar si la evidencia de auditoría obtenida sustenta la identificación y valoración de los riesgos de incorrección material teniendo en cuenta la naturaleza y las circunstancias de la entidad. 15 NIA 240, apartados 12-27 16 NIA 540 (Revisada), Auditoría de estimaciones contables y de la correspondiente información a revelar 17 NIA 570 (Revisada), Empresa en funcionamiento 18 NIA 600, Consideraciones especiales - Auditorías de estados financieros de grupos (incluido el trabajo de los auditores de componentes) Por qué es importante obtener evidencia de auditoría de un modo libre de sesgo (Ref: Apartado 13) A14. Diseñar y aplicar procedimientos de valoración del riesgo con el fin de obtener evidencia de auditoría para sustentar la identificación y valoración de los riesgos de incorrección material de un modo libre de sesgo puede ayudar al auditor en la identificación de información potencialmente contradictoria, lo cual le puede ayudar en la aplicación de escepticismo profesional al identificar y valorar los riesgos de incorrección material. Fuentes de evidencia de auditoría (Ref: Apartado 13) A15. Diseñar y aplicar procedimientos de valoración del riesgo para la obtención de evidencia de auditoría de un modo libre de sesgo puede implicar obtener evidencia de múltiples fuentes tanto internas como externas a la entidad. Sin embargo, no se exige que el auditor realice una búsqueda exhaustiva para identificar todas las posibles fuentes de evidencia de auditoría. Algunas fuentes de información para procedimientos de valoración del riesgo, además de la información procedente de otras fuentes19, pueden incluir:  Interacciones con la dirección, con los responsables del gobierno de la entidad y con otro personal clave de la entidad, como los auditores internos.  Algunos terceros como autoridades reguladoras, obtenida tanto directa como indirectamente.  Información a disposición del público acerca de la entidad, por ejemplo, notas de prensa emitidas por la entidad, documentación para analistas o reuniones de grupos de inversores, informes de analistas o información sobre actividades comerciales. Independientemente de la fuente de información, el auditor considera la relevancia y la fiabilidad de la información que se utilizará como evidencia de auditoría de conformidad con la NIA 50020. Graduación (Ref: Apartado 13) A16. La naturaleza y la extensión de los procedimientos de valoración del riesgo varían en función de la naturaleza y las circunstancias de la entidad (por ejemplo, el grado de formalización de sus políticas y procedimientos, así como de sus procesos y sistemas). El auditor aplica su juicio profesional para determinar la naturaleza y extensión de los procedimientos de valoración del riesgo que debe aplicar para cumplir los requerimientos de esta NIA. A17. Aunque el grado de formalización de las políticas y procedimientos, así como de los procesos y sistemas de una entidad pueden variar, se requiere que el auditor obtenga el conocimiento de conformidad con los apartados 19, 21, 22, 24, 25 y 26. Ejemplos: Algunas entidades, incluidas las entidades menos complejas y, en especial, las entidades dirigidas por el propietario, pueden no haber establecido procesos y sistemas estructurados (por ejemplo, un proceso de valoración del riesgo o un proceso para el seguimiento del sistema de control interno) o pueden haber establecido procesos o sistemas con una documentación limitada o una falta de congruencia en el modo en que se realizan. Cuando dichos sistemas y procesos no están formalizados, el auditor puede todavía aplicar procedimientos de valoración del riesgo mediante la observación e indagación. Se espera que otras entidades, habitualmente entidades más complejas, tengan políticas y procedimientos más formales y docu- mentados. El auditor puede utilizar dicha documentación para la aplicación de procedimientos de valoración del riesgo. A18. Es posible que la naturaleza y extensión de los procedimientos de valoración del riesgo a aplicar la primera vez que se realiza un encargo sea más extensa que los procedimientos para un encargo recurrente. En periodos subsiguientes, el auditor se puede centrar en cambios que han ocurrido desde el periodo anterior. Tipos de procedimientos de valoración del riesgo (Ref: Apartado 14) A19. La NIA 50021 explica los tipos de procedimientos de auditoría que se pueden aplicar para la obtención de evidencia de auditoría de procedimientos de valoración del riesgo y de procedimientos posteriores de auditoría. La naturaleza, el momento de realización y la extensión de los procedimientos de auditoría pueden verse afectados por el hecho de que algunos de los datos contables y otra información estén disponibles sólo en formato electrónico o sólo en algunos momentos22 determinados. El auditor puede aplicar procedimientos sustantivos o pruebas de controles, de conformidad con la NIA 330, junto con procedimientos de 19 Véanse los apartados A37 y A38. 20 NIA 500, Evidencia de auditoría, apartado 7 21 NIA 500, apartados A14–A17 y A21–A25 22 NIA 500, apartado A12 valoración del riesgo cuando resulte eficiente hacerlo. Es posible que la evidencia de auditoría que sustenta la identificación y valoración de riesgos de incorrección material sustente asimismo la detección de incorrecciones materiales en las afirmaciones o la evaluación de la eficacia operativa de los controles. A20. Si bien se requiere que el auditor aplique todos los procedimientos de valoración del riesgo descritos en el apartado 14 para la obtención del conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (véanse los apartados 19-26), no se requiere que el auditor aplique todos ellos para cada aspecto de dicho conocimiento. Se pueden aplicar otros procedimientos cuando la información que se va a obtener pueda ser útil para la identificación de riesgos de incorrección material. Algunos ejemplos de esos procedimientos pueden incluir la realización de indagaciones ante los asesores jurídicos externos o los supervisores externos o ante los expertos en valoraciones a los que la entidad haya acudido. Herramientas y técnicas automatizadas (Ref: Apartado 14) A21. Mediante la utilización de herramientas y técnicas automatizadas, el auditor puede aplicar procedimientos de valoración del riesgo a un gran volumen de datos (del mayor, de los libros auxiliares o de otros datos operacionales) incluidos procedimientos de análisis, recálculos, reejecución o conciliaciones. Indagaciones ante la dirección y ante otras personas de la entidad (Ref: Apartado 14(a)) Por qué se realizan indagaciones ante la dirección y ante otras personas de la entidad A22. La información obtenida por el auditor para sustentar unas bases adecuadas para la identificación y valoración de riesgos y el diseño de procedimientos posteriores de auditoría se puede obtener mediante indagaciones ante la dirección y ante los responsables de la información financiera de la entidad. A23. Las indagaciones ante la dirección y los responsables de la información financiera y ante las personas adecuadas de la entidad y otros empleados con diferentes niveles de autoridad pueden facilitar al auditor perspectivas diferentes cuando identifica y valora riesgos de incorrección material. Ejemplos:  Las indagaciones dirigidas a los responsables del gobierno de la entidad pueden ayudar al auditor a conocer la extensión de la supervisión por los responsables del gobierno de la entidad sobre la preparación de los estados financieros por la dirección. La NIA 260 (Revisada)23 subraya la importancia de una comunicación recíproca eficaz que ayude al auditor en la obtención de información de los responsables del gobierno de la entidad a este respecto.  Las indagaciones ante empleados responsables de la puesta en marcha, procesamiento o registro de transacciones complejas o inusuales pueden ayudar al auditor a evaluar la adecuación de la selección y aplicación de ciertas políticas contables.  Las indagaciones dirigidas a los asesores jurídicos internos pueden proporcionar información acerca de cuestiones tales como litigios, cumplimiento de las disposiciones legales y reglamentarias, conocimiento de fraude o de indicios de fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos (tales como negocios conjuntos) con socios comerciales y el significado de términos contractuales.  Las indagaciones dirigidas al personal de los departamentos comerciales o de ventas pueden proporcionar información acerca de los cambios en las estrategias comerciales de la entidad, tendencias de las ventas, o acuerdos contractuales con los clientes.  Las indagaciones dirigidas a la función de gestión del riesgo (o ante los que desempeñan esa función) pueden proporcionar información acerca de los riesgos operativos y normativos que pueden afectar a la información financiera.  Las indagaciones dirigidas al personal de TI pueden proporcionar información acerca de cambios en sistemas, fallos de sistemas o de controles u otros riesgos relacionados con la TI. Consideraciones específicas para entidades del sector público A24. Al indagar ante las personas que pueden tener información que probablemente ayude en la identificación de riesgos de incorrección material, los auditores de entidades del sector público pueden obtener información de fuentes adicionales como los auditores que participan en la realización de otras auditorías relacionadas con la entidad. 23 NIA 260 (Revisada), Comunicación con los responsables del gobierno de la entidad, apartado 4(b) Indagaciones ante la función de auditoría interna El Anexo 4 contiene consideraciones para el conocimiento de la función de auditoría interna de una entidad. Por qué se realizan indagaciones ante la función de auditoría interna (si existe dicha función) A25. En el caso de que la entidad disponga de una función de auditoría interna, las indagaciones ante las personas adecuadas pertenecientes a esa función pueden ayudar al auditor en el conocimiento de la entidad y su entorno y el sistema de control interno de la entidad para la identificación y valoración de riesgos. Consideraciones específicas para entidades del sector público A26. Los auditores de entidades del sector público a menudo tienen responsabilidades adicionales en relación con el control interno y con el cumplimiento de las disposiciones legales y reglamentarias aplicables. Las indagaciones ante las personas adecuadas de la función de auditoría interna pueden ayudar al auditor en la identificación de riesgos de incumplimientos materiales de disposiciones legales y reglamentarias aplicables así como del riesgo de deficiencias de control relacionadas con la información financiera. Procedimientos analíticos (Ref: Apartado 14(b)) Por qué se aplican procedimientos analíticos como procedimiento de valoración del riesgo A27. Los procedimientos analíticos ayudan a la identificación de incongruencias, transacciones o hechos inusuales, así como de cantidades, ratios y tendencias que pueden poner de manifiesto cuestiones que tengan implicaciones para la auditoría. Las relaciones inusuales o inesperadas que se identifiquen pueden ayudar al auditor en la identificación de riesgos de incorrección material, especialmente los debidos a fraude. A28. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden, por tanto, ayudar en la identificación y valoración de los riesgos de incorrección material mediante la identificación de aspectos de la entidad que el auditor no conocía o el conocimiento del modo en que los factores de riesgo inherente, tal como el cambio, afectan a la susceptibilidad de las afirmaciones a incorrección. Tipos de procedimientos analíticos A29. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden:  Incluir información tanto financiera como no financiera, como, por ejemplo, la relación entre las ventas y la superficie destinada a las ventas o el volumen de los productos vendidos (no financiera).  Utilizar datos con un elevado grado de agregación. En consecuencia, los resultados de esos procedimientos analíticos pueden proporcionar una indicación general inicial sobre la probabilidad de que exista una incorrección material. Ejemplo: En la auditoría de muchas entidades, incluidas aquellas con modelos de negocio y procesos menos complejos y un sistema de información menos complejo, el auditor puede realizar una sencilla comparación de información, como, por ejemplo, el cambio en saldos contables intermedios o mensuales con respecto a los saldos de periodos anteriores para obtener una indicación de áreas potencialmente de mayor riesgo. A30. Esta NIA trata del uso por el auditor de procedimientos analíticos como procedimientos de valoración del riesgo. La NIA 52024 trata del uso por el auditor de procedimientos analíticos como procedimientos sustantivos (“procedimientos analíticos sustantivos”) y de la responsabilidad del auditor de aplicar procedimientos analíticos en una fecha cercana a la finalización de la auditoría. En consecuencia, no se requiere que la aplicación de procedimientos analíticos empleados como procedimientos de valoración del riesgo se realice de conformidad con los requerimientos de la NIA 520. Sin embargo, los requerimientos y guía de aplicación adicionales de la NIA 520 pueden proporcionar al auditor una orientación útil en la aplicación de procedimientos analíticos empleados como procedimientos de valoración del riesgo. Herramientas y técnicas automatizadas A31. Los procedimientos analíticos se pueden aplicar utilizando determinadas herramientas y técnicas que pueden ser automatizadas. La aplicación de procedimientos analíticos automatizados a los datos se puede denominar análisis de datos. 24 NIA 520, Procedimientos analíticos Ejemplo: El auditor puede utilizar una hoja de cálculo para realizar una comparación de importes reales registrados con importes pre- supuestados, o puede aplicar un procedimiento más avanzado, extrayendo datos del sistema de información de la entidad y analizando posteriormente esos datos utilizando técnicas de visualización para identificar tipos de transacciones, saldos con- tables o información a revelar que pueden justificar procedimientos específicos de valoración del riesgo. Observación e inspección (Ref: Apartado 14(c)) Por qué se realizan la observación e inspección como procedimientos de valoración del riesgo A32. La observación y la inspección pueden sustentar, corroborar o contradecir las indagaciones ante la dirección y ante otras personas, y pueden asimismo proporcionar información acerca de la entidad y de su entorno. Graduación A33. Cuando las políticas y procedimientos no están documentados, o la entidad tiene controles menos formales, es posible que el auditor aún pueda obtener alguna evidencia de auditoría que sustente la identificación y valoración de los riesgos de incorrección material mediante la observación o inspección de la realización del control. Ejemplos:  El auditor puede obtener conocimiento de los controles en un recuento de existencias, incluso si no han sido documentados por la entidad, mediante la observación directa.  El auditor puede observar la segregación de funciones.  El auditor puede observar cómo se introducen las contraseñas. Observación e inspección como procedimientos de valoración del riesgo A34. Los procedimientos de valoración del riesgo pueden incluir la observación o inspección de:  Las operaciones de la entidad.  Documentos internos (como planes y estrategias de negocio), registros y manuales de control interno.  Informes preparados por la dirección (como, por ejemplo, informes de gestión trimestrales y estados financieros intermedios) y por los responsables del gobierno de la entidad (como, por ejemplo, actas de las reuniones del consejo de administración).  Los locales e instalaciones industriales de la entidad.  La información obtenida de fuentes externas como revistas de negocios y económicas; informes de analistas, bancos o de agencias de calificación; publicaciones normativas o financieras; u otros documentos externos acerca de los resultados de la entidad (como los que se mencionan en el apartado A79).  Los comportamientos y actuaciones de la dirección o de los responsables del gobierno de la entidad (como la observación de una reunión del comité de auditoría). Herramientas y técnicas automatizadas A35. Las herramientas y técnicas automatizadas también se pueden utilizar para observar o inspeccionar, en especial activos, por ejemplo, mediante el uso de herramientas de observación remota (por ejemplo, un dron). Consideraciones específicas para entidades del sector público A36. Los procedimientos de valoración del riesgo aplicados por los auditores de entidades del sector público también pueden incluir la observación e inspección de documentos preparados por la dirección para el Parlamento, por ejemplo, documentos relacionados con informes obligatorios sobre resultados. Información procedente de otras fuentes (Ref: Apartado 15) Por qué el auditor tiene en cuenta información procedente de otras fuentes A37. La información obtenida de otras fuentes puede ser relevante para la identificación y valoración de los riesgos de incorrección material proporcionando información y perspectiva sobre:  La naturaleza de la entidad y sus riesgos de negocio y los cambios que se pueden haber producido con respecto a periodos anteriores.  La integridad y los valores éticos de la dirección y de los responsables del gobierno de la entidad, que también pueden ser relevantes para el conocimiento del entorno de control por el auditor.  El marco de información financiera aplicable y su aplicación a la naturaleza y las circunstancias de la entidad. Otras fuentes relevantes A38. Otras fuentes de información relevantes incluyen:  Los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o el encargo de auditoría de conformidad con la NIA 220, incluidas las conclusiones alcanzadas al respecto25.  Otros encargos realizados por el socio del encargo para la entidad. Es posible que el socio del encargo haya obtenido conocimiento relevante para la auditoría, incluido conocimiento sobre la entidad y su entorno, al realizar otros encargos para la entidad. Dichos encargos pueden incluir encargos de procedimientos acordados u otros encargos de auditoría o de aseguramiento, incluidos trabajos para responder a requerimientos adicionales de información en la jurisdicción. Información obtenida de la experiencia anterior con la entidad y de auditorías anteriores (Ref: Apartado 16) Por qué la información de auditorías anteriores es importante para la auditoría actual A39. La experiencia previa del auditor con la entidad y la de los procedimientos de auditoría aplicados en auditorías anteriores le pueden proporcionar información relevante para la determinación de la naturaleza y extensión de los procedimientos de valoración del riesgo y la identificación y valoración de los riesgos de incorrección material. Naturaleza de la información de auditorías anteriores A40. La experiencia previa del auditor con la entidad y los procedimientos de auditoría aplicados en auditorías anteriores pueden proporcionar al auditor información sobre cuestiones como:  Incorrecciones pasadas y si fueron oportunamente corregidas.  La naturaleza de la entidad y su entorno, y el sistema de control interno de la entidad (incluidas las deficiencias de control).  Cambios significativos que pueden haberse producido en la entidad o en sus operaciones desde el periodo anterior.  Aquellos tipos específicos de transacciones y otros hechos o saldos contables (y la correspondiente información a revelar) para los que el auditor experimentó dificultades en la aplicación de los procedimientos de auditoría necesarios, por ejemplo, debido a su complejidad. A41. Si el auditor tiene intención de utilizar esa información para los fines de la auditoría actual, se requiere que determine si la información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores sigue siendo relevante y fiable. Si han cambiado la naturaleza o las circunstanciad de la entidad, o se ha obtenido nueva información, es posible que la información de periodos anteriores no siga siendo relevante o fiable para la auditoría actual. Con el fin de determinar si se han producido cambios que puedan afectar a la relevancia y fiabilidad de dicha información, el auditor puede realizar indagaciones y aplicar otros procedimientos de auditoría adecuados, tales como la comprobación paso a paso de sistemas relevantes. Si la información no es fiable, el auditor puede considerar aplicar procedimientos adicionales que sean adecuados en función de las circunstancias. Discusión por el equipo del encargo (Ref: Apartados 17-18) Por qué se requiere que el equipo del encargo discuta la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material. A42. La discusión entre los miembros del equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material:  Proporciona una oportunidad a los miembros del equipo del encargo con más experiencia, incluido el socio del encargo, de compartir su información basada en su conocimiento de la entidad. Compartir información contribuye a mejorar el conocimiento de todos los miembros del equipo del encargo. 25 NIA 220, Control de calidad de la auditoría de estados financieros, apartado 12  Permite a los miembros del equipo del encargo intercambiar información sobre los riesgos de negocio a los que está sometida la entidad, sobre el modo en que los factores de riesgo inherente pueden afectar a la susceptibilidad de incorrección de los tipos de transacciones, saldos contables e información a revelar, así como sobre el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude o error y sobre su posible localización.  Ayuda a los miembros del equipo del encargo en la obtención de un mejor conocimiento de la posibilidad de que los estados financieros contengan una incorrección material en el área específica que les ha sido asignada, así como la comprensión de la manera en que los resultados de los procedimientos de auditoría aplicados por ellos pueden afectar a otros aspectos de la auditoría, incluidas las decisiones sobre la naturaleza, el momento de realización y la extensión de procedimientos posteriores de auditoría. En especial, la discusión ayuda a los miembros del equipo del encargo a considerar en mayor medida información contradictoria basada en el conocimiento de cada uno de los miembros acerca de la naturaleza y las circunstancias de la entidad.  Proporciona una base para que los miembros del equipo del encargo se comuniquen y compartan nueva información, obtenida en el curso de la auditoría, que puede afectar a la valoración del riesgo de incorrección material o a los procedimientos de auditoría realizados para responder a dichos riesgos. La NIA 240 requiere que la discusión por el equipo del encargo ponga un énfasis especial en el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude y las partidas a las que puede afectar, incluida la forma en que podría producirse el fraude26. A43. El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría y una discusión por el equipo del encargo sólida y abierta, incluido para auditorías recurrentes, puede conducir a una mejor identificación y valoración de los riesgos de incorrección material. Otro resultado de la discusión puede ser que el auditor identifique áreas específicas de la auditoría para las que puede ser especialmente importante aplicar el escepticismo profesional y puede llevar a la participación de miembros del equipo del encargo con mayor experiencia y la cualificación adecuada para participar en la aplicación de procedimientos de auditoría relacionados con esas áreas. Graduación A44. Cuando el encargo es realizado por una sola persona, como un profesional ejerciente individual (es decir, cuando no sería posible una discusión por el equipo del encargo), considerar las cuestiones mencionadas en los apartados A42 y A46 puede, sin embargo, ayudar al auditor a identificar dónde puede haber riesgos de incorrección material. A45. Cuando el encargo es realizado por un equipo del encargo numeroso, como en el caso de la auditoría de los estados financieros de un grupo, no siempre es necesario o práctico que participen todos los miembros en una misma discusión (como, por ejemplo, en el caso de una auditoría en múltiples ubicaciones), ni es necesario que todos los miembros del equipo del encargo estén informados de todas las decisiones que se tomen en la discusión. El socio del encargo puede discutir las cuestiones con miembros clave del equipo del encargo, incluidos, si se considera adecuado, aquéllos con cualificaciones o conocimientos específicos y los responsables de las auditorías de los componentes, delegando la discusión con otros miembros, teniendo en cuenta la extensión de la comunicación a la totalidad del equipo del encargo que se considera necesaria. Puede ser útil un plan de comunicaciones acordado por el socio del encargo. Discusión sobre la información a revelar del marco de información financiera aplicable. A46. Como parte de la discusión entre los miembros del equipo del encargo, la consideración de los requerimientos de información a revelar del marco de información financiera aplicable ayuda en la identificación, al inicio de la auditoría, de dónde puede haber riesgos de incorrección material en relación con la información a revelar, incluso en casos en los que el marco de información financiera aplicable sólo requiere información a revelar simplificada. Algunas de las cuestiones que puede discutir el equipo del encargo incluyen:  cambios en los requerimientos de información financiera que pueden producir información a revelar significativa nueva o revisada;  cambios en el entorno, en la situación financiera o en las actividades de la entidad que pueden tener como resultado información a revelar significativa nueva o revisada, por ejemplo, una combinación de negocios significativa en el periodo objeto de auditoría;  información a revelar para la cual ha podido ser difícil en el pasado obtener evidencia de auditoría suficiente y adecuada;  información a revelar sobre cuestiones complejas, incluidas las que requieren juicios significativos de la dirección acerca de la información a revelar. 26 NIA 240, apartado 16 Consideraciones específicas para entidades del sector público A47. Como parte de la discusión entre los miembros del equipo del encargo por auditores de entidades del sector público, también se puede considerar cualquier objetivo adicional más amplio, y los riesgos relacionados, que origina el mandato de auditoría o de las obligaciones de las entidades del sector público. Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (Ref: Apartados 19‒27) Los Anexos 1 a 6 contienen consideraciones adicionales en relación con la obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad. Obtención del conocimiento requerido (Ref: Apartados 19‒27) A48. La obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno es un proceso dinámico e iterativo de recopilación, actualización y análisis de información durante toda la auditoría. En consecuencia, las expectativas del auditor pueden cambiar a medida que se obtiene nueva información. A49. El conocimiento del auditor de la entidad y su entorno y del marco de información financiera aplicable también puede ayudarle en el desarrollo de expectativas iniciales sobre los tipos de transacciones, saldos contables e información a revelar que puedan ser tipos de transacciones, saldos contables e información a revelar significativos. Estos tipos de transacciones, saldos contables e información a revelar que se esperan significativos constituyen las bases del alcance del conocimiento del auditor del sistema de información de la entidad. Por qué se requiere la obtención de conocimiento de la entidad y su entorno y del marco de información financiera aplicable (Ref: Apartados 19‒20) A50. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable le ayuda en la comprensión de los hechos y condiciones que son relevantes para la entidad y en la identificación del modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros, de conformidad con el marco de información financiera aplicable, y el grado en que lo hacen. Dicha información constituye un marco de referencia dentro del cual el auditor identifica y valora los riesgos de incorrección material. Este marco de referencia también ayuda al auditor a planificar la auditoría y aplicar su juicio y escepticismo profesionales durante toda la auditoría, por ejemplo:  en la identificación y valoración de los riesgos de incorrección material en los estados financieros de conformidad con la NIA 315 (Revisada 2019) u otras normas aplicables (por ejemplo, las relacionadas con los riesgos de fraude de conformidad con la NIA 240 o al identificar y valorar riesgos relacionados con estimaciones contables de conformidad con la NIA 540 (Revisada));  en la aplicación de procedimientos que ayuden a identificar casos de incumplimiento de disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros de conformidad con la NIA25027;  en la evaluación de si los estados financieros proporcionan información a revelar adecuada de conformidad con la NIA 700 (Revisada)28;  en la determinación de la importancia relativa para los estados financieros y para la ejecución del trabajo, de conformidad con la NIA 32029; o  al considerar lo adecuado de la selección y aplicación de políticas contables, así como de las revelaciones de información en los estados financieros. A51. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable también está presente en el modo en que el auditor planifica y aplica procedimientos posteriores de auditoría, por ejemplo:  en el desarrollo de expectativas para su utilización en la aplicación de procedimientos analíticos de conformidad con la NIA 52030;  en el diseño y aplicación de los procedimientos posteriores de auditoría con el fin de obtener evidencia de auditoría 27 NIA 250 (Revisada), Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros, apartado 14 28 NIA 700 (Revisada), Formación de la opinión y emisión del informe de auditoría sobre los estados financieros, apartado 13 (e) 29 NIA 320, Importancia relativa o materialidad en la planificación y ejecución de la auditoría, apartados 10-11 30 NIA 520, apartado 5 suficiente y adecuada de conformidad con la NIA 330; y  en la evaluación de la suficiencia y adecuación de la evidencia de auditoría obtenida (por ejemplo, relativa a las hipótesis o a las manifestaciones verbales y escritas de la dirección). Graduación A52. La naturaleza y la extensión del conocimiento que se requiere es una cuestión de juicio profesional del auditor y varía de una entidad a otra en función de la naturaleza y las circunstancias de la entidad, incluido:  la dimensión y la complejidad de la entidad, incluido su entorno de TI;  la experiencia previa del auditor con la entidad;  la naturaleza de los sistemas y procesos de la entidad, incluido si están o no formalizados, y  la naturaleza y forma de la documentación de la entidad. A53. Los procedimientos de valoración del riesgo del auditor para obtener el conocimiento requerido pueden ser menos extensos en auditorías de entidades menos complejas y más extensos en el caso de entidades más complejas. Se espera que el grado de conocimiento que debe tener el auditor sea inferior al poseído por la dirección para dirigir la entidad. A54. Algunos marcos de información financiera permiten que las entidades de pequeña dimensión proporcionen información a revelar más sencilla y menos detallada en los estados financieros. Sin embargo, esto no exime al auditor de la responsabilidad de obtener un conocimiento de la entidad y de su entorno y del modo en que es aplicable a la entidad el marco de información financiera. A55. La utilización de TI y la naturaleza y extensión de cambios en el entorno de las TI pueden afectar también a las cualificaciones especializadas necesarias para ayudar en la obtención del conocimiento requerido. La entidad y su entorno (Ref: Apartado 19(a)) La estructura organizativa, de propiedad y de gobierno de la entidad, y su modelo de negocio (Ref: Apartado 19(a)(i)) La estructura organizativa y de propiedad de la entidad A56. El conocimiento de la estructura organizativa y de propiedad de la entidad puede permitir al auditor comprender cuestiones como:  La complejidad de la estructura de la entidad. Ejemplo: La entidad puede ser una entidad aislada o su estructura puede incluir filiales, divisiones u otros componentes en múltiples ubicaciones. Además, la estructura legal puede ser diferente de la estructura operativa. Las estructuras complejas a menudo introducen factores que pueden dar lugar a una mayor susceptibilidad de riesgos de incorrección material. Entre esas cuestiones están, por ejemplo, las relativas a la adecuada contabilización del fondo de comercio, de los negocios conjuntos, de las inversiones o de las entidades con cometido especial y si se han revelado adecuadamente dichas cuestiones en los estados financieros.  La propiedad y las relaciones entre los propietarios y otras personas o entidades, incluidas las partes vinculadas. Dicho conocimiento puede ayudar en la determinación de si las transacciones con partes vinculadas han sido adecuadamente identificadas, contabilizadas y reveladas en los estados financieros31.  La distinción entre los propietarios, los responsables del gobierno de la entidad y la dirección. Ejemplo: En entidades menos complejas, sus propietarios pueden participar en la dirección de la entidad por lo que hay poca o ninguna distinción. Por el contrario, como en el caso de algunas entidades cotizadas, puede haber una distinción clara entre la dirección, los propietarios de la entidad y los responsables del gobierno32.  La estructura y la complejidad del entorno de TI de la entidad. 31 La NIA 550 establece requerimientos y proporciona orientaciones para las consideraciones del auditor relativas a las partes vinculadas. 32 La NIA 260 (Revisada), apartados A1 y A2, proporciona orientaciones sobre la identificación de los responsables del gobierno y explica que, en algunos casos, es posible que todos o algunos de los responsables del gobierno participen en la dirección de la entidad. Ejemplos: Una entidad:  Puede tener, para distintas empresas, múltiples sistemas de TI heredados que no están bien integrados, lo que da lugar a un entorno de TI complejo.  Puede estar empleando proveedores de servicios externos o internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos de TI en un grupo). Herramientas y técnicas automatizadas A57. El auditor puede utilizar herramientas y técnicas automatizadas para entender los flujos de transacciones y su procesamiento como parte de sus procedimientos para conocer el sistema de información. Un resultado de esos procedimientos puede ser que el auditor obtenga información sobre la estructura organizativa de la entidad o sobre las personas con las que hace negocios (por ejemplo, proveedores, clientes, partes vinculadas). Consideraciones específicas para entidades del sector público A58. Es posible que la propiedad de una entidad del sector público no tenga la misma relevancia que en el caso del sector privado porque las decisiones relativas a la entidad puede que se tomen fuera de esta como resultado de procesos políticos. En consecuencia, es posible que la dirección no tenga control sobre ciertas decisiones que se toman. Algunas cuestiones que pueden ser relevantes incluyen comprender la capacidad de la entidad de tomar decisiones unilaterales y la capacidad de otras entidades del sector público para controlar o influir en el mandato y en la dirección estratégica de la entidad. Ejemplo: Una entidad del sector público puede estar sujeta a leyes u otras directrices de autoridades que la obliguen a obtener la aprobación de partes externas a la entidad sobre su estrategia y objetivos antes de implementarlos. En consecuencia, las cuestiones relacionadas con el conocimiento de la estructura legal de la entidad pueden incluir las disposiciones legales y reglamentarias aplicables y la clasificación de la entidad (es decir, si la entidad es un ministerio, un departamento, una agencia u otro tipo de entidad). Gobierno de la entidad Por qué el auditor obtiene conocimiento del gobierno de la entidad A59. Tener conocimiento del gobierno de la entidad puede ayudar al auditor a conocer la capacidad de la entidad de proporcionar una supervisión adecuada de su sistema de control interno. Sin embargo, este conocimiento también puede proporcionar evidencia de deficiencias que pueden indicar una mayor susceptibilidad de los estados financieros de la entidad a riesgos de incorrección material. Conocimiento del gobierno de la entidad A60. Algunas cuestiones que el auditor puede considerar para obtener conocimiento del gobierno de la entidad incluyen:  Si alguno o todos los responsables del gobierno de la entidad participan en su dirección.  La existencia de un consejo no ejecutivo y, en su caso, su separación de la dirección ejecutiva.  Si los responsables del gobierno de la entidad ocupan puestos que son parte integrante de la estructura legal de una entidad, como, por ejemplo, puestos de administradores.  La existencia de subgrupos de responsables del gobierno de la entidad, como, por ejemplo, un comité de auditoría, y las responsabilidades de esos grupos.  Las responsabilidades de los responsables del gobierno de la entidad en la supervisión de la información financiera, incluida la aprobación de los estados financieros. El modelo de negocio de la entidad El Anexo 1 contiene consideraciones adicionales para la obtención de conocimiento de la entidad y de su modelo de negocio, así como consideraciones adicionales relativas a la auditoría de entidades con cometido especial. Por qué el auditor obtiene conocimiento del modelo de negocio de la entidad A61. Conocer los objetivos, estrategia y modelo de negocio de la entidad ayuda al auditor a comprender la entidad en el ámbito estratégico y a comprender los riesgos de negocio que toma y a los que se enfrenta. El conocimiento de los riesgos de negocio que tienen un efecto en los estados financieros ayuda al auditor en la identificación de los riesgos de incorrección material, puesto que la mayor parte de los riesgos de negocio acaban teniendo consecuencias financieras y, por lo tanto, un efecto en los estados financieros. Ejemplos: El modelo de negocio puede confiar en la utilización de TI de diferentes maneras:  la entidad vende zapatos en una tienda física y utiliza un sistema avanzado de registro de inventario y de puntos de venta para registrar la venta de zapatos; o  la entidad vende zapatos por Internet por lo que todas las transacciones de ventas son procesadas en un entorno de TI, incluida el inicio de las transacciones a través de una página web. Para estas dos entidades, los riesgos de negocio derivados de modelos de negocio significativamente distintos serían sustancialmente diferentes, a pesar de que ambas vendan zapatos. Conocimiento del modelo de negocio de la entidad A62. No todos los aspectos del modelo de negocio son relevantes para el conocimiento del auditor. Los riesgos de negocio son más amplios que el riesgo de incorrección material en los estados financieros, aunque lo engloba. El auditor no tiene la responsabilidad de conocer o identificar todos los riesgos de negocio ya que no todos ellos dan lugar a riesgos de incorrección material. A63. Algunos riesgos de negocio que incrementan la susceptibilidad de riesgos de incorrección material se pueden derivar de:  Objetivos y estrategias inadecuados, una ejecución ineficaz de las estrategias o cambios o complejidad.  No reconocer la necesidad de cambio también puede dar lugar a un riesgo de negocio, por ejemplo, por: o el desarrollo de nuevos productos o servicios que pueden resultar fallidos; o un mercado que, incluso si ha sido desarrollado con éxito, es inadecuado para sustentar un producto o servicio; o o defectos en un producto o servicio que pueden producir responsabilidades legales y poner en riesgo la reputación.  incentivos y presiones sobre la dirección que pueden producir un sesgo intencionado o no de la dirección y, como resultado, afectar a la razonabilidad de hipótesis significativas y a las expectativas de la dirección o de los responsables del gobierno de la entidad. A64. Como ejemplos de cuestiones que el auditor puede tener en cuenta para obtener conocimiento del modelo de negocio, los objetivos, las estrategias y los correspondientes riesgos de negocio de la entidad que puedan producir un riesgo de incorrección material en los estados financieros cabe citar los siguientes:  desarrollos sectoriales como la falta de personal o de la especialización necesaria para hacer frente a los cambios en el sector;  nuevos productos y servicios, lo que puede llevar a un incremento de responsabilidades ligadas a los productos;  expansión del negocio y que la demanda no haya sido estimada correctamente;  nuevos requerimientos contables cuando se ha producido una implementación incompleta o incorrecta;  requerimientos normativos que dan lugar a una mayor vulnerabilidad desde un punto de vista jurídico;  requerimientos de financiación actuales y prospectivos, tales como la pérdida de financiación debido a la incapacidad de la entidad de cumplir los requerimientos;  la utilización de TI, como la implementación de un nuevo sistema de TI que afectará tanto a las operaciones como a la información financiera; o  los efectos de implementar una estrategia, en especial cualquier efecto que pueda dar lugar a nuevos requerimientos contables. A65. Normalmente, la dirección identifica los riesgos de negocio y desarrolla enfoques para darles respuesta. Dicho proceso de valoración del riesgo es un componente del sistema de control interno de la entidad y se trata en el apartado 22 y en los apartados A109-A113. Consideraciones específicas para entidades del sector público A66. Las entidades que operan en el sector público pueden crear y proporcionar valor en modos distintos a las que crean riq

NIA 315 (Revisada 2019) Identificación y Valoración del Riesgo de Incorrección Material PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue