AS-5 Auditoría del Control Interno AUDITING STANDARD No. 5 – ) ) AUDITORIA DEL CONTROL INTERNO ) PCAOB Release No. 2007-005 SOBRE EL PROCESO DE PRESENTACION ) Mayo 24, 2007 DE REPORTES FINANCIEROS ) INTEGRADA CON LA AUDITORIA DE ) PCAOB Rulemaking ESTADOS FINANCIEROS ) Docket Matter No. 021 ) Y REGLA DE INDEPENDENCIA ) RELACIONADA Y AJUSTES POR LAS ) ENMIENDAS ) Resumen: Luego de comentarios públicos, la Public Company Accounting Oversight Board está adoptando el Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre el proceso de presentación de reportes financieros integrada con la auditoría de estados financieros], así como una regla e independencia y el ajuste de las enmiendas a los estándares de auditoría de la Junta. Contacto en la Sharon Virga, Associate Chief Auditor (202/207-9164 Junta: Nota sobre esta traducción: Esta es una versión al español no-oficial, no-autorizada, preparada exclusivamente con fines académicos. La expresión ‘Internal Control Over Financial Reporting’, que es el tema central de este estándar, se traduce como ‘Control interno sobre el proceso de presentación de reportes financieros’. Otros podrían traducirla como ‘Control interno a la información financiera’. Si bien ambas traducciones son válidas, se prefiere la primera porque hace explícita la referencia al ‘proceso total’ no únicamente a una tarea (‘preparación’) o a un producto (‘reporte’). Claro está, ‘información financiera’ puede entenderse de las dos maneras. Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 1/105 AS-5 Auditoría del Control Interno ************ 1. Introducción En el 2002, el Congreso aprobó la Sarbanes-Oxley Act (la “Ley”), la cual, entre otras cosas, estableció nuevas provisiones relacionadas con el control interno sobre el proceso de presentación de reportes financieros. La Sección 404 de la Ley requiere que la administración de la compañía valore y reporte sobre la efectividad del control interno de la compañía. También requiere que el auditor independiente de la compañía, registrado en la Public Company Accounting Oversight Board (“PCAOB” o “Junta”), ateste las revelaciones de la administración relacionadas con la efectividad de su control interno. Tal y como es dirigido por las Secciones 103 y 104 de la Ley, la Junta estableció un estándar para gobernar la recientemente requerida auditoría y lo hizo adoptando el Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros desempeñada junto con una auditoría de estados financieros]♦ (“Auditing Standard No.2”).1 La Securities and Exchange Commission (“Comisión” o “SEC”) aprobó el Auditing Standard No. 2 en Junio 17, 2004.2 Desde que el Auditing Standard No. 2 se volvió efectivo, la Junta ha monitoreado estrechamente el progreso que las firmas registradas han tenido en la implementación de sus requerimientos. El monitoreo de la PCAOB ha incluido obtener información durante las inspecciones de las firmas de contaduría pública registradas; participación, junto con la SEC, en dos discusiones en mesas redondas con representantes de emisores, auditores, grupos de inversionistas, y otros; reunión con su Standing Advisory Group; recepción de retroalimentación proveniente de los participantes en los Forums on Auditing in the Small Business Environment de la Junta; y revisión de reportes y estudios académicos, gubernamentales, y de otro tipo. Como resultado de este monitoreo, surgieron dos proposiciones básicas.3 Primera, la auditoría del control interno sobre la presentación de reportes financieros ha producido beneficios significantes, incluyendo un enriquecido centro de atención en el gobierno corporativo y en los controles, así como información financiera de más alta calidad. Segundo, esos beneficios han llegado con un costo significante. Los costos han sido mayores que los esperados y, a veces, el esfuerzo relacionado ha parecido mayor que el necesario para realizar una efectiva auditoría del control interno sobre la presentación de reportes financieros. ♦ Publicada en español en: Mantilla y Cante. 2005. Auditoría del control interno. Bogotá: Ecoe ediciones (N del t) 1 Ver PCAOB Release No. 2004-001 (March 9, 2004). 2 Ver Securities Exchange Act Release No. 49884 (June 17, 2004). 3 Ver Proposed Auditing Standard: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements and Related Other Proposals, PCAOB Release No. 2006-007 (Dec. 19, 2006). Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 2/105 AS-5 Auditoría del Control Interno Como parte de un plan de cuatro puntos para mejorar la implementación de los requerimientos del control interno, la Junta determinó enmendar el Auditing Standard No. 2.4 En Diciembre 19, 2006, la Junta propuso para comentarios un nuevo estándar sobre auditoría del control interno, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros integrada con una auditoría de estados financieros], que reemplazaría al Auditing Standard No. 2. La Junta también propuso un estándar de auditoría relacionado, Considering and Using the Work of Others in an Audit [Consideración y uso del trabajo de otros en una auditoría], una regla de independencia relacionada con la prestación, por parte del auditor, de servicios de no-auditoría relacionados con el control interno, y enmiendas a sus estándares de auditoría.5 La Junta emitió esas propuestas con los objetivos principales de focalizar a los auditores en los asuntos más importantes de la auditoría del control interno sobre la presentación de reportes y de eliminar procedimientos que la Junta considera son innecesarios para una efectiva auditoría del control interno. Las propuestas fueron diseñadas tanto para incrementar la probabilidad de que las debilidades materiales en el control interno de las compañías se encontrarán antes que causen declaraciones equivocadas de los estados financieros como para liberar al auditor de procedimientos que no son necesarios para lograr los beneficios que se buscan. La Junta también buscó hacer más escalable la auditoría del control interno para las compañías públicas más pequeñas y menos complejas y para hacer el texto del estándar más fácil de entender. En la formulación de esas propuestas, la Junta volvió a evaluar cada aspecto significante del Auditing Standard No. 2. La Junta recibió 175 cartas comentario sobre sus propuestas. La Junta también discutió las propuestas con su Standing Advisory Group en Febrero 22, 2007.6 Una gran mayoría de comentaristas generalmente apoyó las propuestas de la Junta, particularmente del enfoque de arriba-hacia-abajo, basado-en-riesgos y del centro de atención en los asuntos más importantes. Con base en los comentarios recibidos, la Junta considera que la propuesta logra, en gran parte, los objetivos que la Junta estableció cuando decidió enmendar el Auditing Standard No. 2. Muchos comentaristas también ofrecieron sugerencias para mejorar el estándar final, las cuales la Junta analizó cuidadosamente. Al considerar los comentarios recibidos y formular el estándar final, la Junta coordinó estrechamente su trabajo con la SEC, que propuso orientación para la administración sobre la evaluación del control interno al mismo tiempo que la Junta emitió sus propuestas.7 Además de su 4 Ver PCAOB Press Release, “La Junta anuncia plan de cuatro puntos para mejorar la implementación de los requerimientos de presentación de reportes sobre el control interno” (Mayo 17, 2006). Los otros aspectos del plan son; (1) reforzar la eficiencia del auditor mediante inspecciones de la PCAOB; (2) desarrollar o facilitar el desarrollo de orientación para la implementación, para los auditores de las compañías públicas más pequeñas; y (3) continuar los PCAOB Forums on Auditing in the Small Business Environment. 5 Ver Proponed Auditing Standard: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements and Related Other Proposals, PCAOB Release No. 2006-007 (Dec. 19, 2006) 6 Una trascripción de la parte de la reunión que se relaciona con las propuestas y un web cast de toda la reunión están disponibles en la página web de la Junta en http://www.pcaobus.org/Standards/Standing_Advisory_Group/Meetings/2007/02-22/SAG_Transcript.pdf 7 Ver Securities Exchange Act Release No. 54976 (Dec. 20, 2006) Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 3/105 AS-5 Auditoría del Control Interno rol en la implementación de la Sección 404(a) de la Ley, la SEC tiene que aprobar los nuevos estándares de auditoría de la PCAOB antes de que se vuelvan efectivos.8 En Abril 4, 2007, la Comisión sostuvo una reunión pública para discutir las propuestas de la Junta y coordinar esas propuestas con la orientación, para la administración, propuesta por la Comisión. En la reunión, el personal de la SEC proveyó a la Comisión con su análisis de los comentarios públicos sobre la propuesta de la PCAOB y sobre la propuesta orientación para la administración. La Comisión endosó las recomendaciones de su personal y dirigió a su personal para que centrara su restante trabajo en cuatro áreas: * “Alinear el nuevo estándar de auditoría de la PCAOB... con la nueva orientación para la administración propuesta por la SEC, bajo la Sección 404, particularmente con relación a requerimientos prescriptivos, definiciones, y términos”; * “Escalar la auditoría de la 404 para tener en cuenta los hechos y las circunstancias particulares de las compañías, especialmente las compañías más pequeñas”; * “Fomentar que los auditores usen el juicio profesional en el proceso 404, particularmente usando valoración-del-riesgo”; y * “Seguir un enfoque basado-en-principios para determinar cuándo y en qué extensión el auditor puede usar el trabajo de otros.”9 Luego de considerar cuidadosamente los comentarios recibidos y el input proveniente de la SEC, la Junta ha vuelto a refinar sus propuestas para proveer claridad adicional y ayudar adicionalmente al auditor a centrarse en los asuntos más importantes. La Junta ha decidido adoptar el estándar revisado sobre auditoría del control interno como Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros integrada con la auditoría de estados financieros] (“Auditing Standard No. 5”), para reemplazar al Auditing Standard No. 2. La Junta también ha decidido adoptar la regla de independencia y los ajustes por las enmiendas a los estándares de auditoría.10 2. Áreas notables de cambio en el estándar final Tal y como se manifestó arriba, la Junta considera que los cambios hechos a la propuesta reflejan refinamientos, más que cambios significantes en el enfoque. Esta sección describe las áreas de cambio a las propuestas, que son más notables. El Apéndice 4 contiene discusión 8 Ver Sección 107 de la Ley 9 Ver SEC Press Release, “SEC Commissioners Endorse Improved Sarbanes-Oxley Implementation To Ease Smaller Company Burdens, Focusing Effort On ‘What Truly Matters’! (Apr. 4, 2007) 10 Ver Tal y como se discute abajo, la Junta ha determinado no adoptar el estándar de auditoría propuesto sobre consideración y uso del trabajo de otros. Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 4/105 AS-5 Auditoría del Control Interno adicional de los comentarios recibidos sobre las propuestas y la respuesta de la Junta. A. Alineación con la orientación para la administración En Diciembre 20, 2006, la SEC emitió propuesta de orientación para ayudarle a la administración a evaluar el control internos para los propósitos de su valoración anual. Al formular un nuevo estándar sobre auditoría del control interno, la Junta buscó describir un proceso de auditoría que estaría coordinado con el proceso de evaluación que realiza la administración. Sin embargo, muchos comentaristas sugirieron que la orientación para la administración, elaborada por la SEC, y el estándar de la Junta deberían estar más estrechamente alineados. Luego de considerar los comentarios en esta área, la Junta ha decidido hacer cambios que mejorarán la coordinación entre la administración para la administración, elaborada por la SEC, y el estándar de la Junta. Al hacer esto, la Junta ha estado consciente de las diferencias inherentes en los roles de la administración y del auditor. La diaria relación de la administración con su sistema de control interno le provee con conocimiento e información que puede influir en sus juicios sobre cómo evaluar de mejor manera el control interno y la suficiencia de la evidencia que necesita para su valoración anual. La administración también debe ser capaz de confiar en la auto-valoración y, más generalmente, el componente de monitoreo del control interno, provisto que el componente monitoreo está apropiadamente diseñado y opera de manera efectiva. Se requiere que el auditor provea una opinión independiente sobre la efectividad del control interno de la compañía sobre la presentación de reportes financieros. El auditor no tiene misma familiaridad que tiene la administración sobre los controles de la compañía y no interactúa con u observa esos controles con la misma frecuencia que la administración. Por consiguiente, el auditor no puede obtener suficiente evidencia para apoyar una opinión sobre la efectividad del control interno basado únicamente en la observación de o en la interacción con los controles de la compañía. Más aún, el auditor necesita desempeñar procedimientos tales como indagación, observación, e inspección de documentos, o recorridos, que constan de una combinación de esos procedimientos, en orden a entender plenamente e identificar las posibles fuentes de declaraciones equivocadas potenciales, mientras que la administración tiene que ser consciente de esas áreas de riesgo en una base ongoing. La Junta considera, sin embargo, que los conceptos generales necesarios para un entendimiento del control interno deben ser descritos de la misma manera en el estándar de la Junta y en la orientación de la SEC. De acuerdo con ello, la Junta ha decidido usar en este estándar la misma definición de debilidad material que la SEC usa en su orientación final para la administración y en las reglas relacionadas. Además, la Junta está adoptando la definición de deficiencias significantes que la SEC ha propuesto. El estándar final y la orientación para la administración final también describen los mismos indicadores de debilidad material. Además, como se describe más plenamente abajo, el estándar final sobre auditoría del control interno usa el término “controles a nivel-de-entidad” en lugar de “controles a nivel-de-compañía”, que se usó en el estándar propuesto, Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 5/105 AS-5 Auditoría del Control Interno en orden a usar el mismo término que la SEC usa en su orientación para la administración final.11 La discusión contenida en el Auditing Standard No. 5 sobre el efecto de esos controles también es consistente con la discusión del mismo tema en la orientación final de la SEC. B. Enfoque de arriba-hacia-abajo El estándar propuesto sobre auditoría del control interno estuvo estructurado alrededor del enfoque top-down para identificar los controles más importantes a probar. Este enfoque sigue los mismos principios que aplican a la auditoría de estados financieros – el auditor determina las áreas de atención mediante la identificación de las cuentas y revelaciones significantes y las aserciones relevantes. Bajo el estándar propuesto, el auditor específicamente identificaría las principales clases de transacciones y los procesos significantes antes de identificar los controles a probar. En respuesta a los comentarios sobre el nivel de detalle en los requerimientos del estándar propuesto, la Junta ha vuelto a considerar si el estándar final debe incluir la identificación de las principales clases de transacciones y los procesos significantes como un paso específicamente requerido en el enfoque de arriba-hacia-abajo. La Junta considera, sin embargo, que son innecesarios requerimientos específicos para dirigir al auditor sobre cómo obtener ese entendimiento y contribuirían a un “enfoque de lista de chequeo” para el cumplimiento, particularmente para auditores que tienen una amplia familiaridad con la compañía. De acuerdo con ello, la Junta ha eliminado del estándar final el requerimiento de identificar las principales clases de transacciones y procesos significantes. Si bien esto debe permitir que los auditores apliquen más juicio profesional cuando trabajan con el enfoque de arriba-hacia-abajo, el punto final es el mismo que en el estándar propuesto – el requerimiento de probar aquellos controles que direccionan el riesgo valorado de declaración equivocada material para cada aserción relevante.12 C. Énfasis en los controles al fraude El estándar propuesto sobre auditoría del control interno discutió los controles al fraude y los procedimientos del auditor relacionados con esos controles entre los conceptos de prueba que se incluyeron hacia el final del estándar. Los comentaristas sugirieron que la ubicación de la discusión, o la carencia de especificidad relacionada con los controles que se deben considerar controles al fraude, fallaban en enfatizar de manera apropiada esos controles o en proveer a los auditores con suficiente dirección sobre cómo probar los controles al fraude. En respuesta, la junta ha hecho algunos cambios en el estándar final. Primero, la discusión del riesgo de fraude y los controles anti-fraude ha sido trasladada más cerca 11 En el estándar propuesto y en la orientación para la administración propuesta por la SEC sos términos fueron usados de manera intercambiable y, para esos propósitos, significan la misma cosa. Ver Securities Exchange Act Release No. 54976 (Dec. 20, 2006), at 12 fn. 29. 12 Ver parágrafo 21 Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 6/105 AS-5 Auditoría del Control Interno del comienzo del estándar para enfatizar a los auditores la importancia relativa de esos asuntos al valorar el riesgo mediante el enfoque de arriba-hacia-abajo.13 La incorporación de la valoración que hace el auditor sobre el riesgo de fraude – requerida en la auditoría de estados financieros – en el proceso de planeación del auditor para la auditoría del control interno debe promover la calidad de la auditoría así como mejor integración. Si bien el control interno no puede proveer seguridad absoluta de que el fraude será prevenido o detectado, esos controles deben ayudar a reducir los casos de fraude, y, por consiguiente, un centro de atención concertado en los controles al fraude en la auditoría del control interno debe enriquecer la protección de los inversionistas. Segundo, el fraude de la administración también ha sido identificado en el estándar final como un área de riesgo más alto; de acuerdo con ello, el auditor debe focalizar más su atención en esta área.14 Finalmente, el estándar, tal y como es adoptado, provee orientación adicional sobre los tipos de controles que tienen que direccional el riesgo de fraude.15 D. Controles a nivel-de-entidad El estándar propuesto sobre auditoría del control interno enfatiza los controles a nivel-de-entidad a causa de su importancia tanto para la capacidad del auditor para personalizar apropiadamente la auditoría mediante un enfoque de arriba-hacia-abajo – específicamente mediante la identificación y prueba de los controles más importantes – y para el control interno efectivo. Adicionalmente, el estándar propuesto enfatiza que esos controles pueden, dependiendo de las circunstancias, permitir que el auditor reduzca las pruebas de los controles a nivel de procesos. Los comentaristas sugirieron que el estándar propuesto no proveía suficiente dirección sobre cómo los controles a nivel-de-entidad pueden reducir significativamente las pruebas, y algunos sugirieron que no son comunes los controles que operan con el nivel de precisión necesario para hacerlo. Muchos comentaristas sugirieron incorporar en el estándar final la discusión de controles a nivel-de-entidad directos versus indirectos que fue incluida en la orientación para la administración propuesta por la SEC. La Junta continúa creyendo que los controles a nivel-de-entidad, dependiendo de cómo están diseñados y operan, pueden reducir la prueba de los otros controles relacionados con una aserción relevante. Esto es ya sea porque el control a nivel-de-entidad direcciona de manera suficiente el riesgo relacionado con la aserción relevante, o porque los controles a nivel-de-entidad proveen algún aseguramiento de manera que se puede reducir la prueba de los otros controles relacionados con esa aserción. En respuesta a los comentarios y en orden a clarificar esos conceptos, la Junta incluyó en el estándar final una discusión de tres categorías amplias de controles a nivel-de-entidad, que varían en naturaleza y precisión, junto con una explicación de cómo cada categoría puede tener un efecto diferente en el desempeño de pruebas de los otros controles.16 13 Ver parágrafos 14 y 15 14 Ver parágrafo 11 15 Ver parágrafo 14 16 Ver parágrafo 23. La Junta considera que la experticia de los auditores y de las compañías en el área de los controles a nivel de entidad continuará evolucionando. Por ejemplo, el Committee of Sponsoring Organizations of the Treadway Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 7/105 AS-5 Auditoría del Control Interno El estándar final explica que algunos controles, tañes como ciertos controles del ambiente de control, tienen un efecto importante, pero indirecto, sobre la probabilidad de que una declaración equivocada será detectada o prevenida sobre una base oportuna. Esos controles pueden afectar los otros controles que el auditor selecciona para probar, así como la naturaleza, oportunidad, y extensión de los procedimientos que el auditor desempeña sobre los otros controles. El estándar final explica que los otros controles a nivel-de-entidad pueden no operar con el nivel de precisión requerido para eliminar la necesidad de probar los otros controles, pero pueden reducir el nivel requerido de prueba de los otros controles, algunas veces de manera sustancial. Esto se debe a que alguna de la evidencia de apoyo relacionada con un control el auditor la obtiene de un control a nivel-de-entidad y la evidencia necesaria que resta la obtiene de la prueba del control a nivel de los procesos. Los controles que monitorean la operación de los otros controles son el mejor ejemplo de esos tipos de controles. Ese monitoreo de los controles ayuda a proveer aseguramiento de que los controles que direccional un riesgo particular son efectivos y, por consiguiente, pueden proveer alguna evidencia sobre la efectividad de aquellos controles de nivel- m-as-bajo, reduciendo la prueba de esos controles que de otra manera serian necesarios. Por último, el estándar final explica que algunos controles a nivel-de-entidad pueden operar a un nivel de precisión que, sin la necesidad de otros controles, direccionan de manera suficiente el riesgo de declaración equivocada material para una aserción relevante. Si un control direcciona suficientemente el riesgo de esta manera, el auditor no necesita probar los otros controles relacionados con ese riesgo. E. Recorridos El estándar propuesto sobre auditoría del control interno habría requerido que los auditores desempeñen cada año un recorrido de cada proceso significante. Este requerimiento propuesto representaba un cambio a partir del Auditing Standard No. 2. que requería un recorrido de cada clase principal de transacciones dentro de un proceso significante. Los comentaristas se dividieron sobre la pregunta de si la re-calibración a partir de las clases principales de transacciones para los procesos significantes en el estándar propuesto resultaría en una reducción del esfuerzo. Algunos emisores y auditores sugirieron que ya se están desempeñando recorridos sobre los procesos significantes, mientras que otros emisores y auditores comentaron que este requerimiento propuesto haría una diferencia. Unos pocos comentaristas sugirieron que un recorrido de cada proceso significante era insuficiente y afectaría de manera negativa la calidad de la auditoría, pero muchos otros señalaron que los recorridos no se deben requerir de manera alguna. Al evaluar esos comentarios, la Junta se centró principalmente en los objetivo que considera se alcanzan mediante un recorrido apropiadamente desempeñado. La Junta considera firmemente que esos objetivos se deben cumplir para que el auditor verifique que tiene suficiente Commission ha iniciado un proyecto sobre el componente monitoreo del control interno, el cual puede proveer alguna orientación en esta área. Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 8/105 AS-5 Auditoría del Control Interno entendimiento de los puntos dentro del proceso donde pudieran ocurrir declaraciones equivocadas y para que identifique de manera apropiada los controles a probar.17 Los procedimientos que satisfacen plenamente esos objetivos también juegan un rol importante en la evaluación de la efectividad del diseño de los controles. La Junta considera que, en algunos casos, el requerimiento de desempeñar un recorrido puede oscurecer los objetivos que se busca lograr. Esto puede haber resultado en que algunos recorridos se estén desempeñando para satisfacer el requerimiento pero que fallan en lograr su propósito. El estándar final, por consiguiente, se centra específicamente en lograr ciertos objetivos importantes, y el requerimiento de desempeño se basa en satisfacer plenamente esos objetivos en cuanto se relacionan con el entendimiento de las fuentes probables de declaración equivocada y la selección de los controles a probar.18 Si bien un recorrido frecuentemente será la mejor manera para lograr esas metas, el centro de atención del auditor debe estar en los objetivos, no en la mecánica del recorrido. En algunos casos, otros procedimientos pueden ser medios igual o más efectivos para lograrlos. F. Evaluación y comunicación de las deficiencias El estándar propuesto sobre auditoría del control interno requería que el auditor evalúa la severidad de las deficiencias de control identificadas, para determinar si son deficiencias significantes o debilidades materiales. Luego requería que el auditor comunique, por escrito, a la administración y al comité de auditoría, todas las deficiencias significantes y todas las debilidades materiales identificadas durante la auditoría. El estándar propuesto definió “deficiencia significante” como “deficiencia de control, o combinación de deficiencias, tales que hay una posibilidad razonable de que una declaración equivocada significante de los estados financieros anuales o intermedios de la compañía no será prevenida o detectada.” El término “declaración equivocada significante” fue definido, a su vez, para significar “declaración equivocada que es menos que material pero suficientemente importante para merecer la atención de quienes son responsables por la supervisión de la información financiera de la compañía.” Los comentaristas generalmente apoyaron la definición propuesta del término “declaración equivocada significante” si bien algunos estuvieron preocupados porque era demasiado subjetiva. Otros comentaristas cuestionaron si el estándar debe incluir una definición de deficiencia significante y un requerimiento de comunicar las deficiencias significantes al comité de auditoría. Al menos un comentarista sugirió que el término fuera retirado del estándar. Luego de considerar esos comentarios, la Junta determinó hacer cambios a la definición de deficiencia significante y a los requerimientos relacionados.19 La Junta continúa creyendo que el 17 Ver parágrafo 34, que describe esos objetivos 18 Ver parágrafo 34. 19 La Junta también hizo cambios menores a la definición de debilidad material, en orden a usar la misma definición contenida en la orientación que para la administración hizo la SEC, así como la regla relacionada. En el estándar final, debilidad material se define como “deficiencia, o combinación de deficiencias, en el control interno sobre la presentación de Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 9/105 AS-5 Auditoría del Control Interno estándar final debe requerir que los auditores provean, a la administración y al comité de auditoría, con información relevante sobre las deficiencias de control importantes – aún aquellas menos severas que una debilidad material. El estándar final, por consiguiente, requiere que el auditor considere y comunique al comité de auditoría cualesquiera deficiencias significantes identificadas. No obstante, en orden a enfatizar que el auditor no necesita ampliar el alcance de la auditoría para identificar todas las deficiencias significantes, la Junta ubicó esas provisiones en la sección final del estándar que describe los requerimientos de comunicaciones.20 Los cambios relativamente menores que la Junta hizo a la definición de deficiencia significante también tienen la intención de focalizar al auditor en el requerimiento de comunicación y están fuera de los problemas de definición del alcance. La definición final se basa en la definición propuesta de “declaración equivocada significante”, que los comentaristas generalmente apoyaron, y está alineada con la definición propuesta por la SEC para el mismo término. Bajo el estándar final, deficiencia es “deficiencia, o combinación de deficiencias, en el control interno sobre la presentación de reportes financieros que es menos severa que una debilidad material pero suficientemente importante para merecer la atención de quienes son responsables por la supervisión de la información financiera de la compañía”. G. Escalando la auditoría El estándar propuesto sobre auditoría del control interno señala que el tamaño y la complejidad de una compañía son consideraciones importantes y que los procedimientos que un auditor deben desempeñar dependen de la serie continua donde se ubican el tamaño y la complejidad de la compañía. El estándar propuesto incluye una sección sobre el escalado de la auditoría para compañías más pequeñas, menos complejas, y habría requerido que los auditores evalúen y documenten el efecto que el tamaño y la complejidad de la compañía tienen en la auditoría. Este requerimiento de documentación aplica a las auditorías de las compañías de todos los tamaños. El estándar propuesto también incluye una lista de los atributos de las compañías más pequeñas, menos complejas, y una descripción de cómo el auditor puede personalizar sus procedimientos cuando están presentes esos atributos. En general, los comentaristas apoyaron el enfoque general de estabilidad contenido en el estándar, pero hicieron algunas recomendaciones para cambiar. Algunos comentaristas sugirieron que la escalabilidad no debe ser cubierta como una sola discusión aplicable únicamente para las compañías más pequeñas y que las otras compañías, independiente del tamaño, pueden tener áreas que son menos complejas. La Junta está de reportes financieros, tal que hay una posibilidad razonable de que una declaración equivocada material de los estados financieros anual o intermedio de la compañía no será prevenida o detectada en una base oportuna.” 20 Ver parágrafo 80. El estándar final también incluye el requerimiento propuesto para que el auditor comunique, por escrito, a la administración, todas las deficiencias en el control interno identificadas durante la auditoría e informe al comité de auditoría cuando se ha realizado tal comunicación, así como el requerimiento propuesto de informar, cuando sea aplicable, a la junta de directores respecto de la conclusión del auditor de que la supervisión del comité de auditoría es inefectiva. Ver parágrafos 79 a 81. Algunos comentaristas consideraron que el requerimiento de comunicar a la administración todas las deficiencias identificadas resultaría en un ejercicio administrativo innecesario. La Junta continúa creyendo, sin embargo, que los auditores deben proveer a la administración con información sobre las deficiencias de control identificadas. Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED SAMantilla INDEPENDENCE RULE AND CONFORMING AMENDMENTS Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]) Mayo 2007 – Pg. 10/105