Un 02 Sm 03 08 SAM AS5 Auditoria Control Interno 2007

AS-5Auditoría del Control Interno

Título original: AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING

THAT IS INTEGRATED WITH AN AUDIT OF FINANCIAL STATEMENS AND RELATED INDEPENDENCE RULE AND CONFORMING AMENDMENTS

Traducción no-oficial, no-autorizada, realizada exclusivamente con fines académicos Versión al español por SAMUEL ALBERTO MANTILLA B. ([email protected]

AUDITING STANDARD No. 5 – AUDITORIA DEL CONTROL INTERNO SOBRE EL PROCESO DE PRESENTACION DE REPORTES FINANCIEROS INTEGRADA CON LA AUDITORIA DE ESTADOS FINANCIEROS Y REGLA DE INDEPENDENCIA RELACIONADA Y AJUSTES POR LAS ENMIENDAS

)))))))))))

PCAOB Release No. 2007-005 Mayo 24, 2007 PCAOB Rulemaking Docket Matter No. 021

Resumen: Luego de comentarios públicos, la Public Company

Accounting Oversight Board está adoptando el Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre el proceso de presentación de reportes financieros integrada con la auditoría de estados financieros], así como una regla e independencia y el ajuste de las enmiendas a los estándares de auditoría de la Junta.

Contacto en la Junta:

Sharon Virga, Associate Chief Auditor (202/207-9164

Nota sobre esta traducción: Esta es una versión al español no-oficial, no-autorizada, preparada exclusivamente con fines académicos. La expresión ‘Internal Control Over Financial Reporting’, que es el tema central de este estándar, se traduce como ‘Control interno sobre el proceso de presentación de reportes financieros’. Otros podrían traducirla como ‘Control interno a la información financiera’. Si bien ambas traducciones son válidas, se prefiere la primera porque hace explícita la referencia al ‘proceso total’ no únicamente a una tarea (‘preparación’) o a un producto (‘reporte’). Claro está, ‘información financiera’ puede entenderse de las dos maneras.

) Mayo 2007 – Pg. 1/105

SAMantilla





************ 1. Introducción

En el 2002, el Congreso aprobó la Sarbanes-Oxley Act (la “Ley”), la cual, entre otras cosas, estableció nuevas provisiones relacionadas con el control interno sobre el proceso de presentación de reportes financieros. La Sección 404 de la Ley requiere que la administración de la compañía valore y reporte sobre la efectividad del control interno de la compañía. También requiere que el auditor independiente de la compañía, registrado en la Public Company Accounting Oversight Board (“PCAOB” o “Junta”), ateste las revelaciones de la administración relacionadas con la efectividad de su control interno. Tal y como es dirigido por las Secciones 103 y 104 de la Ley, la Junta estableció un estándar para gobernar la recientemente requerida auditoría y lo hizo adoptando el Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros desempeñada junto con una auditoría de estados financieros]♦ (“Auditing Standard No.2”).1 La Securities and Exchange Commission (“Comisión” o “SEC”) aprobó el Auditing Standard No. 2 en Junio 17, 2004.2 Desde que el Auditing Standard No. 2 se volvió efectivo, la Junta ha monitoreado estrechamente el progreso que las firmas registradas han tenido en la implementación de sus requerimientos. El monitoreo de la PCAOB ha incluido obtener información durante las inspecciones de las firmas de contaduría pública registradas; participación, junto con la SEC, en dos discusiones en mesas redondas con representantes de emisores, auditores, grupos de inversionistas, y otros; reunión con su Standing Advisory Group; recepción de retroalimentación proveniente de los participantes en los Forums on Auditing in the Small Business Environment de la Junta; y revisión de reportes y estudios académicos, gubernamentales, y de otro tipo. Como resultado de este monitoreo, surgieron dos proposiciones básicas.3 Primera, la auditoría del control interno sobre la presentación de reportes financieros ha producido beneficios significantes, incluyendo un enriquecido centro de atención en el gobierno corporativo y en los controles, así como información financiera de más alta calidad. Segundo, esos beneficios han llegado con un costo significante. Los costos han sido mayores que los esperados y, a veces, el esfuerzo relacionado ha parecido mayor que el necesario para realizar una efectiva auditoría del control interno sobre la presentación de reportes financieros.

♦ Publicada en español en: Mantilla y Cante. 2005. Auditoría del control interno. Bogotá: Ecoe ediciones (N del t) 1 Ver PCAOB Release No. 2004-001 (March 9, 2004). 2 Ver Securities Exchange Act Release No. 49884 (June 17, 2004). 3 Ver Proposed Auditing Standard: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements and Related Other Proposals, PCAOB Release No. 2006-007 (Dec. 19, 2006).

) Mayo 2007 – Pg. 2/105

SAMantilla





Como parte de un plan de cuatro puntos para mejorar la implementación de los requerimientos del control interno, la Junta determinó enmendar el Auditing Standard No. 2.4 En Diciembre 19, 2006, la Junta propuso para comentarios un nuevo estándar sobre auditoría del control interno, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros integrada con una auditoría de estados financieros], que reemplazaría al Auditing Standard No. 2. La Junta también propuso un estándar de auditoría relacionado, Considering and Using the Work of Others in an Audit [Consideración y uso del trabajo de otros en una auditoría], una regla de independencia relacionada con la prestación, por parte del auditor, de servicios de no-auditoría relacionados con el control interno, y enmiendas a sus estándares de auditoría.5 La Junta emitió esas propuestas con los objetivos principales de focalizar a los auditores en los asuntos más importantes de la auditoría del control interno sobre la presentación de reportes y de eliminar procedimientos que la Junta considera son innecesarios para una efectiva auditoría del control interno. Las propuestas fueron diseñadas tanto para incrementar la probabilidad de que las debilidades materiales en el control interno de las compañías se encontrarán antes que causen declaraciones equivocadas de los estados financieros como para liberar al auditor de procedimientos que no son necesarios para lograr los beneficios que se buscan. La Junta también buscó hacer más escalable la auditoría del control interno para las compañías públicas más pequeñas y menos complejas y para hacer el texto del estándar más fácil de entender. En la formulación de esas propuestas, la Junta volvió a evaluar cada aspecto significante del Auditing Standard No. 2. La Junta recibió 175 cartas comentario sobre sus propuestas. La Junta también discutió las propuestas con su Standing Advisory Group en Febrero 22, 2007.6 Una gran mayoría de comentaristas generalmente apoyó las propuestas de la Junta, particularmente del enfoque de arriba-hacia-abajo, basado-en-riesgos y del centro de atención en los asuntos más importantes. Con base en los comentarios recibidos, la Junta considera que la propuesta logra, en gran parte, los objetivos que la Junta estableció cuando decidió enmendar el Auditing Standard No. 2. Muchos comentaristas también ofrecieron sugerencias para mejorar el estándar final, las cuales la Junta analizó cuidadosamente. Al considerar los comentarios recibidos y formular el estándar final, la Junta coordinó estrechamente su trabajo con la SEC, que propuso orientación para la administración sobre la evaluación del control interno al mismo tiempo que la Junta emitió sus propuestas.7 Además de su

4 Ver PCAOB Press Release, “La Junta anuncia plan de cuatro puntos para mejorar la implementación de los requerimientos de presentación de reportes sobre el control interno” (Mayo 17, 2006). Los otros aspectos del plan son; (1) reforzar la eficiencia del auditor mediante inspecciones de la PCAOB; (2) desarrollar o facilitar el desarrollo de orientación para la implementación, para los auditores de las compañías públicas más pequeñas; y (3) continuar los PCAOB Forums on Auditing in the Small Business Environment. 5 Ver Proponed Auditing Standard: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements and Related Other Proposals, PCAOB Release No. 2006-007 (Dec. 19, 2006) 6 Una trascripción de la parte de la reunión que se relaciona con las propuestas y un web cast de toda la reunión están disponibles en la página web de la Junta en http://www.pcaobus.org/Standards/Standing_Advisory_Group/Meetings/2007/02-22/SAG_Transcript.pdf 7 Ver Securities Exchange Act Release No. 54976 (Dec. 20, 2006)

) Mayo 2007 – Pg. 3/105

SAMantilla

http://www.pcaobus.org/Standards/Standing_Advisory_Group/Meetings/2007/02-22/SAG_Transcript.pdf





rol en la implementación de la Sección 404(a) de la Ley, la SEC tiene que aprobar los nuevos estándares de auditoría de la PCAOB antes de que se vuelvan efectivos.8 En Abril 4, 2007, la Comisión sostuvo una reunión pública para discutir las propuestas de la Junta y coordinar esas propuestas con la orientación, para la administración, propuesta por la Comisión. En la reunión, el personal de la SEC proveyó a la Comisión con su análisis de los comentarios públicos sobre la propuesta de la PCAOB y sobre la propuesta orientación para la administración. La Comisión endosó las recomendaciones de su personal y dirigió a su personal para que centrara su restante trabajo en cuatro áreas: * “Alinear el nuevo estándar de auditoría de la PCAOB... con la nueva orientación para la administración propuesta por la SEC, bajo la Sección 404, particularmente con relación a requerimientos prescriptivos, definiciones, y términos”; * “Escalar la auditoría de la 404 para tener en cuenta los hechos y las circunstancias particulares de las compañías, especialmente las compañías más pequeñas”; * “Fomentar que los auditores usen el juicio profesional en el proceso 404, particularmente usando valoración-del-riesgo”; y * “Seguir un enfoque basado-en-principios para determinar cuándo y en qué extensión el auditor puede usar el trabajo de otros.”9

Luego de considerar cuidadosamente los comentarios recibidos y el input proveniente de la SEC, la Junta ha vuelto a refinar sus propuestas para proveer claridad adicional y ayudar adicionalmente al auditor a centrarse en los asuntos más importantes. La Junta ha decidido adoptar el estándar revisado sobre auditoría del control interno como Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros integrada con la auditoría de estados financieros] (“Auditing Standard No. 5”), para reemplazar al Auditing Standard No. 2. La Junta también ha decidido adoptar la regla de independencia y los ajustes por las enmiendas a los estándares de auditoría.10

2. Áreas notables de cambio en el estándar final

Tal y como se manifestó arriba, la Junta considera que los cambios hechos a la propuesta reflejan refinamientos, más que cambios significantes en el enfoque. Esta sección describe las áreas de cambio a las propuestas, que son más notables. El Apéndice 4 contiene discusión

8 Ver Sección 107 de la Ley 9 Ver SEC Press Release, “SEC Commissioners Endorse Improved Sarbanes-Oxley Implementation To Ease Smaller Company Burdens, Focusing Effort On ‘What Truly Matters’! (Apr. 4, 2007) 10 Ver Tal y como se discute abajo, la Junta ha determinado no adoptar el estándar de auditoría propuesto sobre consideración y uso del trabajo de otros.

) Mayo 2007 – Pg. 4/105

SAMantilla





adicional de los comentarios recibidos sobre las propuestas y la respuesta de la Junta.

A. Alineación con la orientación para la administración En Diciembre 20, 2006, la SEC emitió propuesta de orientación para ayudarle a la administración a evaluar el control internos para los propósitos de su valoración anual. Al formular un nuevo estándar sobre auditoría del control interno, la Junta buscó describir un proceso de auditoría que estaría coordinado con el proceso de evaluación que realiza la administración. Sin embargo, muchos comentaristas sugirieron que la orientación para la administración, elaborada por la SEC, y el estándar de la Junta deberían estar más estrechamente alineados. Luego de considerar los comentarios en esta área, la Junta ha decidido hacer cambios que mejorarán la coordinación entre la administración para la administración, elaborada por la SEC, y el estándar de la Junta. Al hacer esto, la Junta ha estado consciente de las diferencias inherentes en los roles de la administración y del auditor. La diaria relación de la administración con su sistema de control interno le provee con conocimiento e información que puede influir en sus juicios sobre cómo evaluar de mejor manera el control interno y la suficiencia de la evidencia que necesita para su valoración anual. La administración también debe ser capaz de confiar en la auto-valoración y, más generalmente, el componente de monitoreo del control interno, provisto que el componente monitoreo está apropiadamente diseñado y opera de manera efectiva. Se requiere que el auditor provea una opinión independiente sobre la efectividad del control interno de la compañía sobre la presentación de reportes financieros. El auditor no tiene misma familiaridad que tiene la administración sobre los controles de la compañía y no interactúa con u observa esos controles con la misma frecuencia que la administración. Por consiguiente, el auditor no puede obtener suficiente evidencia para apoyar una opinión sobre la efectividad del control interno basado únicamente en la observación de o en la interacción con los controles de la compañía. Más aún, el auditor necesita desempeñar procedimientos tales como indagación, observación, e inspección de documentos, o recorridos, que constan de una combinación de esos procedimientos, en orden a entender plenamente e identificar las posibles fuentes de declaraciones equivocadas potenciales, mientras que la administración tiene que ser consciente de esas áreas de riesgo en una base ongoing. La Junta considera, sin embargo, que los conceptos generales necesarios para un entendimiento del control interno deben ser descritos de la misma manera en el estándar de la Junta y en la orientación de la SEC. De acuerdo con ello, la Junta ha decidido usar en este estándar la misma definición de debilidad material que la SEC usa en su orientación final para la administración y en las reglas relacionadas. Además, la Junta está adoptando la definición de deficiencias significantes que la SEC ha propuesto. El estándar final y la orientación para la administración final también describen los mismos indicadores de debilidad material. Además, como se describe más plenamente abajo, el estándar final sobre auditoría del control interno usa el término “controles a nivel-de-entidad” en lugar de “controles a nivel-de-compañía”, que se usó en el estándar propuesto,

) Mayo 2007 – Pg. 5/105

SAMantilla





en orden a usar el mismo término que la SEC usa en su orientación para la administración final.11 La discusión contenida en el Auditing Standard No. 5 sobre el efecto de esos controles también es consistente con la discusión del mismo tema en la orientación final de la SEC. B. Enfoque de arriba-hacia-abajo El estándar propuesto sobre auditoría del control interno estuvo estructurado alrededor del enfoque top-down para identificar los controles más importantes a probar. Este enfoque sigue los mismos principios que aplican a la auditoría de estados financieros – el auditor determina las áreas de atención mediante la identificación de las cuentas y revelaciones significantes y las aserciones relevantes. Bajo el estándar propuesto, el auditor específicamente identificaría las principales clases de transacciones y los procesos significantes antes de identificar los controles a probar. En respuesta a los comentarios sobre el nivel de detalle en los requerimientos del estándar propuesto, la Junta ha vuelto a considerar si el estándar final debe incluir la identificación de las principales clases de transacciones y los procesos significantes como un paso específicamente requerido en el enfoque de arriba-hacia-abajo. La Junta considera, sin embargo, que son innecesarios requerimientos específicos para dirigir al auditor sobre cómo obtener ese entendimiento y contribuirían a un “enfoque de lista de chequeo” para el cumplimiento, particularmente para auditores que tienen una amplia familiaridad con la compañía. De acuerdo con ello, la Junta ha eliminado del estándar final el requerimiento de identificar las principales clases de transacciones y procesos significantes. Si bien esto debe permitir que los auditores apliquen más juicio profesional cuando trabajan con el enfoque de arriba-hacia-abajo, el punto final es el mismo que en el estándar propuesto – el requerimiento de probar aquellos controles que direccionan el riesgo valorado de declaración equivocada material para cada aserción relevante.12 C. Énfasis en los controles al fraude El estándar propuesto sobre auditoría del control interno discutió los controles al fraude y los procedimientos del auditor relacionados con esos controles entre los conceptos de prueba que se incluyeron hacia el final del estándar. Los comentaristas sugirieron que la ubicación de la discusión, o la carencia de especificidad relacionada con los controles que se deben considerar controles al fraude, fallaban en enfatizar de manera apropiada esos controles o en proveer a los auditores con suficiente dirección sobre cómo probar los controles al fraude. En respuesta, la junta ha hecho algunos cambios en el estándar final. Primero, la discusión del riesgo de fraude y los controles anti-fraude ha sido trasladada más cerca

11 En el estándar propuesto y en la orientación para la administración propuesta por la SEC sos términos fueron usados de manera intercambiable y, para esos propósitos, significan la misma cosa. Ver Securities Exchange Act Release No. 54976 (Dec. 20, 2006), at 12 fn. 29. 12 Ver parágrafo 21

) Mayo 2007 – Pg. 6/105

SAMantilla





del comienzo del estándar para enfatizar a los auditores la importancia relativa de esos asuntos al valorar el riesgo mediante el enfoque de arriba-hacia-abajo.13 La incorporación de la valoración que hace el auditor sobre el riesgo de fraude – requerida en la auditoría de estados financieros – en el proceso de planeación del auditor para la auditoría del control interno debe promover la calidad de la auditoría así como mejor integración. Si bien el control interno no puede proveer seguridad absoluta de que el fraude será prevenido o detectado, esos controles deben ayudar a reducir los casos de fraude, y, por consiguiente, un centro de atención concertado en los controles al fraude en la auditoría del control interno debe enriquecer la protección de los inversionistas. Segundo, el fraude de la administración también ha sido identificado en el estándar final como un área de riesgo más alto; de acuerdo con ello, el auditor debe focalizar más su atención en esta área.14 Finalmente, el estándar, tal y como es adoptado, provee orientación adicional sobre los tipos de controles que tienen que direccional el riesgo de fraude.15

D. Controles a nivel-de-entidad El estándar propuesto sobre auditoría del control interno enfatiza los controles a nivel-de-entidad a causa de su importancia tanto para la capacidad del auditor para personalizar apropiadamente la auditoría mediante un enfoque de arriba-hacia-abajo – específicamente mediante la identificación y prueba de los controles más importantes – y para el control interno efectivo. Adicionalmente, el estándar propuesto enfatiza que esos controles pueden, dependiendo de las circunstancias, permitir que el auditor reduzca las pruebas de los controles a nivel de procesos. Los comentaristas sugirieron que el estándar propuesto no proveía suficiente dirección sobre cómo los controles a nivel-de-entidad pueden reducir significativamente las pruebas, y algunos sugirieron que no son comunes los controles que operan con el nivel de precisión necesario para hacerlo. Muchos comentaristas sugirieron incorporar en el estándar final la discusión de controles a nivel-de-entidad directos versus indirectos que fue incluida en la orientación para la administración propuesta por la SEC. La Junta continúa creyendo que los controles a nivel-de-entidad, dependiendo de cómo están diseñados y operan, pueden reducir la prueba de los otros controles relacionados con una aserción relevante. Esto es ya sea porque el control a nivel-de-entidad direcciona de manera suficiente el riesgo relacionado con la aserción relevante, o porque los controles a nivel-de-entidad proveen algún aseguramiento de manera que se puede reducir la prueba de los otros controles relacionados con esa aserción. En respuesta a los comentarios y en orden a clarificar esos conceptos, la Junta incluyó en el estándar final una discusión de tres categorías amplias de controles a nivel-de-entidad, que varían en naturaleza y precisión, junto con una explicación de cómo cada categoría puede tener un efecto diferente en el desempeño de pruebas de los otros controles.16

13 Ver parágrafos 14 y 15 14 Ver parágrafo 11 15 Ver parágrafo 14 16 Ver parágrafo 23. La Junta considera que la experticia de los auditores y de las compañías en el área de los controles a nivel de entidad continuará evolucionando. Por ejemplo, el Committee of Sponsoring Organizations of the Treadway

) Mayo 2007 – Pg. 7/105

SAMantilla





El estándar final explica que algunos controles, tañes como ciertos controles del ambiente de control, tienen un efecto importante, pero indirecto, sobre la probabilidad de que una declaración equivocada será detectada o prevenida sobre una base oportuna. Esos controles pueden afectar los otros controles que el auditor selecciona para probar, así como la naturaleza, oportunidad, y extensión de los procedimientos que el auditor desempeña sobre los otros controles. El estándar final explica que los otros controles a nivel-de-entidad pueden no operar con el nivel de precisión requerido para eliminar la necesidad de probar los otros controles, pero pueden reducir el nivel requerido de prueba de los otros controles, algunas veces de manera sustancial. Esto se debe a que alguna de la evidencia de apoyo relacionada con un control el auditor la obtiene de un control a nivel-de-entidad y la evidencia necesaria que resta la obtiene de la prueba del control a nivel de los procesos. Los controles que monitorean la operación de los otros controles son el mejor ejemplo de esos tipos de controles. Ese monitoreo de los controles ayuda a proveer aseguramiento de que los controles que direccional un riesgo particular son efectivos y, por consiguiente, pueden proveer alguna evidencia sobre la efectividad de aquellos controles de nivel-m-as-bajo, reduciendo la prueba de esos controles que de otra manera serian necesarios. Por último, el estándar final explica que algunos controles a nivel-de-entidad pueden operar a un nivel de precisión que, sin la necesidad de otros controles, direccionan de manera suficiente el riesgo de declaración equivocada material para una aserción relevante. Si un control direcciona suficientemente el riesgo de esta manera, el auditor no necesita probar los otros controles relacionados con ese riesgo. E. Recorridos El estándar propuesto sobre auditoría del control interno habría requerido que los auditores desempeñen cada año un recorrido de cada proceso significante. Este requerimiento propuesto representaba un cambio a partir del Auditing Standard No. 2. que requería un recorrido de cada clase principal de transacciones dentro de un proceso significante. Los comentaristas se dividieron sobre la pregunta de si la re-calibración a partir de las clases principales de transacciones para los procesos significantes en el estándar propuesto resultaría en una reducción del esfuerzo. Algunos emisores y auditores sugirieron que ya se están desempeñando recorridos sobre los procesos significantes, mientras que otros emisores y auditores comentaron que este requerimiento propuesto haría una diferencia. Unos pocos comentaristas sugirieron que un recorrido de cada proceso significante era insuficiente y afectaría de manera negativa la calidad de la auditoría, pero muchos otros señalaron que los recorridos no se deben requerir de manera alguna. Al evaluar esos comentarios, la Junta se centró principalmente en los objetivo que considera se alcanzan mediante un recorrido apropiadamente desempeñado. La Junta considera firmemente que esos objetivos se deben cumplir para que el auditor verifique que tiene suficiente

Commission ha iniciado un proyecto sobre el componente monitoreo del control interno, el cual puede proveer alguna orientación en esta área.

) Mayo 2007 – Pg. 8/105

SAMantilla





entendimiento de los puntos dentro del proceso donde pudieran ocurrir declaraciones equivocadas y para que identifique de manera apropiada los controles a probar.17 Los procedimientos que satisfacen plenamente esos objetivos también juegan un rol importante en la evaluación de la efectividad del diseño de los controles. La Junta considera que, en algunos casos, el requerimiento de desempeñar un recorrido puede oscurecer los objetivos que se busca lograr. Esto puede haber resultado en que algunos recorridos se estén desempeñando para satisfacer el requerimiento pero que fallan en lograr su propósito. El estándar final, por consiguiente, se centra específicamente en lograr ciertos objetivos importantes, y el requerimiento de desempeño se basa en satisfacer plenamente esos objetivos en cuanto se relacionan con el entendimiento de las fuentes probables de declaración equivocada y la selección de los controles a probar.18 Si bien un recorrido frecuentemente será la mejor manera para lograr esas metas, el centro de atención del auditor debe estar en los objetivos, no en la mecánica del recorrido. En algunos casos, otros procedimientos pueden ser medios igual o más efectivos para lograrlos. F. Evaluación y comunicación de las deficiencias El estándar propuesto sobre auditoría del control interno requería que el auditor evalúa la severidad de las deficiencias de control identificadas, para determinar si son deficiencias significantes o debilidades materiales. Luego requería que el auditor comunique, por escrito, a la administración y al comité de auditoría, todas las deficiencias significantes y todas las debilidades materiales identificadas durante la auditoría. El estándar propuesto definió “deficiencia significante” como “deficiencia de control, o combinación de deficiencias, tales que hay una posibilidad razonable de que una declaración equivocada significante de los estados financieros anuales o intermedios de la compañía no será prevenida o detectada.” El término “declaración equivocada significante” fue definido, a su vez, para significar “declaración equivocada que es menos que material pero suficientemente importante para merecer la atención de quienes son responsables por la supervisión de la información financiera de la compañía.” Los comentaristas generalmente apoyaron la definición propuesta del término “declaración equivocada significante” si bien algunos estuvieron preocupados porque era demasiado subjetiva. Otros comentaristas cuestionaron si el estándar debe incluir una definición de deficiencia significante y un requerimiento de comunicar las deficiencias significantes al comité de auditoría. Al menos un comentarista sugirió que el término fuera retirado del estándar. Luego de considerar esos comentarios, la Junta determinó hacer cambios a la definición de deficiencia significante y a los requerimientos relacionados.19 La Junta continúa creyendo que el

17 Ver parágrafo 34, que describe esos objetivos 18 Ver parágrafo 34. 19 La Junta también hizo cambios menores a la definición de debilidad material, en orden a usar la misma definición contenida en la orientación que para la administración hizo la SEC, así como la regla relacionada. En el estándar final, debilidad material se define como “deficiencia, o combinación de deficiencias, en el control interno sobre la presentación de

) Mayo 2007 – Pg. 9/105

SAMantilla





estándar final debe requerir que los auditores provean, a la administración y al comité de auditoría, con información relevante sobre las deficiencias de control importantes – aún aquellas menos severas que una debilidad material. El estándar final, por consiguiente, requiere que el auditor considere y comunique al comité de auditoría cualesquiera deficiencias significantes identificadas. No obstante, en orden a enfatizar que el auditor no necesita ampliar el alcance de la auditoría para identificar todas las deficiencias significantes, la Junta ubicó esas provisiones en la sección final del estándar que describe los requerimientos de comunicaciones.20

Los cambios relativamente menores que la Junta hizo a la definición de deficiencia significante también tienen la intención de focalizar al auditor en el requerimiento de comunicación y están fuera de los problemas de definición del alcance. La definición final se basa en la definición propuesta de “declaración equivocada significante”, que los comentaristas generalmente apoyaron, y está alineada con la definición propuesta por la SEC para el mismo término. Bajo el estándar final, deficiencia es “deficiencia, o combinación de deficiencias, en el control interno sobre la presentación de reportes financieros que es menos severa que una debilidad material pero suficientemente importante para merecer la atención de quienes son responsables por la supervisión de la información financiera de la compañía”. G. Escalando la auditoría El estándar propuesto sobre auditoría del control interno señala que el tamaño y la complejidad de una compañía son consideraciones importantes y que los procedimientos que un auditor deben desempeñar dependen de la serie continua donde se ubican el tamaño y la complejidad de la compañía. El estándar propuesto incluye una sección sobre el escalado de la auditoría para compañías más pequeñas, menos complejas, y habría requerido que los auditores evalúen y documenten el efecto que el tamaño y la complejidad de la compañía tienen en la auditoría. Este requerimiento de documentación aplica a las auditorías de las compañías de todos los tamaños. El estándar propuesto también incluye una lista de los atributos de las compañías más pequeñas, menos complejas, y una descripción de cómo el auditor puede personalizar sus procedimientos cuando están presentes esos atributos. En general, los comentaristas apoyaron el enfoque general de estabilidad contenido en el estándar, pero hicieron algunas recomendaciones para cambiar. Algunos comentaristas sugirieron que la escalabilidad no debe ser cubierta como una sola discusión aplicable únicamente para las compañías más pequeñas y que las otras compañías, independiente del tamaño, pueden tener áreas que son menos complejas. La Junta está de reportes financieros, tal que hay una posibilidad razonable de que una declaración equivocada material de los estados financieros anual o intermedio de la compañía no será prevenida o detectada en una base oportuna.” 20 Ver parágrafo 80. El estándar final también incluye el requerimiento propuesto para que el auditor comunique, por escrito, a la administración, todas las deficiencias en el control interno identificadas durante la auditoría e informe al comité de auditoría cuando se ha realizado tal comunicación, así como el requerimiento propuesto de informar, cuando sea aplicable, a la junta de directores respecto de la conclusión del auditor de que la supervisión del comité de auditoría es inefectiva. Ver parágrafos 79 a 81. Algunos comentaristas consideraron que el requerimiento de comunicar a la administración todas las deficiencias identificadas resultaría en un ejercicio administrativo innecesario. La Junta continúa creyendo, sin embargo, que los auditores deben proveer a la administración con información sobre las deficiencias de control identificadas.

) Mayo 2007 – Pg. 10/105

SAMantilla





acuerdo con que la dirección de la escalabilidad será más efectiva si es una extensión natural del enfoque basado-en-riesgos y si es aplicable a todas las compañías. En consecuencia, la Junta redujo la sección separada sobre “escalando la auditoría”, e incorporó una discusión de los conceptos de escalar, similar a la que propuso, a través del estándar final. Específicamente, las notas a los parágrafos relevantes describen cómo personalizar la auditoría a las circunstancias particulares de una compañía o unidad más pequeña, menos compleja. La Junta también mantuvo la lista de atributos de las compañías más pequeñas, menos complejas, y reconoce que, aún dentro de las compañías más grandes, algunas unidades de negocio o procesos pueden ser menos complejos que otros. La discusión sobre esos atributos ha sido incorporada en la sección final del estándar sobre la planeación que el auditor hace de los procedimientos.21 Tal y como se describe en la publicación de la propuesta, las provisiones sobre escalabilidad contenidas en el estándar final formarán la base para la orientación sobre la auditoría del control interno en las compañías más pequeñas a ser emitido este año. Algunos comentaristas, principalmente auditores, sugirieron que los requerimientos de desempeño que aplican a todas las compañías, incluyendo las compañías grandes, complejas, conduciría a requerimientos de documentación innecesarios y costosos. Esos comentaristas estuvieron particularmente preocupados por el requerimiento de documentar los efectos que el tamaño y la complejidad tienen en todos los aspectos de la auditoría, aún si un contrato particular no pudiera personalizarse como resultado de esos factores. Luego de considerar esos comentarios, la Junta acordó que este requerimiento de documentación no es necesario para promover la calidad de la auditoría y, por consiguiente, no lo incluyó en el estándar final. H. Uso del trabajo de otros en una auditoría integrada Cuando la Junta propuso el Auditing Standard No. 5 para comentario público, la Junta también propuso un estándar de auditoría titulado Considering and Using the Work of Others in an Audit [Consideración y uso del trabajo de otros en una auditoría] que reemplazaría el estándar interino de la Junta AU sec. 322, The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements [Consideración que hace el auditor sobre la función de auditoría interna en una auditoría de estados financieros] (“AU sec. 322”) y reemplazaría la dirección sobre el uso del trabajo de otros en una auditoría del control interno contenida en el Auditing Standard No. 2. Tal y como se discutió en la publicación de la propuesta, la Junta tenía algunos objetivos para proponer este estándar. El primero era integrar de mejor manera la auditoría de estados financieros y la auditoría del control interno, mediante el tener una sola estructura conceptual para el uso del trabajo de otros en ambas auditorías. Adicionalmente, la Junta buscaba fomentar que los auditores usen en mayor extensión el trabajo de otros cuando el trabajo es desempeñado por personas suficientemente competentes y objetivas. Entre otras cosas, bajo el estándar propuesto, los auditores habrían sido capaces de usar el trabajo de personal de la compañía suficientemente competente y objetivo – no solamente auditores internos – y terceros que trabajen bajo la dirección 21 Ver parágrafo 9.

) Mayo 2007 – Pg. 11/105

SAMantilla





de la administración o del comité de auditoría, para los propósitos de la auditoría de estados financieros así como para la auditoría del control interno. La Junta recibió numerosos comentarios sobre el estándar propuesto sobre el uso del trabajo de otros. Los comentaristas generalmente mostraron apoyo a una sola estructura conceptual relacionado con el uso, por parte del auditor, del trabajo de otros en una auditoría integrada. Algunos, sin embargo, sugirieron mantener la existente AU sec. 322 como la base para una sola estructura conceptual. Ellos expresaron el punto de vista de que el objetivo de eliminar las barreras a la integración y uso del trabajo de otros en la máxima extensión que sea apropiada sería logrado manteniendo la AU sec. 322 y yendo más allá con la eliminación propuesta de la provisión de “evidencia principal”. Al mismo tiempo, algunos otros comentaristas sugirieron que el estándar propuesto no iba suficientemente lejos para fomentar que los auditores usen el trabajo de otros. Luego de considerar esos comentarios, la Junta continúa creyendo que una sola estructura conceptual para el uso, por parte del auditor, del trabajo de otros es preferible a estructuras conceptuales separadas para la auditoría del control interno y para la auditoría de estados financieros. Los factores usados para determinar si y en qué extensión es apropiado usar el trabajo de otros deben ser los mismos para ambas auditorías. Al mismo tiempo, la Junta estuvo de acuerdo con aquellos comentaristas que sugirieron que la mejor integración de las auditorías sería lograda sin reemplazar el existente estándar de auditoría. La Junta, por consiguiente, ha decidido mantener el AU sec. 322 para ambas auditorías e incorporar en el Auditing Standard No. 5 lenguaje que establezca esos conceptos de integración más que adoptar el estándar propuesto sobre consideración y uso del trabajo de otros. Consistente con la propuesta, sin embargo, el Auditing Standard No. 5 permite que el auditor use el trabajo de otros para obtener evidencia sobre el diseño y le efectividad de la operación de los controles y elimina la provisión de evidencia principal. Reconociendo que los emisores pueden emplear personal diferente a los auditores internos para desempeñar actividades relevantes para la valoración que hace la administración respecto del control interno sobre la presentación de reportes financieros, el estándar final permite que el auditor use el trabajo de personal de la compañía diferente de los auditores internos, lo mismo que terceros que trabajan bajo la dirección de la administración o del comité de auditoría.22

En línea con el enfoque general basado-en-riesgos para la auditoría del control interno sobre la presentación de reportes financieros, la extensión en la cual el auditor puede usar el trabajo de otros depende, en parte, del riesgo asociado con el control que se está probando. En la medida en que el riesgo decrece, lo hace la necesidad que tiene el auditor de desempeñar el trabajo por sí mismo. El impacto que el trabajo de otros tiene en el trabajo del auditor también depende de la relación entre el riesgo y la competencia y objetividad de quienes desempeñan el trabajo. En la medida en que el riesgo disminuye, también disminuye el nivel necesario de competencia y objetividad.23 De la misma manera, en las áreas de más alto riesgo (por ejemplo, controles que direccional riesgos de fraude específicos), el uso del trabajo de otros estaría limitado, si pudiera llegar a usarse. 22 Ver parágrafo 17. 23 Ver parágrafo 18.

) Mayo 2007 – Pg. 12/105

SAMantilla





Finalmente, la Junta entiende que algún trabajo desempeñado por otros para los propósitos de la valoración que hace la administración respecto de los controles internos puede ser relevante para la auditoría de estados financieros. Por consiguiente, en una auditoría integrada, el estándar final permite que el auditor use el trabajo de esos otros suficientemente competentes y objetivos – no solo auditores internos – para obtener evidencia que apoye la valoración que hace el auditor respecto del riesgo de control para los propósitos de la auditoría de estados financieros.24 La Junta cree que esta provisión promoverá mejor integración de la auditoría del control interno con la auditoría de estados financieros. 3. Regla 3525 – Pre-aprobación, por parte del comité de auditoría, de servicios de no-

auditoría relacionados con el control interno sobre la presentación de reportes financieros

La Junta también propuso una nueva regla relacionada con las responsabilidades del auditor cuando busca la pre-aprobación, por parte del comité de auditoría, de servicios de no-auditoría relacionados con el control interno. Tal y como se propuso, la regla requiere que una firma de compañía pública registrada que busca pre-aprobación, por parte del comité de auditoría de un cliente de auditoría que es emisor, para desempeñar servicios de no-auditoría relacionados con el control interno que de otra manera no están prohibidos por la Ley o por las reglas de la SEC o de la Junta para: describir, por escrito, al comité de auditoría, el alcance del servicio propuesto; discutir con el comité de auditoría los efectos potenciales que el servicio propuesto tiene en la independencia de la firma; y documentar la sustancia de la discusión de la firma con el comité de auditoría. Esos requerimientos están en paralelo con la responsabilidad que tiene el auditor de buscar pre-aprobación, por parte del comité de auditoría, para desempeñar servicios tributarios para un cliente de auditoría bajo la PCAOB Rule 3524. La mayoría de los comentaristas apoyaron la regla propuesta, si bien algunos ofrecieron sugerencias que se deben incluir en la comunicación requerida. Luego de considerar los comentarios a la regla propuesta, la Junta la adoptó sin cambios. 4. Ajustes por las enmiendas Como parte de la propuesta emitida para comentario público, la Junta propuso enmiendas a ciertos otros estándares de auditoría de la Junta. Solamente una carta comentario direccionó de manera específica las enmiendas propuestas. Esa carta expresó apoyo a las enmiendas y sugirió algunas enmiendas adicionales que pueden ser necesarias. La Junta consideró este comentario y añadió esas enmiendas adicionales, lo mismo que otras, como necesarias con base en el estándar final. 5. Fecha efectiva 24 Ver parágrafo 17.

) Mayo 2007 – Pg. 13/105

SAMantilla





La publicación de la propuesta solicitó retroalimentación por parte de los comentaristas respecto de cómo la Junta estructuraría la fecha efectiva de los requerimientos finales de manera que se minimice de la mejor manera la ruptura con las auditorías en curso, pero dando la mayor flexibilidad disponible para que los auditores la apliquen tan temprano como sea posible. Quienes comentaron sobre este tópico sugirieron hacer el estándar final sobre auditoría del control interno efectivo tan pronto como sea posible en orden a que esté disponible para las auditorías del 2007. La Junta estuvo de acuerdo con que los mejoramientos contenidos en el Auditing Standard No. 5 deben estar disponibles tan pronto como sea posible. De acuerdo con ello, la Junta ha determinado que el Auditing Standard No. 5, la Regla 3525, y los ajustes por las enmiendas serán efectivos, sujeto a aprobación de la SEC, para las auditorías de los años fiscales que terminan en o después de Noviembre 15, 2007. Sin embargo, la adopción temprana se permite en cualquier momento luego de la aprobación de la SEC. Los auditores que elijan cumplir con el Auditing Standard No. 5 luego de la aprobación de la SEC pero después de su fecha efectiva también tienen que cumplir, al mismo tiempo, con la Regla 3525 y con los otros estándares de la PCAOB que son enmendados por esta publicación. El Auditing Standard No. 2 será reemplazado cuando se vuelva efectivo el Auditing Standard No. 5. Los auditores que no elijan cumplir con el Auditing Standard No. 5 antes de esa fecha (pero después de la aprobación de la SEC) tienen que continuar cumpliendo con el Auditing Standard No. 2 hasta que sea reemplazado. Tales auditores deben, sin embargo, aplicar la definición de “debilidad material” contenida en el Auditing Standard No. 5, más que la contenida en el Auditing Standard No.2. La SEC ha adoptado una regla para definir el término “debilidad material”, y la definición contenida en el Auditing Standard No. 5 está en paralelo con la nueva definición de la SEC.

* * * El día 24 de Mayo, en el año 2007, lo precedente fue, de acuerdo con los estatutos de la Public Company Accounting Oversight Board,

ADOPTADO POR LA JUNTA.

/s/ J. Gordon Seymour

J. Gordon Seymour Secretario Mayo 24, 2007

) Mayo 2007 – Pg. 14/105

SAMantilla





APENDICE 1 – Auditing Standard No. 5 – Auditoría del control interno sobre el proceso de presentación de reportes financieros integrada con la auditoría de estados financieros APENDICE 2 – Regla 3525 – Pre-aprobación, por parte del comité de auditoría, de servicios de no-auditoría relacionados con el control interno sobre la presentación de reportes financieros. APENDICE 3 – Ajustes por las enmiendas a los PCAOB Auditing Standards APENDICE 4 – Discusión adicional de los comentarios y la respuesta de la Junta.

) Mayo 2007 – Pg. 15/105

SAMantilla





Apéndice 1 – Auditing Standard

MAYO 24, 2007 AUDITING AND RELATED PROFESSIONAL PRACTICE STANDARDS Auditing Standard No. 5 – Auditoría del control interno sobre la presentación de reportes financieros integrada con una auditoría de estados financieros

) Mayo 2007 – Pg. 16/105

SAMantilla

PCAOB Release 2007-005Mayo 24, 2007

Apéndice A - Estándar




Tabla de contenido Parágrafo Introducción .................................................................................................................... 1-8

Integración de las auditorías .............................................................................. 6-8

Planeación de la auditoría .............................................................................................. 9-20 Rol de la valoración del riesgo ........................................................................... 10-12 Escalando la auditoría ....................................................................................... 13 Direccionar el riesgo de fraude .......................................................................... 14-15 Uso del trabajo de otros ..................................................................................... 16-19 Materialidad ........................................................................................................ 20

Uso de un enfoque de arriba-hacia-abajo ...................................................................... 21-41 Identificación de controles a nivel-de-entidad .................................................... 22-27

Ambiente de control .............................................................................. 25 Proceso de información financiera de fin de período ............................ 26-27

Identificación de cuentas y revelaciones significantes y sus aserciones relevantes ...........................................................................................................

28-33

Entendimiento de las fuentes probables de declaración equivocada ................ 34-38 Desempeño de recorridos ..................................................................... 37-38

Selección de los controles a probar ................................................................... 39-41

Prueba de los controles .................................................................................................. 42-61 Prueba de la efectividad del diseño ................................................................... 42-43 Prueba de la efectividad de la operación ........................................................... 44-45 Relación del riesgo con la evidencia a ser obtenida .......................................... 46-56

Naturaleza de las pruebas de los controles .......................................... 50-51 Oportunidad de las pruebas de los controles ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 52-53 Extensión de las pruebas de los controles ............................................ 54 Procedimientos de actualización ........................................................... 55-56

Consideraciones especiales para las auditorías de años subsiguientes ........... 57-61 Evaluación de las deficiencias identificadas ................................................................... 62-70

Indicadores de debilidades materiales ............................................................... 69-70

Cierre .............................................................................................................................. 71-84 Formación de la opinión ..................................................................................... 71-74 Obtención de representaciones escritas ............................................................ 75-77 Comunicación de ciertas materias ..................................................................... 78-84

Presentación de reportes sobre el control interno .......................................................... 85-98 Reportes separados o combinados ................................................................... 86-88

) Mayo 2007 – Pg. 17/105

SAMantilla






Fecha del reporte ............................................................................................... 89 Debilidades materiales ....................................................................................... 90-92 Eventos subsiguientes ....................................................................................... 93-98

APENDICES APENDICE A – DEFINICIONES .................................................................................... A1-A11 APENDICE B – Asuntos especiales ............................................................................... B1-B33

Integración de las auditorías .............................................................................. B1-B9 Decisiones sobre el alcance en múltiples localizaciones ................................... B10-B16 Uso de organizaciones de servicio .................................................................... B17-B27 Comparación de controles automatizados ......................................................... B28-B33

APENDICE C – SITUACIONES ESPECIALES DE PRESENTACION DE REPORTES. C1-C17

Modificaciones del reporte ................................................................................. C1-C15 Archivos bajo los estatutos federales de valores ............................................... C16-C17

) Mayo 2007 – Pg. 18/105

SAMantilla






Introducción 1. Este estándar establece requerimientos y provee dirección que aplica cuando un auditor es

contratado para desempeñar una auditoría de la valoración que hace la administración1 respecto de la efectividad del control interno sobre la presentación de estados financieros (“auditoría del control interno sobre la presentación de reportes financieros”) integrada con una auditoría de estados financieros.2

2. El efectivo control interno sobre la presentación de reportes financieros provee seguridad

razonable en relación con la confiabilidad de la información financiera y la preparación de estados financieros para propósitos externos.3 Si existe una o más debilidades materiales, no se puede considerar que el control interno sobre la presentación de reportes financieros de la compañía sea efectivo.4

3. En una auditoría del control interno sobre la presentación de reportes financieros, el objetivo

del auditor es expresar una opinión respecto de la efectividad del control interno sobre la presentación de reportes financieros de la compañía. Dado que el control interno de una compañía no se puede considerar que es efectivo si existen una o más debilidades materiales, para formarse una base para expresar una opinión, el auditor tiene que planear y desempeñar la auditoría para obtener evidencia competente que sea suficiente para obtener seguridad razonable5 respecto de si existían debilidades materiales en la fecha que se especifica en la valoración que realiza la administración. Puede aún existir una debilidad material en el control interno sobre la presentación de reportes financieros cuando los estados financieros no estén declarados materialmente en forma equivocada.

4. Los estándares generales6 aplican a una auditoría del control interno sobre la presentación de

reportes financieros. Esos estándares requieren entrenamiento técnico y proficiencia como auditor, independencia, así como el ejercicio de debido cuidado profesional, incluyendo escepticismo profesional. Este estándar establece el trabajo de campo y los estándares de presentación de reportes que aplican a una auditoría del control interno sobre la presentación de reportes financieros.

1 Los términos que se definen en el Apéndice A, Definiciones, se expresan en negrilla la primera vez que aparecen 2 Este estándar de auditoría reemplaza al Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements [Auditoría del control interno sobre la presentación de reportes financieros desempeñada junto con una auditoría de estados financieros], y es el estándar sobre contratos de atestación al que hace referencia la Sección 404(b) de la Ley. También es el estándar al que se hace referencia en la Sección 103(a)(2)(A)(iii) de la Ley. 3 Ver Securities Exchange Act Rules 13a-15(f) y 15d-15(f), 17 C.F.R. §§ 240.13a-15(f) y 240.15d-15(f); Parágrafo A5. 4 Ver Item 308 of Regulation S-K, 17 C.F.R. § 229.308. 5 Ver AU sec. 230, Due Professional Care in The Performance of Work [Debido cuidado profesional en el desempeño del trabajo], para discusión adicional del concepto de seguridad razonable en una auditoría. 6 Ver AU sec. 150, Generally Accepted Auditing Standards [Estándares de auditoría generalmente aceptados].

) Mayo 2007 – Pg. 19/105

SAMantilla






5. Para desempeñar su auditoría del control interno sobre la presentación de reportes financieros, el auditor debe usar la misma estructura conceptual de control, confiable, reconocida, que use la administración para su evaluación de la efectividad del control interno sobre la presentación de reportes financieros de la compañía.7

Integración de las auditorías 6. La auditoría del control interno sobre la presentación de reportes financieros se debe integrar

con la auditoría de los estados financieros. Sin embargo, los objetivos de las auditorías no son idénticos, y el auditor tiene que planear y desempeñar el trabajo para lograr los objetivos de ambas auditorías.

7. En una auditoría integrada del control interno sobre la presentación de reportes financieros y

de los estados financieros, el auditor debe diseñar su prueba de los controles para lograr simultáneamente los objetivos de ambas auditorías –

a. Obtener suficiente evidencia para soportar la opinión del auditor respecto del control

interno sobre la presentación de reportes financieros para el final del año, y b. Obtener evidencia suficiente para soportar la opinión del auditor sobre las valoraciones

del riesgo de control para los propósitos de la auditoría de estados financieros. 8. La obtención de evidencia suficiente para soportar las valoraciones de bajo riesgo de control

para los propósitos de la auditoría de estados financieros ordinariamente le permite al auditor reducir la cantidad de trabajo de auditoría que de otra manera habría sido necesario para opinar sobre los estados financieros. (Ver Apéndice B para dirección adicional sobre la integración.)

Nota: En algunas circunstancias, particularmente en algunas auditorías de compañías más pequeñas, menos complejas, el auditor puede escoger no valorar como bajo el riesgo de control para los propósitos de la auditoría de los estados financieros. En tales circunstancias, las pruebas que realiza el auditor respecto de la efectividad de la operación de los controles serían desempeñadas principalmente con el propósito de soportar su opinión respecto de si el control interno sobre la presentación de reportes financieros de la compañía es efectivo al final del año. Los resultados de los procedimientos de auditoría de

7 Ver Securities Exchange Act Rules 13a-15(c) y 15d-15(c), 17 C.F.R. §§ 240.13a-15(c) y 240.15d-15(c).. Las reglas de la SEC requieren que la administración base su evaluación de la efectividad del control interno sobre la presentación de reportes financieros de la compañía en una estructura conceptual (también conocida como criterio de control) que sea confiable, reconocida, establecida por una asociación o grupo que haya seguido procedimientos de debido proceso, incluyendo la amplia distribución de la estructura conceptual para comentarios del público. Por ejemplo, el reporte del Committee of Sponsoring Organizations of the Treadway Comisión (conocido como el reporte COSO) provee tal estructura conceptual, como lo hace también el reporte publicado por el Financial Reporting Council, Internal Control Revised Guidance for Director of the Combined Code [Control Interno, orientación revisada para directores, del Código Combinado], Octubre 2005 (conocido como el Reporte Rurnbull).

) Mayo 2007 – Pg. 20/105

SAMantilla






estados financieros que realiza el auditor también deben informar sus valoraciones al determinar las pruebas necesarias para concluir sobre la efectividad de un control.

Planeación de la auditoría 9. El auditor debe planear de manera apropiada la auditoría del control interno sobre la

presentación de reportes financieros y supervisar de manera apropiada a cualesquiera asistentes. Cuando planea una auditoría integrada, el auditor debe evaluar si las siguientes materias son importantes para los estados financieros de la compañía y para el control interno sobre la presentación de reportes financieros de la compañía y, si lo son, cómo afectarán los procedimientos del auditor –

a. Conocimiento del control interno sobre la presentación de reportes financieros de la

compañía, obtenido durante otros contratos desempeñados por el auditor; b. Materias que afectan la industria en la cual la compañía opera, tales como prácticas de

información financiera, condiciones económicas, leyes y regulaciones, y cambios tecnológicos;

c. Materias relacionadas con el negocio de la compañía, incluyendo su organización,

características de operación, y estructura de capital;

d. La extensión de los cambios recientes, si los hay, en la compañía, sus operaciones, o su control interno sobre la presentación de reportes financieros;

e. Los juicios preliminares del auditor sobre materialidad, riesgo, y otros factores

relacionados con la determinación de las debilidades materiales;

f. Las deficiencias de control comunicadas previamente al comité de auditoría8 o a la administración;

g. Materias legales o regulatorias de las cuales la compañía es consciente;

h. El tipo y la extensión de la evidencia disponible relacionada con la efectividad del

control interno sobre la presentación de reportes financieros de la compañía;

i. Los juicios preliminares sobre la efectividad del control interno sobre la presentación de reportes financieros;

j. Información pública sobre la compañía, relevante para la evaluación de la probabilidad

de declaraciones equivocadas materiales de los estados financieros y de la efectividad del control interno sobre la presentación de reportes financieros de la compañía;

8 Si no existe comité de auditoría, todas las referencias que en este estándar se hacen al comité de auditoría aplican a toda la junta de directores de la compañía. Ver 15 U.S.C. §§ 78c(a) y 7201(a)(3).

) Mayo 2007 – Pg. 21/105

SAMantilla






k. Conocimiento sobre riesgos relacionados con la compañía evaluada, como parte de la evaluación para la aceptación y retención del cliente del auditor; y

l. La complejidad relativa de las operaciones de la compañía.

Nota: Muchas compañías más pequeñas tienen operaciones menos complejas. Adicionalmente, algunas compañías más grandes, complejas, pueden tener unidades o procesos menos complejos. Los factores que pueden señalar operaciones menos complejas incluyen: pocas líneas de negocio; procesos de negocio y sistemas de información menos complejos; funciones de contabilidad más centralizadas; participación extensiva de la administración principal en las actividades diarias de los negocios; y pocos niveles de administración, cada uno con un espacio amplio de control.

Rol de la valoración del riesgo 10. La valoración del riesgo subyace a todo el proceso de auditoría que se describe en este

estándar, incluyendo la determinación de las cuentas y revelaciones significantes, así como de las aserciones relevantes, la selección de los controles a probar, y la determinación de la evidencia necesaria para un control dado.

11. Existe una relación directa entre el grado de riesgo de que pudiera existir una debilidad

material en un área particular del control interno sobre la presentación de reportes financieros de la compañía y la cantidad de atención de auditoría que se debe dedicar a esa área. Además, el riesgo de que el control interno sobre la presentación de reportes financieros de una compañía fallará en prevenir o detectar la declaración equivocada originada en fraude usualmente es más alto que el riesgo de fallar en prevenir o detectar el error. El auditor debe focalizar más su atención en las áreas de riesgo más alto. De otro modo, no es necesario probar los controles que, aún si son deficientes, no presentarían una posibilidad razonable de declaración equivocada material para los estados financieros.

12. La complejidad de la organización, de la unidad de negocios, o de los procesos, desempeñará

un rol importante en la valoración del riesgo que hace el auditor y en la determinación de los procedimientos necesarios.

Escalando la auditoría 13. El tamaño y la complejidad de la compañía, de sus procesos de negocios, y de sus unidades

de negocio, pueden afectar la manera como la compañía logra muchos de sus objetivos de control. El tamaño y la complejidad de la compañía también pueden afectar los riesgos de declaración equivocada así como los controles necesarios para direccionar esos riesgos. El escalar es más efectivo como una extensión natural del enfoque basado-en-riesgos y es aplicable a las auditorías de todas las compañías. De acuerdo con ello, una compañía más

) Mayo 2007 – Pg. 22/105

SAMantilla






pequeña, menos compleja, o aún una compañía más grande, menos compleja puede lograr sus objetivos de control de manera diferente a como lo hace una compañía más compleja.9

Direccionar el riesgo de fraude 14. Cuando planea y desempeña la auditoría del control interno sobre la presentación de reportes

financieros, el auditor debe tener en cuenta los resultados de su valoración del riesgo de fraude.10 Como parte de la identificación y prueba de los controles a nivel-de-entidad, tal y como se discute al comienzo del parágrafo 22, y de la selección de los otros controles a probar, tal y como se discute al comienzo del parágrafo 39, el auditor debe evaluar si los controles de la compañía direccionan de manera suficiente los riesgos identificados de declaración equivocada material debida a fraude así como los controles que tienen la intención de direccionar el riesgo de que la administración eluda esos controles. Los controles que pueden direccionar esos riesgos incluyen –

a. Controles sobre transacciones significantes, inusuales, particularmente aquellas que

resultan en entradas al libro diario tardías o inusuales; b. Controles sobre entradas y ajustes al libro diario hechas en el proceso de final del

período de presentación de reportes financieros;

c. Controles sobre transacciones con partes relacionadas;

d. Controles relacionados con estimados significantes realizados por la administración; y

e. Controles que atenúan incentivos para que, y presiones sobre, la administración falsifique o administre de manera inapropiada los resultados financieros.

15. Si durante la auditoría del control interno sobre la presentación de reportes financieros el

auditor identifica deficiencias en los controles diseñados para prevenir o detectar fraude, el auditor debe tener en cuenta, durante la auditoría de estados financieros, esas deficiencias cuando desarrolla su respuesta a los riesgos de declaración equivocada material, tal y como es provisto en AU sec. 316.44 y.45.

9 El SEC Advisory Committee on Smaller Public Companies considera el tamaño de una compañía con relación al cumplimiento con las provisiones de presentación de reportes de control interno que tiene la Ley. Ver Advisory Committee on Smaller Public Companies to the United Status Securities and Exchange Commission, Final Report, at p. 5 (April 23, 2006). 10 Ver parágrafos .19 a .42 de AU sec. 316, Consideration of Fraud in a Financial Statement Audit [Consideración del fraude em uma auditoría de estados financieros], referentes a la identificación de los riesgos que pueden resultar en declaración equivocada material debido a fraude.

) Mayo 2007 – Pg. 23/105

SAMantilla






Uso del trabajo de otros 16. El auditor debe evaluar la extensión en la cual usará el trabajo de otros para reducir el trabajo

que de otra manera el auditor tiene que desarrollar por sí mismo. AU sec. 322, The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements [Consideración que hace el auditor respecto de la función de auditoría interna en una auditoría de estados financieros] aplica en una auditoría integrada de estados financieros y del control interno sobre la presentación de reportes financieros.

17. Para los propósitos de una auditoría del control interno, sin embargo, el auditor puede usar el

trabajo desempeñado por, o recibir asistencia directa de, auditores internos, personal de la compañía (además de auditores internos), y terceros que trabajan bajo la dirección de la administración o del comité de auditoría, trabajo que provea evidencia sobre la efectividad del control interno sobre la presentación de reportes financieros. En una auditoría integrada del control interno sobre la presentación de reportes financieros y de los estados financieros, el auditor también puede usar este trabajo para proveer evidencia que soporte la valoración que hace el auditor respecto del riesgo de control para los propósitos de la auditoría de estados financieros.

18. El auditor debe valorar la competencia y la objetividad de las personas cuyo trabajo el auditor

planea usar para determinar la extensión en la cual el auditor puede usar su trabajo. A mayor grado de competencia y objetividad, mayor el uso que el auditor puede hacer del trabajo. El auditor debe aplicar los parágrafos 09.9 a .11 de AU sec. 322 para valorar la competencia y objetividad de los auditores internos. Para valorar la competencia y objetividad de las personas diferentes a los auditores internos y cuyo trabajo el auditor planea usar, el auditor debe aplicar los principios que subyacen en esos parágrafos.

Nota: Para los propósitos de usar el trabajo de otros, competencia significa el logro y mantenimiento de un nivel de entendimiento y conocimiento que le permita a esa persona desempeñar de manera capaz las tareas que le son asignadas, y objetividad significa la capacidad para desempeñar esas tareas de manera imparcial y con honestidad intelectual. Para valorar la competencia, el auditor debe evaluar factores sobre las calificaciones y capacidad de la persona para desempeñar el trabajo que el auditor planea usar. Para valorar la objetividad, el auditor debe evaluar los factores que están presentes y que inhiben o promueven la capacidad de una persona para desempeñar con el grado necesario de objetividad el trabajo que el auditor planea usar. Nota: El auditor no debe usar el trabajo de personas que tienen un bajo grado de objetividad, independiente de su nivel de competencia. Asimismo, el auditor no debe usar el trabajo de personas que tienen un nivel bajo de competencia independientemente de su grado de objetividad. Del personal cuya función central es servir como autoridad de prueba o cumplimiento para la compañía, tal como los auditores internos, normalmente se espera que tenga mayor competencia y objetividad en el desempeño del tipo de trabajo que será útil para el auditor.

) Mayo 2007 – Pg. 24/105

SAMantilla






19. La extensión en la cual el auditor puede usar el trabajo de otros en una auditoría del control interno también depende del riesgo asociado con el control que se está probando. Cuando se incrementa el riesgo asociado con un control, se incrementa la necesidad que tiene el auditor de desempeñar su propio trabajo respecto del control.

Materialidad 20. Al planear la auditoría del control interno sobre la presentación de reportes financieros, el

auditor debe usar las mismas consideraciones de materialidad que usaría en la planeación de la auditoría de los estados financieros anuales de la compañía.11

Uso de un enfoque de arriba-hacia-abajo 21. Para seleccionar los controles a probar, el auditor debe usar un enfoque de arriba-hacia-abajo

para la auditoría del control interno sobre la presentación de reportes financieros. Un enfoque de arriba-hacia-abajo comienza a nivel del estado financiero y con el entendimiento por parte del auditor respecto de los riesgos generales del control interno sobre la presentación de reportes financieros. El auditor entonces se focaliza en los controles a nivel-de-la-entidad y trabaja hacia abajo hacia las cuentas y revelaciones significantes y sus aserciones relevantes. Este enfoque dirige la atención del auditor hacia las cuentas, revelaciones y aserciones que presentan una posibilidad razonable de declaración equivocada material para los estados financieros y las revelaciones relacionadas. El auditor entonces verifica su entendimiento de los riesgos en los procesos de la compañía y selecciona para prueba aquellos controles que de manera suficiente direccionan el riesgo valorado de declaración equivocada material para cada aserción relevante.

Nota: El enfoque top-down describe el proceso secuencial del pensamiento del auditor en la identificación de los riesgos y de los controles a probar, no necesariamente el orden en el cual el auditor desempeñará los procedimientos de auditoría.

Identificación de controles a nivel-de-entidad 22. El auditor tiene que probar aquellos controles a nivel-de-entidad que son importantes para la

conclusión del auditor respecto de si la compañía tiene un efectivo control interno sobre la presentación de reportes financieros. La evaluación que el auditor hace de los controles a nivel-de-entidad pueden derivar en incrementar o disminuir las pruebas que de otra manera el auditor tendría que desempeñar sobre los otros controles.

23. Los controles a nivel de entidad varían en naturaleza y precisión –

11 Ver AU sec. 312, Audit Risk and Materiality in Conducting an Audit [Riesgo de auditoría y materialidad al dirigir una auditoría], que provee material de explicación adicional.

) Mayo 2007 – Pg. 25/105

SAMantilla






a. Algunos controles a nivel-de-entidad, tales como ciertos controles del ambiente de

control, tienen un efecto importante, pero indirecto, sobre la probabilidad de que una declaración equivocada sería detectada o prevenida sobre una base oportuna. Esos controles pueden afectar a los otros controles que el auditor selecciona para probar, así como la naturaleza, oportunidad, y extensión de los procedimientos que el auditor desempeña sobre los otros controles.

b. Algunos controles a nivel-de-entidad monitorean la efectividad de los otros controles.

Tales controles pueden estar diseñados para identificar las posibles interrupciones en los controles de nivel más bajo, pero no al nivel de precisión que, por sí mismos, direccionarían de manera suficiente el riesgo valorado de que las declaraciones equivocadas para una aserción relevante serán prevenidas o detectadas sobre una base oportuna. Esos controles, cuando operan efectivamente, pueden permitirle al auditor reducir las pruebas de los otros controles.

c. Algunos controles a nivel de entidad pueden estar diseñados para operar con el nivel

de precisión que de manera adecuada prevendría o detectaría, sobre una base oportuna, las declaraciones equivocadas para una o más aserciones relevantes. Si un control a nivel-de-entidad direcciona suficientemente el riesgo valorado de declaración equivocada, el auditor no necesita probar los controles adicionales relacionados con ese riesgo.

24. Los controles a nivel-de-entidad incluyen –

a. Controles relacionados con el ambiente de control; b. Controles sobre el eludir de la administración♦;

Nota: Los controles sobre el eludir de la administración son importantes para el efectivo control interno sobre la presentación de reportes financieros de todas las compañías, y pueden ser particularmente importantes en las compañías más pequeñas a causa de la incrementada participación de la administración principal en el desempeño de los controles y en el proceso de presentación de reportes financieros de final de año. Para las compañías más pequeñas, los controles que direccionan el riesgo de que la administración eluda pueden ser diferentes de los de una compañía más grande. Por ejemplo, una compañía más pequeña puede confiar en supervisión detallada por parte del comité de auditoría, que se focalice en el riesgo de que la administración eluda.

c. El proceso de valoración del riesgo de la compañía;

♦ En el original: ‘management override’. Hace referencia a la posibilidad (riesgo) o capacidad que tiene la administración para eludir los controles, incluso aquellos que ella misma haya establecido. Por eso se traduce controles sobre el ‘eludir de la administración’ (N del t)

) Mayo 2007 – Pg. 26/105

SAMantilla






d. Procesamiento y controles centralizados, incluyendo entornos de servicios compartidos;

e. Controles para monitorear los resultados de las operaciones;

f. Controles para monitorear otros controles, incluyendo actividades de la función de

auditoría interna, el comité de auditoría, y los programas de auto-valoración;

g. Controles sobre el proceso de presentación de reportes financieros de final de período; y

h. Políticas que direccionan las prácticas significantes de control del negocio y de

administración del riesgo. 25. Ambiente de control. Dada su importancia para el efectivo control interno sobre la

presentación de reportes financieros, el auditor tiene que evaluar el ambiente de control de la compañía. Como parte de la evaluación del ambiente de control, el auditor debe valorar –

a. Si la filosofía y el estilo de operación de la administración promueven el efectivo control

interno sobre la presentación de reportes financieros; b. Si son desarrollados y entendidos, particularmente por la alta administración, la sólida

integridad y los valores éticos; y

c. Si la Junta o el comité de auditoría entienden y ejercen la responsabilidad de supervisión sobre la información financiera y sobre el control interno.

26. Proceso de presentación de reportes financieros de final del período. Dada su importancia para

la información financiera y para las opiniones del auditor respecto del control interno sobre la presentación de reportes financieros y respecto de los estados financieros, el auditor tiene que evaluar el proceso de presentación de reportes financieros de final del período. El proceso de presentación de reportes financieros de final del período incluye lo siguiente –

a. Procedimientos usados para ingresar los totales de las transacciones en el libro mayor, b. Procedimientos relacionados con la selección y aplicación de políticas de contabilidad;

c. Procedimientos usados para iniciar, autorizar, registrar, y procesar las entradas del

diario en el libro mayor;

d. Procedimientos para la preparación de estados financieros anuales y trimestrales, así como las revelaciones relacionadas.

Nota: Dado que el proceso de presentación de reportes financieros de final del período anual normalmente ocurre después de la fecha “que corresponde a” la valoración que

) Mayo 2007 – Pg. 27/105

SAMantilla






hace la administración, esos controles usualmente no se pueden probar hasta después de la fecha a que corresponden.

27. Como parte de la evaluación del proceso de presentación de reportes financieros de final del

período, el auditor debe valorar –

a. Inputs, procedimientos desempeñados, y outputs de los procesos que la compañía usa para producir sus estados financieros anuales y trimestrales;

b. La extensión de la participación de la tecnología de la información (“IT”) en el proceso

de presentación de reportes financieros de final del período;

c. Miembros de la administración que participan en el proceso;

d. Localizaciones implicadas en el proceso de presentación de reportes financieros de final del período;

e. Los tipos de ajustes y entradas de consolidación; y

f. La naturaleza y extensión de la supervisión del proceso por parte de la administración,

la junta de directores, y el comité de auditoría.

Nota: El auditor debe obtener evidencia suficiente respecto de la efectividad de esos controles trimestrales que son importantes para determinar si los controles de la compañía direccionan suficientemente el riesgo valorado de declaración equivocada para cada aserción relevante para la fecha de la valoración que realiza la administración. Sin embargo, no se requiere que el auditor obtenga evidencia suficiente para cada trimestre individual.

Identificación de cuentas y revelaciones significantes y sus aserciones relevantes 28. El auditor debe identificar las cuentas y revelaciones significantes y sus aserciones relevantes.

Aserciones relevantes son aquellas aserciones de los estados financieros que tienen una posibilidad razonable de contener una declaración equivocada que causaría que los estados financieros estén declarados equivocadamente en forma material. Las aserciones de los estados financieros incluyen12

• Existencia u ocurrencia • Completitud♦

12 Ver AU sec. 326, Evidential Matter [Materia evidencial], que prove información adicional sobre las aserciones de los estados financieros. ♦ En el original: ‘completeness’ = completitud, totalidad (N del t)

) Mayo 2007 – Pg. 28/105

SAMantilla






• Valuación o asignación

• Derechos y obligaciones

• Presencia y revelación

Nota: El auditor puede basar su trabajo en aserciones que difieren de las que aparecen en este estándar, si el auditor ha seleccionado y probado controles sobre los riesgos pertinentes en cada cuenta y revelación significante que tienen una posibilidad razonable de contener declaraciones equivocadas que causarían que los estados financieros estén declarados equivocadamente en forma material.

29. Para identificar las cuentas y revelaciones significantes y sus aserciones relevantes, el auditor

debe evaluar los factores de riesgo, cualitativos y cuantitativos, relacionados con los elementos de línea de los estados financieros y las revelaciones. Los factores de riesgo relevantes para la identificación de las cuentas y revelaciones significantes así como sus aserciones relevantes incluyen –

• Tamaño y composición de la cuenta; • Susceptibilidad a declaración equivocada debida a errores o fraude;

• Volumen de actividad, complejidad, y homogeneidad de las transacciones

individuales procesadas mediante la cuenta o reflejadas en la revelación;

• Naturaleza de la cuenta o revelación;

• Complejidades de la contabilidad y de la presentación de reportes asociadas con la cuenta o revelación;

• Exposición a pérdidas en la cuenta;

• Posibilidad de pasivos contingentes significantes que surgen de las actividades

reflejadas en la cuenta o revelación;

• Existencia, en la cuenta, de transacciones con partes relacionadas; y

• Cambios, a partir del período anterior, en las características de la cuenta o revelación.

30. Como parte de la identificación de las cuentas y revelaciones y de sus aserciones relevantes,

el auditor también debe determinar las fuentes probables de declaraciones equivocadas potenciales que causarían que los estados financieros estén declarados equivocadamente en forma material. Mediante preguntarse a sí mismo “¿qué podría estar equivocado?” dentro de

) Mayo 2007 – Pg. 29/105

SAMantilla






una cuenta o revelación significante, el auditor puede determinar las fuentes probables de declaraciones equivocadas.

31. Los factores de riesgo que el auditor debe evaluar en la identificación de las cuentas y

revelaciones significantes y sus aserciones relevantes son los mismos en la auditoría del control interno sobre la presentación de reportes financieros y en la auditoría de estados financieros; de acuerdo con ello, las cuentas y revelaciones significantes y sus aserciones relevantes son las mismas para ambas auditorías.

Nota: En la auditoría de estados financieros, el auditor puede desempeñar procedimientos de auditoría sustantivos sobre las cuentas, revelaciones y aserciones de los estados financieros, que no se determinen sean cuentas y revelaciones significantes y aserciones relevantes.13

32. Los componentes de una cuenta o revelación significante potencial pueden estar sujetos a

riesgos significativamente diferentes. Si los son, pueden ser necesarios controles diferentes para direccionar adecuadamente esos riesgos.

33. Cuando una compañía tiene múltiples localizaciones o unidades de negocio, el auditor debe

identificar las cuentas y revelaciones significantes y sus aserciones relevantes con base en los estados financieros consolidados. Habiendo hecho esas determinaciones, el auditor debe entonces aplicar la dirección contenida en el Apéndice B para decisiones de alcance en localizaciones múltiples.

Entendimiento de las fuentes probables de declaración equivocada 34. Para entender adicionalmente las fuentes probables de declaraciones equivocadas

potenciales, y como parte de la selección de los controles a probar, el auditor debe lograr los siguientes objetivos –

• Entender el flujo de las transacciones relacionadas con las aserciones relevantes,

incluyendo cómo se inician, autorizan, procesan, y registran esas transacciones; • Verificar que el auditor ha identificado los puntos, dentro de los procesos de la

compañía, en los cuales podría surgir una declaración equivocada – incluyendo una declaración equivocada debida a fraude – que, individualmente o en combinación con otras declaraciones equivocadas, sería material;

13 Esto porque su valoración del riesgo de que la declaración equivocada no detectada que causaría que los estados financieros estén declarados equivocadamente en forma material es inaceptablemente alta (ver AU sec. 312.39 para discusión adicional sobre la declaración equivocada no detectada) o como un medio para introducir la impredecibilidad en los procedimientos desempeñados (ver parágrafo 61 y AU sec. 316.50 para discusión adicional sobre la predecibilidad de los procedimientos de auditoria).

) Mayo 2007 – Pg. 30/105

SAMantilla






• Identificar los controles que la administración ha implementado para direccionar esas declaraciones equivocadas potenciales; e

• Identificar los controles que la administración ha implementado sobre la prevención o

detención oportuna de la adquisición, el uso, o la disposición, no-autorizados, de los activos de la compañía, que podrían derivar en una declaración equivocada material de los estados financieros.

35. A causa del grado de juicio requerido, el auditor debe ya sea desempeñar por sí mismo los

procedimientos que logran los objetivos contenidos en el parágrafo 34 o supervisar el trabajo de los otros que proveen asistencia directamente al auditor, tal y como se describe en AU sec. 322.

36. El auditor también debe entender cómo la tecnología de la información (IT) afecta el flujo de las

transacciones de la compañía. El auditor debe aplicar los parágrafos .16 a .20, .30 y .77 a .79 de AU sec. 319, Consideration of Internal Control in a Financial Statement Audit [Consideración del control interno en una auditoría de estados financieros], que discuten el efecto que la tecnología de la información tiene en el control interno sobre la presentación de reportes financieros así como los riesgos a valorar.

Nota: La identificación de los riesgos y controles IT no es una evaluación separada. En lugar de ello, es parte integral del enfoque de arriba-hacia-abajo usado para identificar las cuentas y revelaciones significantes y sus aserciones relevantes, así como los controles a probar, lo mismo que para valorar el riesgo y asignar el esfuerzo de auditoría tal y como este estándar lo describe.

37. Desempeño de recorridos. Frecuentemente, el desempeño de recorridos será la manera más

efectiva de lograr los objetivos contenidos en el parágrafo 34. En el desempeño de un recorrido, el auditor sigue una transacción desde su origen y a través de los procesos de la compañía, incluyendo los sistemas de información, hasta que se refleja en los registros financieros de la compañía, usando los mismos documentos y la misma tecnología de la información que usa el personal de la compañía. Los procedimientos para los recorridos usualmente incluyen una combinación de indagación, observación, inspección de documentación relevante, y volver a desempeñar los controles.

38. Al desempeñar un recorrido, en los puntos en los cuales ocurren procedimientos importantes

de procesamiento, el auditor le pregunta al personal de la compañía sobre su entendimiento de lo que es requerido por los procedimientos y controles prescritos de la compañía. Esas preguntas de prueba, combinadas con los otros procedimientos de recorrido, le permiten al auditor obtener un entendimiento suficiente de los procesos y ser capaz de identificar los puntos importantes en los cuales un control necesario está faltando o no está diseñado de manera efectiva. Adicionalmente, las preguntas de prueba que van más allá de un centro de atención estrecho puesto en una sola transacción son usadas como la base para el recorrido que le permite al auditor obtener un entendimiento de los diferentes tipos de transacciones significantes que son manejadas por el proceso.

) Mayo 2007 – Pg. 31/105

SAMantilla






Selección de los controles a probar 39. El auditor debe probar esos controles que son importantes para la conclusión del auditor

respecto de si los controles de la compañía direccionan de manera suficiente el riesgo valorado de declaración equivocada material para cada aserción relevante.

40. Puede haber más de un control que direccione el riesgo valorado de declaración equivocada

para una aserción particular relevante; de manera inversa, un control puede direccionar el riesgo valorado de declaración equivocada para más de una aserción relevante. Ni es necesario probar todos los controles relacionados con una aserción relevante ni es necesario probar los controles redundantes, a menos que la redundancia misma sea un objetivo de control.

41. La decisión relacionada con si un control debe ser seleccionado para prueba depende de

cuáles controles, individualmente o en combinación, direccionan de manera suficiente el riesgo valorado de declaración equivocada para una aserción relevante dada más que sobre cómo se denomina el control (e.g., control a nivel-de-entidad, control a nivel-de-transacción, actividad de control, control de monitoreo, control preventivo, control detectivo).

Prueba de los controles Prueba de la efectividad del diseño 42. El auditor debe probar la efectividad del diseño de los controles determinando si los controles

de la compañía, si son operados como fue prescrito por personas que poseen la autoridad y competencias necesarias para desempeñar efectivamente el control, satisfacen los objetivos de control de la compañía y efectivamente pueden prevenir o detectar los errores o el fraude que derivaría en declaraciones equivocadas materiales contenidas en los estados financieros.

Nota: Una compañía más pequeña, menos compleja, puede lograr sus objetivos de control de manera diferente como lo hace una organización más grande, más compleja. Por ejemplo, una compañía más pequeña, menos compleja, puede tener pocos empleados en la función de contabilidad, limitando las oportunidades para la segregación de funciones y conduciendo a que la compañía implemente controles alternativos para lograr sus objetivos de control. En tales circunstancias, el auditor debe evaluar si esos controles alternativos son efectivos.

43. Los procedimientos que el auditor desempeña para probar la efectividad del diseño incluyen una mezcla de indagación del personal apropiado, observación de las operaciones de la compañía, e inspección de la documentación relevante. Los recorridos que incluyen esos procedimientos ordinariamente son suficientes para evaluar la efectividad del diseño.

) Mayo 2007 – Pg. 32/105

SAMantilla






Prueba de la efectividad de la operación 44. El auditor debe probar la efectividad de la operación de un control determinando si el control

está operando tal y como fue diseñado y si la persona que desempeña el control posee la autoridad y competencia necesarias para desempeñar el control de manera efectiva.

Nota: En algunas situaciones, particularmente en las compañías más pequeñas, una compañía puede usar a un tercero para que le provea asistencia con ciertas funciones de información financiera. Cuando valora la competencia del personal responsable por la presentación de reportes financieros de una compañía y de los controles asociados, el auditor puede tener en cuenta la competencia combinada del personal de la compañía y de las otras partes que asisten con las funciones relacionadas con la presentación de reportes financieros.

45. Los procedimientos que el auditor desempeña para probar la efectividad de la operación

incluyen una mezcla de indagación del personal apropiado, observación de las operaciones de la compañía, inspección de documentación relevante, y volver a desempeñar el control.

Relación del riesgo con la evidencia a ser obtenida 46. Para cada control seleccionado para prueba, la evidencia necesaria para persuadir al auditor

de que el control es efectivo depende del riesgo asociado con el control. El riesgo asociado con un control consiste en el riesgo de que el control puede no ser efectivo y, si no es efectivo, el riesgo de que derivaría una debilidad material. En la medida en que se incrementa el riesgo asociado con el control que se está probando, también se incrementa la evidencia que el auditor debe obtener.

Nota: Si bien el auditor tiene que obtener evidencia sobre la efectividad de los controles para cada aserción relevante, el auditor no es responsable por obtener evidencia suficiente para soportar una opinión sobre la efectividad de cada control individual. Más aún, el objetivo del auditor es expresar una opinión general respecto del control interno sobre la presentación de reportes financieros de la compañía. Esto le permite al auditor variar la evidencia obtenida en relación con la efectividad de los controles seleccionados para prueba con base en el riesgo asociado con el control individual.

47. Los factores que afectan el riesgo asociado con un control incluyen –

• La naturaleza y materialidad de las declaraciones equivocadas que el control tiene la intención de prevenir o detectar;

• Si ha habido cambios en el volumen o en la naturaleza de las transacciones que pueden

afectar de manera adversa la efectividad del diseño o de la operación del control;

• Si la cuenta tiene una historia de errores;

) Mayo 2007 – Pg. 33/105

SAMantilla






• La efectividad de los controles a nivel-de-entidad, especialmente los controles que

monitorean otros controles;

• La naturaleza del control y la frecuencia con que opera;

• El grado en el cual el control confía en la efectividad de otros controles (e.g., el ambiente de control o los controles generales de la tecnología de la información);

• La competencia del personal que desempeña el control o monitorea su desempeño y si ha

habido cambios en el personal clave que desempeña el control o monitorea su desempeño;

• Si el control radica en el desempeño de un individuo o es automatizado (i.e., un control

automatizado generalmente sería de riesgo más bajo si los controles generales de la tecnología de la información son efectivos); y

Nota: Una compañía o unidad de negocios menos compleja, con procesos de negocio simples y operaciones contables centralizadas, puede tener sistemas de información relativamente simples que hagan mayor uso del software empaquetado disponible, sin hacerle modificación. En las áreas donde se usa el software disponible, la prueba que el auditor hace de los controles a la tecnología de la información se tiene que centrar en los controles de aplicación construidos en el software pre-empaquetado en el que la administración confía para lograr sus objetivos de control y los controles generales de tecnología de información que son importantes para la operación efectiva de esos controles de aplicación.

• La complejidad del control y la significancia de los juicios que se tienen que hacer en

vinculación con su operación.

Nota: Generalmente, una conclusión de que un control no está operando de manera efectiva puede estar soportada por menos evidencia que la necesaria para soportar una conclusión de que un control está operando de manera efectiva.

48. Cuando el auditor identifica las desviaciones de los controles de la compañía, debe determinar

el efecto de las desviaciones en su valoración del riesgo asociado con el control que se está probando y la evidencia a ser obtenida, así como sobre la efectividad de la operación del control.

Nota: Dado que el efectivo control interno sobre la presentación de reportes financieros no puede, y no provee seguridad absoluta del logro de los objetivos de control de la compañía, para que sea considerado efectivo un control individual no necesariamente tiene que operar sin desviación alguna.

49. La evidencia provista por las pruebas que realiza el auditor respecto de la efectividad de los

controles depende de la mezcla de la naturaleza, oportunidad, y extensión de los

) Mayo 2007 – Pg. 34/105

SAMantilla






procedimientos del auditor. Además, para un control individual, diferentes combinaciones de la naturaleza, oportunidad, y extensión de la prueba pueden proveer suficiente evidencia en relación con los riesgos asociados con el control.

Nota: Los recorridos usualmente consisten en una combinación de indagación del personal apropiado, observación de las operaciones de la compañía, inspección de documentación relevante, y volver a desempeñar el control y pueden proveer suficiente evidencia de la efectividad de la operación, dependiendo del riesgo asociado con el control que se está probando, de los procedimientos específicos desempeñados como parte del recorrido y de los resultados de esos procedimientos.

50. Naturaleza de las pruebas de los controles. Algunos tipos de pruebas, por su naturaleza,

producen mayor evidencia de la efectividad de los controles que otras pruebas. Las siguientes pruebas que el auditor puede desempeñar se presentan en orden de la evidencia que ordinariamente producirían, de menos a mas: indagación, observación, inspección de documentación relevante, y volver a desempeñar el control.

Nota: La sola indagación no provee suficiente evidencia para soportar una conclusión sobre la efectividad de un control.

51. La naturaleza de las pruebas de la efectividad, que proveerán evidencia competente, depende,

en enorme grado, de la naturaleza del control a ser probado, incluyendo si la operación del control deriva en evidencia documentaria de su operación. Puede no existir evidencia documentaria de la operación de algunos controles, tales como la filosofía y el estilo de operación de la administración.

Nota: Una compañía o unidad de negocios más pequeña, menos compleja puede tener documentación menos formal relacionada con la operación de sus controles. En esas situaciones, la prueba de los controles mediante indagación combinada con otros procedimientos, tales como observación de actividades, inspección de documentación menos formal, o volver a desempeñar ciertos controles, puede proveer evidencia suficiente respecto de si el control es efectivo.

52. Oportunidad de las pruebas de los controles. La prueba de los controles sobre un mayor

período de tiempo provee mayor evidencia de la efectividad de los controles que la prueba durante un período más corto de tiempo. Además, la prueba desempeñada más cerca de la valoración que realiza la administración provee más evidencia que la prueba desempeñada a comienzo del año. Para obtener evidencia suficiente de la efectividad de la operación, el auditor debe balancear el desempeño de las pruebas de los controles cercanos a esa fecha, de la valoración que realiza la administración, con la necesidad de probar los controles durante un período suficiente de tiempo.

53. Anterior a la fecha especificada en la valoración que realiza la administración, la administración

puede implementar cambios a los controles de la compañía para hacerlos más efectivos o eficientes o para direccionar deficiencias de control. Si el auditor determina que los nuevos

) Mayo 2007 – Pg. 35/105

SAMantilla






controles logran los objetivos relacionados del criterio de control y han estado en efecto por un período suficiente para permitir que el auditor valore la efectividad de su diseño y operación mediante el desempeño de pruebas de los controles, para expresar una opinión respecto del control interno sobre la presentación de reportes financieros el auditor no necesitará probar la efectividad del diseño y operación de los controles eliminados. Si la efectividad de la operación de los controles eliminados es importante para la valoración del riesgo de control que realiza el auditor, el auditor debe probar la efectividad del diseño y operación de esos controles eliminados, en cuanto sea apropiado. (Ver dirección adicional sobre integración al comienzo del parágrafo B1.)

54. Extensión de las pruebas de los controles. A más extensivamente se prueba un control, mayor

la evidencia que se obtiene de esa prueba. 55. Procedimientos de actualización. Cuando el auditor reporta sobre la efectividad de los

controles a una fecha específica y obtiene evidencia respecto de la efectividad de la operación de los controles en una fecha intermedia, debe determinar qué evidencia adicional es necesaria, relacionada con la operación de los controles para el período restante.

56. La evidencia adicional que es necesaria para actualizar los resultados de las pruebas que

provienen de una fecha intermedia al año fiscal de la compañía depende de los siguientes factores –

• El control específico probado antes de la fecha correspondiente a la evaluación que realiza

la administración, incluyendo los riesgos asociados con el control y la naturaleza del control, así como los resultados de esas pruebas;

• La suficiencia de la evidencia de la efectividad, obtenida en una fecha intermedia;

• La duración del período que resta; y

• La posibilidad de que hayan habido cualesquiera cambios significantes en el control interno

sobre la presentación de reportes financieros, subsiguientes a la fecha intermedia.

Nota: En algunas circunstancias, tales como cuando la evaluación de los factores precedentes señala un riesgo bajo de que esos controles ya no son efectivos durante el período de actualización, la sola indagación puede ser suficiente como procedimiento de actualización.

Consideraciones especiales para las auditorías de los años subsiguientes 57. En las auditorías de los años subsiguientes, el auditor debe incorporar en el proceso de toma

de decisiones el conocimiento obtenido durante las auditorías pasadas que ha desempeñado respecto del control interno sobre la presentación de reportes financieros de la compañía, para determinar la naturaleza, oportunidad, y extensión de las pruebas necesarias. Este proceso de decisión se describe en los parágrafos 46 a 56.

) Mayo 2007 – Pg. 36/105

SAMantilla






58. Los factores que afectan el riesgo asociado con un control en las auditorías de los años subsiguientes incluyen los que se presentan en el parágrafo 47 y los siguientes –

• La naturaleza, oportunidad, y extensión de los procedimientos desempeñados en las

auditorías anteriores, • Los resultados de la prueba del control en los años anteriores, y

• Si desde la auditoría anterior ha habido cambios en el control o en el proceso en el cual

operó. 59. Luego de tener en cuenta los factores de riesgo identificados en los parágrafos 47 y 58, la

información adicional disponible en las auditorías de los años subsiguientes puede permitir que el auditor valore el riesgo como más bajo que en el año inicial. Esto, a su vez, puede permitir que el auditor reduzca las pruebas en los años subsiguientes.

60. En las auditorías de los años subsiguientes el auditor también puede usar una estrategia de

comparación para los controles de aplicación automatizados. La comparación se describe adicionalmente al comienzo del parágrafo B28.

61. Además, de año a año, el auditor debe variar la naturaleza, oportunidad, y extensión de las

pruebas de los controles, para introducir impredecibilidad en la prueba y para responder a los cambios en las circunstancias. Por esta razón, cada año el auditor tiene que probar los controles en un período intermedio diferente, incrementar o reducir la cantidad y los tipos de las pruebas desempeñadas, o cambiar la combinación de los procedimientos usados.

Evaluación de las deficiencias identificadas 62. El auditor tiene que evaluar la severidad de cada deficiencia de control que le llama su

atención, para determinar si las deficiencias, individual o en combinación, son debilidades materiales en la fecha de la valoración que realiza la administración. Al planear y desempeñar la auditoría, sin embargo, no se requiere que el auditor busque deficiencias que, individual o en combinación, son menos severas que una debilidad material.

63. La severidad de una deficiencia depende de –

• Si hay una posibilidad razonable de que los controles de la compañía fallarán en prevenir o detectar una declaración equivocada de un balance de cuenta o de una revelación; y

• La magnitud de la declaración equivocada potencial resultante de la deficiencia o de

las deficiencias.

) Mayo 2007 – Pg. 37/105

SAMantilla






64. La severidad de una deficiencia no de pende de si actualmente ha ocurrido una declaración equivocada sino de si hay una posibilidad razonable de que los controles de la compañía fallarán en prevenir o detectar una declaración equivocada.

65. Se afectan los factores de riesgo si hay una posibilidad razonable de que una deficiencia, o

una combinación de deficiencias, derivará en una declaración equivocada de un balance de cuenta o de una revelación. Los factores incluyen, pero no están limitados a, lo siguiente:

• La naturaleza de las cuentas de los estados financieros, las revelaciones, y las

aserciones implicadas; • La susceptibilidad frente a pérdida o fraude, de los activos o pasivos relacionados;

• La subjetividad, complejidad, o extensión de los juicios requeridos para determinar la

cantidad implicada;

• La interacción o relación del control con otros controles, incluyendo si son interdependientes o redundantes;

• La interacción de las deficiencias; y

• Las posibles consecuencias futuras de la deficiencia.

Nota: La evaluación de si una deficiencia de control presenta una posibilidad razonable de declaración equivocada puede ser realizada sin cuantificar la probabilidad de ocurrencia como un porcentaje o rango específico. Nota: Las múltiples deficiencias de control que afectan al mismo balance de cuenta del estado financiero o a la misma revelación incrementan la probabilidad de declaración equivocada y pueden, en combinación, constituir una debilidad material, aún si tales deficiencias individualmente pueden ser menos severas. Por consiguiente, el auditor debe determinar si las deficiencias de control individuales que afectan la misma cuenta o revelación significante, aserción relevante, o componente del control interno colectivamente derivan en una debilidad material.

66. Los factores que afectan la magnitud de la declaración equivocada y que pueden derivarse de

una deficiencia o deficiencias en los controles incluyen, pero no están limitados a, lo siguiente –

• Las cantidades de los estados financieros o el total de las transacciones expuestas a la

deficiencia; y • El volumen de actividad en el balance de cuenta o en las clases de transacciones

expuestas a la deficiencia, que ha ocurrido en el período actual o que se espera ocurra en los períodos futuros.

) Mayo 2007 – Pg. 38/105

SAMantilla






67. Al evaluar la magnitud de la declaración equivocada potencial, la cantidad máxima que se

puede sobre-expresar en un balance de cuenta o en el total de las transacciones es generalmente la cantidad registrada, si bien las sub-declaraciones podrían ser más grandes. También, en muchos casos, la probabilidad de una pequeña declaración equivocada será mayor que la probabilidad de una declaración equivocada grande.

68. Cuando determina si una deficiencia de control o una combinación de deficiencias es una

debilidad material, el auditor debe evaluar el efecto de la compensación de los controles. Para tener un efecto de mitigación, la compensación del control debe operar a un nivel de precisión que prevendría o detectaría una declaración equivocada que podría ser material.

Indicadores de debilidades materiales 69. Los indicadores de debilidades materiales en el control interno sobre la presentación de

reportes financieros incluyen –

• Identificación del fraude, sea o no material, por parte de la administración principal;14 • Re-expresión de estados financieros previamente emitidos, para reflejar la corrección

de una declaración equivocada material;15

• Identificación, por el auditor, de una declaración equivocada material de los estados financieros en el período actual en circunstancias que señalan que la declaración equivocada no habría sido detectada por el control interno sobre la presentación de reportes financieros de la compañía; y

• Supervisión inefectiva por parte del comité de auditoría de la compañía, respecto del

proceso de presentación de reportes externos y del control interno sobre la presentación de reportes financieros de la compañía.

70. Cuando evalúa la severidad de una deficiencia, o de una combinación de deficiencias, el

auditor también debe determinar el nivel de detalle y el grado de aseguramiento que de manera prudente dejaría satisfechos a los oficiales en la dirección de sus propios asuntos en relación con que tienen seguridad razonable de que las transacciones son registradas en cuanto es necesario para permitir la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados. Si el auditor determina que una deficiencia, o combinación de deficiencias, puede impedir que los oficiales prudentes en la dirección de sus

14 Para el propósito de este indicador, el término “administración principal” incluye al ejecutivo principal y a los oficiales financieros que firman las certificaciones de la compañía tal y como es requerido bajo la Sección 302 de la Ley, lo mismo que a cualesquiera otros miembros de la administración principal que juegan un rol significante en el proceso de presentación de reportes financieros de la compañía. 15 Ver Financial Accounting Standards Board Statement No. 154, Accounting Changes and Error Corrections, relacionada con la corrección de una declaración equivocada.

) Mayo 2007 – Pg. 39/105

SAMantilla






propios asuntos concluyan que tienen seguridad razonable de que las transacciones están registradas en cuanto es necesario para permitir la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados, entonces el auditor debe tratar la deficiencia, o combinación de deficiencias, como un indicador de debilidad material.

Cierre♦

Formación de la opinión 71. Mediante la evaluación de la evidencia obtenida a partir de todas las fuentes, incluyendo

pruebas de controles que realiza el auditor, declaraciones equivocadas detectadas durante la auditoría de estados financieros, y cualesquiera deficiencias de control identificadas, el auditor debe formarse una opinión sobre la efectividad del control interno sobre la presentación de reportes financieros.

Nota: Como parte de esta evaluación, el auditor debe revisar los reportes que durante el año emitió auditoría interna (o funciones similares) y que direcciones los controles relacionados con el control interno sobre la presentación de reportes financieros, y debe evaluar las deficiencias de control que se identificaron en esos reportes.

72. Luego de formarse una opinión sobre la efectividad del control interno sobre la presentación de

reportes financieros de la compañía, el auditor debe evaluar la presentación de los elementos que se requieren que la administración, bajo las reglas de la SEC, presente en su reporte anual respecto del control interno sobre la presentación de reportes financieros.16

73. Si el auditor determina que cualesquiera elementos requeridos del reporte anual de la

administración respecto del control interno sobre la presentación de reportes financieros están incompletos o presentados de manera inapropiada, el auditor debe seguir la dirección contenida en el parágrafo C2.

74. El auditor puede formarse una opinión sobre la efectividad del control interno sobre la

presentación de reportes financieros solamente cuando no ha habido restricciones al alcance del trabajo del auditor. Una limitación del alcance requiere que el auditor niegue la opinión o se retire del contrato (ver parágrafos C3 a C7).

♦ En el original: ‘wrapping-up’. Se refiere al proceso de cierre de la auditoría (ajustes, pruebas adicionales, obtención de conclusiones, documentación, etc.). Puede traducirse indistintamente como ‘conclusión’ o ‘cierre’. Se prefiere usar el término ‘conclusión’ (N del t) 16 Ver Item 308(a) of Regulations S-B and S-K, 17 C.F.R. §§ 228.308(a) and 229.308(a).

) Mayo 2007 – Pg. 40/105

SAMantilla






Obtención de representaciones escritas 75. En una auditoría del control interno sobre la presentación de reportes financieros, el auditor

debe obtener, de la administración, representaciones escritas –

a. Reconociendo la responsabilidad de la administración por el establecimiento y mantenimiento de efectivo control interno sobre la presentación de reportes financieros;

b. Señalando que la administración ha desempeñado una evaluación y hecho una

valoración de la efectividad del control interno sobre la presentación de reportes financieros de la compañía y especificando el criterio de control;

c. Señalando que la administración no usó los procedimientos que los auditores

desempeñaron durante las auditorías del control interno sobre la presentación de reportes financieros o de los estados financieros como parte de la base para la valoración que realiza la administración respecto de la efectividad del control interno sobre la presentación de reportes financieros;

d. Señalando la conclusión de la administración, como la expresó en su valoración,

respecto de la efectividad del control interno sobre la presentación de reportes financieros de la compañía, con base en el criterio de control y para la fecha especificada;

e. Señalando de la administración ha revelado al auditor todas las deficiencias en el

diseño u operación del control interno sobre la presentación de reportes financieros que se identificaron como parte de la evaluación que realiza la administración, incluyendo la revelación por separado, al auditor, de todas esas tales deficiencias que considera son deficiencias significantes o debilidades materiales en el control interno sobre la presentación de reportes financieros;

f. Describiendo cualquier fraude resultante en una declaración equivocada material para

los estados financieros de la compañía y cualquier otro fraude que no resulte en una declaración material para los estados financieros de la compañía pero que implica a la administración principal o a la administración o a otros empleados que tienen un rol significante en el control interno sobre la presentación de reportes financieros de la compañía;

g. Señalando si las deficiencias de control identificadas y comunicadas al comité de

auditoría durante los contratos anteriores en conformidad con los parágrafos 77 y 79 han sido resueltos, e identificando específicamente cualesquiera que no; y

h. Señalando si hubo, subsiguiente a la fecha sobre la que se está reportando,

cualesquiera cambios en el control interno sobre la presentación de reportes financieros u otros factores que pueden significativamente afectar al control interno sobre la presentación de reportes financieros, incluyendo cualesquiera acciones

) Mayo 2007 – Pg. 41/105

SAMantilla






correctivas tomadas por la administración en relación con las deficiencias significantes y las debilidades materiales.

76. La falla en obtener representaciones escritas de la administración, incluyendo el rechazo de la

administración a entregarlas, constituye una limitación en el alcance de la auditoría. Tal y como se discute en el parágrafo C3. cuando se limita el alcance de la auditoría, el auditor debe ya sea retirarse del contrato o negar la opinión. Además, el auditor debe evaluar los efectos que el rechazo de la administración tiene en su capacidad para confiar en otras representaciones, incluyendo aquellas obtenidas en la auditoría de los estados financieros de la compañía.

77. AU sec. 333, Management Representations [Representaciones de la administración♦] Comunicación de ciertas materias 78. El auditor tiene que comunicar, por escrito, a la administración y al comité de auditoría, todas

las debilidades materiales identificadas durante la auditoría. La comunicación escrita se debe hacer antes de la emisión del reporte del auditor respecto del control interno sobre la presentación de reportes financieros.

79. Si el auditor concluye que la supervisión del proceso de presentación de reportes financieros

externos y del control interno sobre la presentación de reportes financieros de la compañía, por parte del comité de auditoría de la compañía, es inefectiva, el auditor tiene que comunicar esa conclusión por escrito a la junta de directores.

80. El auditor también debe considerar si hay cualesquiera deficiencias, o combinaciones de

deficiencias, identificadas durante la auditoría, que son deficiencias significantes y tiene que comunicar tales deficiencias, por escrito, al comité de auditoría.

81. El auditor también debe comunicar a la administración, por escrito, todas las deficiencias en el

control interno sobre la presentación de reportes financieros (i.e., esas deficiencias en el control interno sobre la presentación de reportes financieros que son de menor magnitud que las debilidades materiales) identificadas durante la auditoría e informarle al comité de auditoría cuando se ha realizado tal comunicación. Cuando hace esta comunicación, no es necesario que el auditor repita la información sobre tales deficiencias que ha sido incluida en las comunicaciones escritas anteriormente emitidas, ya sea que esas comunicaciones fueran hechas por el auditor, los auditores internos, u otros dentro de la organización.

82. No se requiere que el auditor desempeñe procedimientos que sean suficientes para identificar

todas las deficiencias de control; más aún, el auditor comunica las deficiencias de que es consciente respecto del control interno sobre la presentación de reportes financieros.

♦ Algunos prefieren usar la expresión ‘Cartas de gerencia’ pero este término técnicamente no es el adecuado, dado que no se trata de comunicaciones sólo de la ‘gerencia’ sino de toda la ‘administración’. Ver nota 14 arriba (N del t)

) Mayo 2007 – Pg. 42/105

SAMantilla






83. Dado que la auditoría del control interno sobre la presentación de reportes financieros no provee al auditor con aseguramiento de que ha identificado todas las deficiencias menos severas que una debilidad material, el auditor no debe emitir un reporte señalando que talles deficiencias no se encontraron durante la auditoría.

84. Cuando audita el control interno sobre la presentación de reportes financieros, el auditor puede

volverse consciente de fraude o de posibles actos ilegales. En tales circunstancias, el auditor tiene que determinar sus responsabilidades bajo AU sec. 316, Consideration of Fraud in a Financial Statement Audit, AU sec. 317, Illegal Acts by Clients, y Section 10A de la Securities Exchange Act of 1934.17

Presentación de reportes sobre el control interno 85. El reporte del auditor, respecto de la auditoría del control interno sobre la presentación de

reportes financieros, tiene que incluir los siguientes elementos18

a. Título, que incluya la palabra independiente; b. Declaración de que la administración es responsable por el mantenimiento de efectivo

control interno sobre la presentación de reportes financieros y por la valoración de la efectividad del control interno sobre la presentación de reportes financieros;

c. Identificación del reporte, de la administración, sobre el control interno;

d. Declaración de que la responsabilidad del auditor es expresar una opinión, con base

en su auditoría, respecto del control interno sobre la presentación de reportes financieros de la compañía;

e. Definición de control interno sobre la presentación de reportes financieros tal y como

se señala en el parágrafo A5;

f. Declaración de que la auditoría fue conducida de acuerdo con los estándares de la Public Company Accounting Oversigh Board (United Status);

g. Declaración de que los estándares de la Public Company Accounting Oversight Board

requiere que el auditor planee y desempeñe la auditoría para obtener seguridad razonable respecto de si efectivo control interno sobre la presentación de reportes financieros fue mantenido en todos los aspectos materiales;

h. Declaración de que una auditoría incluye obtener entendimiento del control interno

sobre la presentación de reportes financieros, valorar el riesgo de que existe una

17 Ver 15 U.S.C. § 78j-1. 18 Ver Apéndice C, que provee dirección sobre las modificaciones al reporte del auditor, modificaciones que se requieren en ciertas circunstancias.

) Mayo 2007 – Pg. 43/105

SAMantilla






debilidad material, probar y evaluar la efectividad del diseño y la operación del control interno con base en el riesgo valorado, y desempeñar otros procedimientos que el auditor considere necesarios en las circunstancias;

i. Declaración de que el auditor considera que la auditoría provee una base razonable

para su opinión;

j. Parágrafo que señale que, dadas las limitaciones inherentes, el control interno sobre la presentación de reportes financieros puede no prevenir o detectar declaraciones equivocadas y que las proyecciones de cualquier evaluación de la efectividad en períodos futuros están sujetas al riesgo de que los controles se pueden volver inadecuados a causa de cambios en las condiciones, o que se puede deteriorar el grado de cumplimiento con las políticas o procedimientos;

k. Opinión del auditor respecto de si la compañía mantuvo, en todos los aspectos

materiales, efectivo control interno sobre la presentación de reportes financieros para la fecha especificada, con base en el criterio de control;

l. Rúbrica manual o impresa de la firma del auditor;

m. Ciudad y estado (o ciudad y país, en el caso de auditores que no son de los Estados

Unidos) donde se ha emitido el reporte del auditor; y

n. Fecha del reporte de auditoría Reportes separados o combinados 86. El auditor puede escoger emitir un reporte combinado (i.e., un reporte que contenga tanto una

opinión sobre los estados financieros como una opinión respecto del control interno sobre la presentación de reportes financieros) o reportes separados respecto de los estados financieros y sobre el control interno de la compañía.

87. El siguiente ejemplo de reporte combinado, que expresa una opinión limpia respecto de los

estados financieros y una opinión limpia respecto del control interno sobre la presentación de reportes financieros, ilustra los elementos del reporte que se describen en esta sección.

Reporte de la Firma de Contaduría Pública Registrada Independiente♦

[Parágrafo introductorio]

Hemos auditado los adjuntos balance general de la Compañía W a diciembre 31, 20X8 y 20X7, y los estados relacionados de ganancias, patrimonio de los accionistas y ganancias

♦ En el original: ‘Independent Registered Public Accounting Firm’: se refiere a una firma de contadores públicos que está registrada en la US-PCAOB y que actúa como auditor independiente del cliente (N del t)

) Mayo 2007 – Pg. 44/105

SAMantilla






comprensivas, así como los flujos de efectivo para cada uno de los años en el período de tres años terminado en Diciembre 31, 20X8. También hemos auditado el control interno sobre la presentación de reportes financieros de la Compañía W a Diciembre 31, 20X8, con base en [identificar el criterio de control, por ejemplo, “criterio establecido en Internal Control – Integrated Framework emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO).”]. La administración de la Compañía W es responsable por esos estados financieros, por mantener efectivo control interno sobre la presentación de reportes financieros, y por su valoración de la efectividad del control interno sobre la presentación de reportes financieros, incluido en el anexo [título del reporte de la administración]. Nuestra responsabilidad es expresar una opinión, con base en nuestra auditoría, respecto de esos estados financieros y una opinión respecto del control interno sobre la presentación de reportes financieros de la compañía.

[Parágrafo de alcance] Condujimos nuestras auditorías de acuerdo con los estándares de la Public Company Accounting Oversight Board (United Status). Esos estándares requieren que planeemos y desempeñemos las auditorías para obtener seguridad razonable respecto de si los estados financieros están libres de declaración equivocada material y si se mantuvo en todos los aspectos materiales efectivo control interno sobre la presentación de reportes financieros. Nuestras auditorías de los estados financieros incluyeron examinar, sobre una base de prueba, la evidencia que soporta las cantidades y revelaciones contenidas en los estados financieros, valorar los principios de contabilidad usados y los estimados significantes hechos por la administración, y evaluar la presentación general de los estados financieros. Nuestra auditoría del control interno sobre la presentación de reportes financieros incluyó obtener un entendimiento del control interno sobre la presentación de reportes financieros, valorar el riesgo de que exista una debilidad material, y probar y evaluar la efectividad del diseño y la operación del control interno con base en el riesgo valorado. Nuestras auditorías también incluyen desempeñar otros procedimientos que consideramos necesarios en las circunstancias. Nosotros consideramos que nuestras auditorías proveen una base razonable para nuestras opiniones.

[Parágrafo de definición] El control interno sobre la presentación de reportes financieros de una compañía es un proceso diseñado para proveer seguridad razonable en relación con la confiabilidad de la presentación de reportes financieros y la preparación de estados financieros para propósitos externos de acuerdo con los principios de contabilidad generalmente aceptados. El control interno sobre la presentación de reportes financieros de una compañía incluye esas políticas y esos procedimientos que (1) pertenecen al mantenimiento de registros que, con razonable detalle, reflejan exacta y fielmente las transacciones y las disposiciones de los activos de la compañía; (2) proveen seguridad razonable de que las transacciones se registran en cuanto es necesario para permitir la preparación de los estados financieros de acuerdo con los principios de contabilidad generalmente aceptados, y que los ingresos y desembolsos de la compañía se hacen solamente de acuerdo con autorizaciones de la administración y de los directores de la compañía; y (3) proveen seguridad razonable en

) Mayo 2007 – Pg. 45/105

SAMantilla






relación con la prevención o detección oportuna de la adquisición, uso, o disposición, no autorizados, de los activos de la compañía, lo cual podría tener un efecto material en los estados financieros.

[Parágrafo de limitaciones inherentes]

Dadas sus limitaciones inherentes, el control interno sobre la presentación de reportes financieros puede no prevenir o detectar declaraciones equivocadas. También, las proyecciones de cualquier evaluación de la efectividad para períodos futuros están sujetas al riesgo de que los controles puedan volverse inadecuados a causa de cambios en las condiciones, o que se pueda deteriorar el grado de cumplimiento con las políticas o procedimientos.

[Parágrafo de opinión] En nuestra opinión, los estados financieros a los que arriba se hace referencia presentan razonablemente, en todos los aspectos, la posición financiera de la Compañía W a Diciembre 31, 20X8 y 20X7, y los resultados de sus operaciones así como sus flujos de efectivo para cada uno de los tres años en el período de tres años que termina en Diciembre 31, 20X8 en conformidad con los principios de contabilidad generalmente aceptados en los Estados Unidos de América. También en nuestra opinión, la Compañía W mantuvo, en todos los aspectos materiales, efectivo control interno sobre la presentación de reportes financieros a Diciembre 31, 20X8, con base en [Identifique el criterio de control, por ejemplo, “criterio establecido en Internal Control- Integrated Framework emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO)-“ ]. [Firma] [Ciudad y Estado o País] [Fecha]

88. Si el auditor escoge emitir un reporte separado respecto del control interno sobre la

presentación de reportes financieros, debe agregar el siguiente parágrafo al reporte del auditor sobre los estados financieros –

También hemos auditado, de acuerdo con los estándares de la Public Company Accounting Oversight Board (United Status), el control interno sobre la presentación de reportes financieros de la Compañía W a Diciembre 31, 20X8, con base en [identifique el criterio de control] y nuestro reporte fechado [fecha del reporte, la cual debe ser la misma que la fecha del reporte sobre los estados financieros] expresado [incluir la naturaleza de la opinión].

El auditor también debe agregar el siguiente parágrafo al reporte respecto del control interno sobre la presentación de reportes financieros –

) Mayo 2007 – Pg. 46/105

SAMantilla






También hemos auditado, de acuerdo con los estándares de la Public Company Accounting Oversight Board (United Status), los [identifique los estados financieros] de la Compañía W y nuestro reporte fechado [fecha del reporte, que debe ser la misma fecha del reporte respecto de la efectividad del control interno sobre la presentación de reportes financieros] expresado [naturaleza de la opinión].

Fecha del reporte 89. El auditor no debe fechar el reporte de auditoría antes de la fecha en el cual el auditor obtuvo

evidencia suficiente y competente para soportar la opinión del auditor. Dado que el auditor no puede auditar el control interno sobre la presentación de reportes financieros sin también auditar los estados financieros, los reportes se deben fechar iguales.

Debilidades materiales 90. Los parágrafos 62 a 70 describen la evaluación de las deficiencias. Si hay deficiencias que,

individual o en combinación, resulten en una o más debilidades materiales, el auditor tiene que expresar una opinión adversa respecto del control interno sobre la presentación de reportes financieros de la compañía, a menos que haya una restricción en el alcance del contrato.19

91. Cuando expresa una opinión adversa respecto del control interno sobre la presentación de

reportes financieros, a causa de una debilidad material, el reporte del auditor tiene que incluir –

• La definición de debilidad material, tal y como es provista en el parágrafo A7. • Una declaración de que ha sido identificada una debilidad material y una identificación

de la debilidad material descrita en la valoración que realiza la administración.

Nota: Si la debilidad material no ha sido incluida en la valoración que realiza la administración, el reporte debe ser modificado para señalar que ha sido identificada una debilidad material pero que no ha sido incluida en la valoración que realiza la administración. Adicionalmente, el reporte del auditor debe incluir una descripción de la debilidad material, la cual debe proveer a los usuarios del reporte de auditoría con información específica sobre la naturaleza de la debilidad material y su efecto actual y potencial sobre la presentación de los estados financieros de la compañía emitidos durante la existencia de la debilidad. En este caso, el auditor también debe comunicar por escrito al comité de auditoría que la debilidad material no fue revelada o identificada como debilidad material en la valoración que realiza la administración. Si la debilidad material ha sido incluida en la valoración que realiza la administración pero el auditor concluye que la revelación de la debilidad material no está razonablemente presentada en todos los aspectos materiales, el reporte del auditor debe describir esta

19 Ver parágrafo C3 para dirección cuando ha sido limitado el alcance del contrato.

) Mayo 2007 – Pg. 47/105

SAMantilla






conclusión lo mismo que la información necesaria para describir razonablemente la debilidad material.

92. El auditor debe determinar el efecto que su opinión adversa sobre el control interno tiene en su

opinión sobre los estados financieros. Adicionalmente, el auditor debe revelar si su opinión sobre los estados financieros fue afectada por la opinión adversa respecto del control interno sobre la presentación de reportes financieros.

Nota: Si el auditor emite un reporte separado respecto del control interno sobre la presentación de reportes financieros en esta circunstancia, la revelación requerida por este parágrafo puede combinarse con el lenguaje de reporte que se describe en los parágrafos 88 y 91. El auditor puede presentar el lenguaje combinado ya sea como parágrafo separado o como parte del parágrafo que identifica la debilidad material.

Eventos subsiguientes 93. Los cambios en el control interno sobre la presentación de reportes financieros o los otros

factores que pueden afectar de manera significativa al control interno sobre la presentación de reportes financieros pueden ocurrir subsiguientes a la fecha en la cual el control interno sobre la presentación de reportes financieros está siendo auditado pero antes de la fecha del reporte del auditor. El auditor debe indagar a la administración si hubo cualesquiera cambios o factores y obtener representaciones escritas de la administración relacionadas con tales materias, tal y como se describe en el parágrafo 75h.

94. Para obtener información adicional sobre si han ocurrido cambios que pueden afectar la

efectividad del control interno sobre la presentación de reportes financieros de la compañía y, por consiguiente, el reporte del auditor, el auditor debe indagar sobre y examinar, para este período subsiguiente, lo siguiente –

• Reportes de auditoría interna (o funciones similares, tal como revisión de

préstamos en una institución financiera) emitidos durante el período subsiguiente,

• Reportes del auditor independientes (si es distinto al auditor) respecto de

deficiencias en el control interno,

• Reportes de agencias regulatorias, respecto del control interno sobre la presentación de reportes financieros de la compañía, e

• Información respecto de la efectividad del control interno sobre la presentación

de reportes financieros de la compañía, obtenidos a través de otros contratos. 95. El auditor tiene que indagar respecto de y examinar otros documentos para el período

subsiguiente. Los parágrafos .01 a .09 de AU sec. 560, Subsequent Events [Eventos

) Mayo 2007 – Pg. 48/105

SAMantilla






subsiguientes], provee dirección sobre los eventos subsiguientes para una auditoría de estados financieros, los cuales también pueden ser útiles para el auditor que desempeña una auditoría del control interno sobre la presentación de reportes financieros.

96. Si el auditor obtiene conocimiento sobre eventos subsiguientes que material y adversamente

afectan la efectividad del control interno sobre la presentación de reportes financieros de la compañía para la fecha especificada en la valoración, el auditor debe emitir una opinión adversa respecto del control interno sobre la presentación de reportes financieros (y seguir la dirección contenida en el parágrafo C2 si la valoración que realiza la administración señala que el control interno sobre la presentación de reportes financieros es efectivo). Si el auditor es incapaz de determinar el efecto que el evento subsiguiente tiene en la efectividad del control interno sobre la presentación de reportes financieros de la compañía, el auditor debe negar la opinión sobre las revelaciones de la administración respecto de las acciones correctivas tomadas por la compañía después de la fecha de la valoración que realiza la administración, si has hay.

97. El auditor puede obtener conocimiento respecto de eventos subsiguientes con relación a

condiciones que no existían en la fecha especificada en la valoración pero que se presentaron subsiguientes a esa fecha y antes de la emisión del reporte del auditor. Si un evento subsiguiente de este tipo tiene un efecto material en el control interno sobre la presentación de reportes financieros de la compañía, el auditor debe incluir en su reporte un parágrafo explicativo que describa el evento y sus efectos o llamar la atención del lector hacia el evento y sus efectos tal y como se reveló en el reporte de la administración.

98. Después de la emisión del reporte respecto del control interno sobre la presentación de

reportes financieros, el auditor puede ser consciente de condiciones que existían a la fecha del reporte y que pueden haber afectado la opinión que el auditor tenía antes de ser consciente de ellas. La evaluación del auditor con relación a tal información subsiguiente es similar a la evaluación que hace el auditor de la información descubierta subsiguiente a la fecha del reporte sobre una auditoría de estados financieros, tal y como se describe en AU sec. 561, Subsequent Discovery of Facts Existing at the Date of the Auditor’s Report [Descubrimiento subsiguiente de hechos que existían a la fecha del reporte del auditor].

) Mayo 2007 – Pg. 49/105

SAMantilla






APENDICE A – Definiciones A1. Para los propósitos de este estándar, los términos que se enumeran abajo se definen

como sigue - A2.

Un objetivo de control provee un blanco específico contra el cual evaluar la efectividad de los controles. Para el control interno sobre la presentación de reportes financieros, un objetivo de control se relaciona con una aserción relevante y establece un criterio para evaluar si los procedimientos de control de la compañía en un área específica proveen seguridad razonable de que una declaración equivocada o una omisión en esa aserción relevante es prevenida o detectada por los controles sobre una base oportuna.

A3.

Existe una deficiencia en el control interno sobre la presentación de reportes financieros cuando el diseño o la operación del control no le permite a la administración o a los empleados, en el curso normal del desempeño de sus funciones, prevenir o detectar declaraciones equivocadas y hacerlo sobre una base oportuna.

• Existe una deficiencia en el diseño cuando (a) falta un control necesario para satisfacer el objetivo de control, o (b) un control existente no está apropiadamente diseñado de manera que, aún si el control opera tal y como fue diseñado, el objetivo de control no sería satisfecho.

• Existe una deficiencia en la operación cuando un control apropiadamente diseñado

no opera tal y como fue diseñado, o cuando la persona que desempeña el control no posee la autoridad o la competencia necesarias para desempeñar el control de manera efectiva.

A4.

Los estados financieros y las revelaciones relacionadas se refieren a los estados financieros de una compañía y a las notas a los estados financieros, que se presentan de acuerdo con los generally accepted accounting principles (“GAAP”♦). Las referencias a los estados financieros y a las revelaciones relacionadas no se extienden a la preparación de la discusión y análisis de la administración o a otra información financiera similar que se presenta por fuera de los estados financieros y notas de la compañía con base en los GAAP.

A5-

Control interno sobre el proceso de presentación de reportes financieros es un proceso diseñado por, o bajo la supervisión de, el ejecutivo principal y los oficiales financieros principales de la compañía, o por personas que desempeñen funciones similares, y efectuado por la junta de directores, la administración y otro personal, para proveer seguridad razonable en relación con la confiabilidad de la información financiera y

♦ Generally accepted accounting principles (GAAP) = principios de contabilidad generalmente aceptados (PCGA). El texto se refiere a los US-GAAP, no a los PCGA de otros países (N del t)

) Mayo 2007 – Pg. 50/105

SAMantilla






la preparación de estados financieros para propósitos externos de acuerdo con los GAAP e incluye esas políticas y procedimientos que –

(1) Corresponden al mantenimiento de registro que, con razonable detalle, reflejan exacta y fielmente las transacciones y las disposiciones de los activos de la compañía;

(2) Proveen seguridad razonable de que las transacciones están registradas en

cuanto es necesario para permitir la preparación de los estados financieros de acuerdo con los principios de contabilidad generalmente aceptados, y que los ingresos y desembolsos de la compañía se están haciendo solo de acuerdo con autorizaciones de la administración y de los directores de la compañía; y

(3) Proveer seguridad razonable en relación con la prevención o detección oportuna

de la adquisición, el uso, o la disposición, no autorizados, de los activos de la compañía, que podrían tener un efecto material en los estados financieros.1

Nota: Los procedimientos del auditor, que hacen parte ya sea de la auditoría del control interno sobre la presentación de reportes financieros o de la auditoría de estados financieros, no hacen parte del control interno sobre la presentación de reportes financieros de la compañía. Nota: El control interno sobre la presentación de reportes financieros tiene limitaciones que le son inherentes. El control interno sobre la presentación de reportes financieros es un proceso que implica diligencia y cumplimiento humanos y que está sujeto a lapsos en el juicio así como a rupturas resultantes de fallas humanas. El control interno sobre la presentación de reportes financieros también puede ser evitado por colusión o porque de manera impropia la administración lo invalide. A causa de tales limitaciones, hay un riesgo de que declaraciones equivocadas materiales no serán prevenidas o detectadas en una base oportuna por parte del control interno sobre la presentación de reportes financieros. Sin embargo, esas limitaciones inherentes son características conocidas del proceso de presentación de reportes financieros. Por lo tanto, en el proceso es posible diseñar salvaguardas para reducir el riesgo, si bien no para eliminarlo.

A6.

Valoración que realiza la administración es la valoración descrita en el Item 308(a)(3) de Regulations S-B and S-K, que está incluida en el reporte anual de la administración respecto del control interno sobre la presentación de reportes financieros.2

A7.

Debilidad material es una deficiencia, o una combinación de deficiencias, en el control interno sobre la presentación de reportes financieros, tal que hay una posibilidad razonable de que una declaración equivocada material de los estados financieros anual o intermedios de la compañía no será prevenida o detectada en una base oportuna.

1 Ver Securities Exchange Act Rules 13a-15(f) and 15d-15(f), 17 C.F.R. §§ 240.13a-15(f) and 240.15d-15(f). 2 Ver 17 C.F.R. § 228.308(a)(3) and 229.308(a)(3).

) Mayo 2007 – Pg. 51/105

SAMantilla






Nota: Hay una posibilidad razonable de un evento, tal y como se usa en este estándar, cuando la probabilidad del evento es ya sea “razonablemente posible” o “probable”, tal y como esos términos se usan en Financial Accounting Standard Board Statement No. 5, Accounting for Contingencias (“FAS 5”).3

A8.

Los controles sobre la presentación de reportes financieros pueden ser controles preventivos o controles detectivos. El efectivo control interno sobre la presentación de reportes financieros a menudo incluye una combinación de controles preventivos y detectivos.

• Los controles preventivos tienen el objetivo de prevenir errores o fraude que podrían derivar, a partir de su ocurrencia, en una declaración equivocada de los estados financieros.

• Los controles detectivos tienen el objetivo de detectar errores o fraude que ya ha

ocurrido y que podría derivar en una declaración equivocada de los estados financieros.

A9.

Una aserción relevante es una aserción del estado financiero que tiene una posibilidad razonable de contener una declaración equivocada, o declaraciones equivocadas, que podrían causar que los estados financieros estén declarados equivocadamente en forma material. La determinación de si una aserción es una aserción relevante se basa en el riesgo inherente, sin considerar el efecto de los controles.

A10.

Una cuenta o revelación es una cuenta o revelación significante si hay una posibilidad razonable de que la cuenta o revelación podría contener una declaración equivocada que, individualmente o cuando se agrega con otras, tiene un efecto material en los estados financieros, considerando los riesgos tanto de sobre-declaración y sub-declaración. La determinación de si una cuenta o revelación es significante se basa en el riesgo inherente, sin considerar el efecto de los controles.

A11.

Una deficiencia significante es una deficiencia, o una combinación de deficiencias, en el control interno sobre la presentación de reportes financieros, que es menos severa que una debilidad material, pero suficientemente importante para llamar la atención de quienes son responsables por la supervisión de la presentación de reportes financieros de la compañía.

3 Ver FAS 5, parágrafo 3.

) Mayo 2007 – Pg. 52/105

SAMantilla






APENDICE B – Asuntos especiales Integración de las auditorías B1. Pruebas de los controles en una auditoría del control interno. En una auditoría del control

interno sobre la presentación de reportes financieros, el objetivo de las pruebas de los controles es obtener evidencia respecto de la efectividad de los controles para soportar la opinión del auditor en relación con el control interno sobre la presentación de reportes financieros de la compañía. La opinión del auditor se relaciona con la efectividad del control interno sobre la presentación de reportes financieros en un punto del tiempo y tomado como un todo.

B2. Para expresar una opinión respecto del control interno sobre la presentación de reportes financieros en un punto del tiempo, el auditor debe obtener evidencia de que el control interno sobre la presentación de reportes financieros ha operado de manera efectiva durante un período de tiempo suficiente, que puede ser menor que todo el período (ordinariamente un año) cubierto por los estados financieros de la compañía. Para expresar una opinión respecto del control interno sobre la presentación de reportes financieros tomado como un todo, el auditor tiene que obtener evidencia respecto de la efectividad de los controles seleccionados sobre todas las aserciones relevantes. Esto requiere que el auditor pruebe la efectividad del diseño y la operación de los controles que ordinariamente no probaría si expresa una opinión solamente sobre los estados financieros.

B3. Cuando concluye respecto de la efectividad del control interno sobre la presentación de reportes financieros para los propósitos de expresar una opinión en relación con el control interno sobre la presentación de reportes financieros, el auditor debe incorporar los resultados de cualesquiera pruebas adicionales de los controles desempeñadas para lograr el objetivo relacionado con la expresión de una opinión sobre los estados financieros, tal y como se discute en la siguiente sección.

B4. Pruebas de los controles en una auditoría de estados financieros. Para expresar una opinión respecto de los estados financieros, el auditor ordinariamente desempeña pruebas de los controles y procedimientos sustantivos. El objetivo de las pruebas de los controles que el auditor desempeña para este propósito es valorar el riesgo de control. Para valorar como menos que el máximo el riesgo de control para aserciones específicas del estado financiero, se requiere que el auditor obtenga evidencia de que los controles relevantes operaron de manera efectiva durante todo el período para el cual el auditor planea confiar en esos controles. Sin embargo, no se requiere que el auditor valore el riesgo de control como menos que el máximo para todas las aserciones relevantes y, por una variedad de razones, el auditor puede escoger no hacerlo.

) Mayo 2007 – Pg. 53/105

SAMantilla






B5. Cuando concluye respecto de la efectividad de los controles para el propósito de valorar el riesgo de control, el auditor también debe evaluar los resultados de cualesquiera pruebas adicionales de los controles desempeñadas para lograr el objetivo relacionado con la expresión de una opinión relacionada con el control interno sobre la presentación de reportes financieros de la compañía, tal y como se discute en el parágrafo B2. La consideración de esos resultados puede requerir que el auditor altere la naturaleza, oportunidad, y extensión de los procedimientos sustantivos y que planee y desempeñe adicionales pruebas de los controles, particularmente en respuesta a las deficiencias de control que se identificaron.

B6. Efecto que las pruebas de los controles tienen en los procedimientos sustantivos. Si, durante la auditoría del control interno sobre la presentación de reportes financieros, el auditor identifica una deficiencia, debe determinar el efecto de la deficiencia, si lo hay, sobre la naturaleza, oportunidad, y extensión de los procedimientos sustantivos a ser desempeñados para reducir el riesgo de auditoría, en la auditoría de los estados financieros, a un nivel apropiadamente bajo.

B7. Independiente del nivel valorado del riesgo de control o del riesgo valorado de declaración equivocada material en vinculación con la auditoría de los estados financieros, el auditor debe desempeñar procedimientos sustantivos para todas las aserciones relevantes. Desempeñar procedimientos para expresar una opinión respecto del control interno sobre la presentación de reportes financieros no disminuye este requerimiento.

B8. Efecto que los procedimientos sustantivos tienen en las conclusiones del auditor respecto de la efectividad de la operación de los controles. En una auditoría del control interno sobre la presentación de reportes financieros, el auditor debe evaluar el efecto que los hallazgos de los procedimientos de auditoría sustantivos desempeñados en la auditoría de los estados financieros tienen en la efectividad del control interno sobre la presentación de reportes financieros. Esta evaluación debe incluir, como mínimo –

• Valoraciones del riesgo, realizadas por el auditor en vinculación con la selección y aplicación de los procedimientos sustantivos, especialmente aquellos relacionados con el fraude.

• Hallazgos con relación a actos ilegales y transacciones con partes relacionadas.

• Indicativos de sesgo de la administración al hacer estimados de contabilidad y al

seleccionar principios de contabilidad.

• Declaraciones equivocadas detectadas por los procedimientos sustantivos. La extensión de tales declaraciones equivocadas puede alterar el juicio del auditor sobre la efectividad de los controles.

B9. Para obtener evidencia respecto de si un control seleccionado es efectivo, el control tiene

que ser probado de manera directa; la efectividad de un control no se puede inferir de la ausencia de declaraciones equivocadas detectadas por los procedimientos sustantivos. La

) Mayo 2007 – Pg. 54/105

SAMantilla






ausencia de declaraciones equivocadas detectadas por los procedimientos sustantivos, sin embargo, debe informar las valoraciones del riesgo que realiza el auditor para determinar las pruebas necesarias para concluir respecto de la efectividad de un control.

Decisiones sobre el alcance en múltiples localizaciones B10. Al determinar las localizaciones o unidades de negocio en las cuales desempeñar las

pruebas de los controles, el auditor debe valorar el riesgo de declaración equivocada material para los estados financieros asociados con la localización o unidad de negocios y correlacionar la cantidad de atención de auditoría dedicada a la localización o unidad de negocios con el grado de riesgo.

Nota: El auditor puede eliminar de consideración adicional las localizaciones o unidades de negocio que, individualmente o cuando se agregan con otras, no presentan una posibilidad razonable de declaración equivocada material para los estados financieros consolidados de la compañía.

B11. Al valorar y responder al riesgo, el auditor debe probar los controles relacionados con

riesgos específicos que presentan una posibilidad razonable de declaración equivocada material para los estados financieros consolidados de la compañía. En localizaciones o unidades de negocio de riesgo más bajo, el auditor primero que todo tiene que evaluar si la prueba de los controles a nivel de entidad, incluyendo los controles puestos para proveer aseguramiento de que existen los controles apropiados a través de la organización, proveen al auditor con evidencia suficiente.

B12. Al determinar las localizaciones o unidades de negocio en las cuales desempeñar pruebas de los controles, el auditor puede tener en cuenta el trabajo desempeñado por otros a nombre de la administración. Por ejemplo, si los procedimientos planeados por los auditores internos incluyen trabajo de auditoría relevante en diversas localizaciones, el auditor puede coordinar el trabajo con los auditores internos y reducir la cantidad de localizaciones o unidades de negocios en las cuales el auditor de otra manera necesitaría desempeñar procedimientos de auditoría.

B13. La dirección contenida en el parágrafo 61, relacionada con consideraciones especiales para las auditorías de años subsiguientes, significa que el auditor debe variar de año a año la naturaleza, oportunidad, y extensión de las pruebas de los controles en las localizaciones o unidades de negocio.

B14. Situaciones especiales. El alcance de la auditoría debe incluir entidades que sean adquiridas en o antes de la fecha de la valoración que realiza la administración y operaciones que son consideradas como operaciones descontinuadas en la fecha de la valoración que realiza la administración. La dirección contenida en esta discusión sobre localizaciones-múltiples describe cómo determinar si es necesario probar los controles en esas entidades u operaciones.

) Mayo 2007 – Pg. 55/105

SAMantilla






B15. Para las inversiones según el método de patrimonio, el alcance de la auditoría debe incluir

los controles sobre la presentación de reportes de acuerdo con los principios de contabilidad generalmente aceptados, en los estados financieros de la compañía, en la porción que la compañía tiene de las ganancias o pérdidas de la inversión, el balance de la inversión, los ajustes a las ganancias o pérdidas y al balance de inversión, así como a las revelaciones relacionadas. La auditoría ordinariamente no extendería los controles al método del patrimonio donde se invierte.

B16. En situaciones en las cuales la SEC le permite a la administración limitar mediante la exclusión de ciertas entidades su valoración del control interno sobre la presentación de reportes financieros, el auditor puede limitar la auditoría de la misma manera. En esas situaciones, la opinión del auditor no estaría afectada por una limitación del alcance. Sin embargo, el auditor debe incluir, ya sea en un parágrafo explicativo adicional o como parte del parágrafo del alcance en su reporte, una revelación similar a la que realiza la administración en relación con la exclusión de una entidad del alcance tanto de la valoración que realiza la administración como de la auditoría que realiza el auditor respecto del control interno sobre la presentación de reportes financieros. Adicionalmente, el auditor debe evaluar la razonabilidad de la conclusión de la administración respecto de que la situación satisface el criterio de exclusión permitido por la SEC así como el carácter apropiado de cualquier revelación requerida en relación con tal limitación. Si el auditor considera que la revelación que realiza la administración sobre la limitación requiere modificación, el auditor debe seguir las mismas responsabilidades de comunicación que se describen en los parágrafos .19 a .32 de AU sec 722, Interim Financial Information [Información financiera intermedia]. Si la administración y el comité de auditoría no responden de manera apropiada, en adición y para cumplir plenamente esas responsabilidades, el auditor debe modificar su reporte respecto de la auditoría del control interno sobre la presentación de reportes financieros para incluir un parágrafo explicativo que describa las razones por las cuales considera que la revelación que realiza la administración requiere modificación.

Uso de organizaciones de servicio B17. AU sec. 324, Service Organizations [Organizaciones de servicio] aplica a la auditoría de

estados financieros de una compañía que obtiene servicios de otra organización, los cuales hacen parte del sistema de información de la compañía. El auditor puede aplicar, a la auditoría del control interno sobre la presentación de reportes financieros, los conceptos relevantes que se describen en AU sec. 324.

B18. AU sec. 324.03 describe la situación en la cual los servicios de una organización de servicios hacen parte del sistema de información de una compañía. Si los servicios de la organización de servicios hacen parte del sistema de información de una compañía, tal y como se describe en eso, entonces son parte del componente información y comunicación

) Mayo 2007 – Pg. 56/105

SAMantilla






del control interno sobre la presentación de reportes financieros de la compañía. Cuando los servicios de la organización de servicios hacen parte del control interno sobre la presentación de reportes financieros de la compañía, el auditor debe incluir las actividades de la organización de servicios cuando determina la evidencia que se requiere para soportar su opinión.

B19. AU sec. 324.07 a .16 describe los procedimientos que el auditor debe desempeñar con relación a las actividades desempeñadas por la organización de servicios. Los procedimientos incluyen –

a. Obtener un entendimiento de los controles de la organización de servicios que son relevantes para el control interno de la entidad y de los controles de la organización usuaria sobre las actividades de la organización de servicios, y

b. Obtener evidencia de que los controles que son relevantes para la opinión del

auditor están operando de manera efectiva.

B20. La evidencia de que los controles que son relevantes para el auditor están operando de manera efectiva se puede obtener siguiendo los procedimientos que se describen en AU sec. 324.12. Esos procedimientos incluyen –

a. Obtener un reporte del auditor del servicio respecto de los controles en operación y sobre las pruebas de la efectividad de la operación, o un reporte sobre la aplicación de procedimientos de acuerdo convenido que describan las pruebas de los controles relevantes.

Nota: El reporte del auditor del servicio, al que se hace referencia arriba, significa un reporte con la opinión de auditor del servicio respecto de la descripción que la organización de servicio hace del diseño de sus controles, las pruebas de los controles, y los resultados de esas pruebas desempeñadas por el auditor del servicio, así como la opinión del auditor del servicio respecto de si los controles probados estuvieron operando de manera efectiva durante el período especificado (en otras palabras, los “reportes sobre los controles puestos en operación y pruebas de la efectividad de la operación” que se describen en AU sec. 324.24b). El reporte del auditor del servicio, que no incluya pruebas de los controles, resultados de las pruebas, y opinión del auditor del servicio respecto de la efectividad de la operación (en otras palabras, los “reportes sobre los controles puestos en operación” que se describen en AU sec. 324.24a) no proveen evidencia de la efectividad de la operación. Además, si la evidencia relacionada con la efectividad de la operación de los controles proviene de un reporte de procedimientos de acuerdo convenido más que de un reporte del auditor del servicio emitido en conformidad con AU sec. 324, el auditor debe evaluar si el reporte de procedimientos de acuerdo convenido provee suficiente evidencia de la misma manera que se describe en el siguiente parágrafo.

) Mayo 2007 – Pg. 57/105

SAMantilla






b. Desempeñar pruebas de los controles de la organización usuario sobre las actividades de la organización de servicio (e.g., probar el re-desempeño independiente de la organización del usuario respecto de los elementos seleccionados procesados por la organización de servicio o probar la conciliación de la organización usuario respecto del resultado de los reportes con los documentos fuente).

c. Desempeñar pruebas de controles a la organización de servicio.

B21. Si está disponible el reporte, de un auditor del servicio, sobre los controles puestos en

operación y sobre las pruebas de la efectividad de la operación, el auditor puede evaluar si este reporte provee evidencia suficiente para soportar su opinión. Al evaluar si tal reporte del auditor del servicio provee suficiente evidencia, el auditor debe valorar los siguientes factores –

• El período de tiempo cubierto por las pruebas de los controles y su relación con la fecha de la valoración que realiza la administración,

• El alcance del examen y las aplicaciones cubiertas, los controles probados, así

como la manera como los controles probados se relacionan con los controles de la compañía, y

• Los resultados de esas pruebas de los controles y la opinión del auditor del

servicio respecto de la efectividad de la operación de los controles.

Nota: Esos factores son similares a los factores que el auditor consideraría al determinar si el reporte provee suficiente evidencia para soportar el nivel del riesgo de control valorado por el auditor en un auditoría de estados financieros, tal y como se describe en AU sec. 324.16.

B22. Si el reporte, del auditor del servicio, sobre los controles puestos en operación y sobre las

pruebas de la efectividad de la operación contiene una calificación respecto de que los objetivos de control que se establecieron pueden lograrse solamente si la compañía aplica los controles contemplados por la organización de servicio en el diseño del sistema, el auditor debe evaluar si la compañía está aplicando los procedimientos necesarios.

B23. Al determinar si el reporte del auditor del servicio provee evidencia suficiente para soportar la opinión del auditor, el auditor debe hacer indagaciones relacionadas con la reputación, competencia, e independencia del auditor del servicio. Las fuentes de información apropiadas que se refieren a la reputación profesional del auditor del servicio se discuten en el parágrafo .10a de AU sec. 543, Part of Audit Performed by Other Independent Auditors [Parte de la auditoría desempeñada por otros auditores independientes].

B24. Cuando ha transcurrido un período de tiempo significante entre el período de tiempo cubierto por las pruebas de los controles en el reporte del auditor del servicio y la fecha especificada en la valoración que realiza la administración, se deben desempeñar

) Mayo 2007 – Pg. 58/105

SAMantilla






procedimientos adicionales. El auditor debe indagar a la administración para determinar si la administración ha identificado cualesquiera cambios en los controles de la organización del servicio subsiguientes al período cubierto por el reporte del auditor del servicio (tales como cambios comunicados por la organización del servicio a la administración, cambios en el personal de la organización del servicio y con los cuales interactúa la administración, cambios en reportes u otros datos recibidos de la organización del servicio, cambios en contratos o en acuerdos del nivel de servicio realizados con la organización del servicio, o errores identificados en el procesamiento de la organización del servicio). Si la administración ha identificado tales cambios, el auditor debe evaluar el efecto que tales cambios tienen en la efectividad del control interno sobre la presentación de reportes financieros de la compañía. El auditor también debe evaluar si los resultados de los otros procedimientos que desempeñó indican que ha habido cambios en los controles en la organización de servicio.

B25. El auditor debe determinar si obtener evidencia adicional sobre la efectividad de la operación de los controles en la organización de servicio con base en los procedimientos desempeñados por la administración o el auditor y los resultados de esos procedimientos y en una evaluación de los siguientes factores de riesgo. Cuando se incrementa el riesgo, se incrementa también la necesidad de que el auditor obtenga evidencia adicional.

• El tiempo transcurrido entre el período de tiempo cubierto por las pruebas de los controles en el reporte del auditor del servicio y la fecha que se especifica en la valoración que realiza la administración,

• La signiticancia de las actividades de la organización de servicio,

• Si hay errores que han sido identificados en el procesamiento de la organización

de servicio, y

• La naturaleza y significancia de cualesquiera cambios en los controles de la organización de servicio identificados por la administración o por el auditor.

B26. Si el auditor concluye que se requiere evidencia adicional sobre la efectividad de la

operación de los controles en la organización de servicio, los procedimientos adicionales del auditor pueden incluir –

• Evaluar los procedimientos desempeñados por la administración y los resultados de esos procedimientos.

• Contactar la organización de servicio, mediante la organización del usuario, para

obtener información específica.

• Requerir que se contrate un auditor de servicio para desempeñar procedimientos que suministrarán la información necesaria.

) Mayo 2007 – Pg. 59/105

SAMantilla






• Visitar la organización de servicio y desempeñar tales procedimientos.

B27. Cuando expresa una opinión respecto del control interno sobre la presentación de reportes financieros, el auditor no se debe referir al reporte del auditor del servicio.

Comparación de controles automatizados B28. Los controles de aplicación completamente automatizados generalmente no están sujetos

a interrupciones debidas a fallas humanas. Esta característica le permite al auditor usar una estrategia de “comparación”.♦

B29 Si cambian los controles generales sobre los programas, el acceso a los programas, y las operaciones de computación son efectivas y continúan siendo probadas, y si el auditor verifica que la aplicación automatizada del control no ha cambiado desde que el auditor estableció una línea de fondo (i.e., el último probó el control de la aplicación), el auditor puede concluir que el control automatizado de la aplicación continúa siendo efectivo sin repetir las pruebas específicas del año anterior realizadas respecto de la operación del control automatizado de la aplicación. La naturaleza y la extensión de la evidencia que el auditor debe obtener para verificar que el control no ha cambiado puede variar dependiendo de las circunstancias, incluyendo el depender de la fortaleza de los controles a los cambios de programas de la compañía.

B30. El funcionamiento consistente y efectivo de los controles de la aplicación automatizados puede depender de los archivos, tablas, datos y parámetros que le están relacionados. Por ejemplo, una aplicación automatizada para calcular las ganancias netas puede depender de la integridad continuada de una tabla de tarifas que se use para el cálculo automatizado.

B31. Para determinar si usar una estrategia de comparación, el auditor debe valorar los siguientes factores de riesgo. En la medida en que esos factores señalen riesgo más bajo, el control que se está evaluando puede estar muy bien ubicado para la comparación. En cuanto esos factores indiquen riesgo incrementado, el control que se está evaluando está menos ubicado para la comparación. Esos factores son –

• La extensión en la cual el control de aplicación puede ser emparejado♦ con un programa definido dentro de una aplicación.

• La extensión en la cual la aplicación es estable (i.e., hay pocos cambios de período

a período).

• La disponibilidad y confiabilidad de un reporte de las fechas de compilación de los

♦ El original usa el término técnico ‘benchmarking’ que normalmente se traduce como comparación (N del t).

) Mayo 2007 – Pg. 60/105

SAMantilla






programas puestos en producción. (Esta información puede ser usada como evidencia de que los controles dentro del programa no han cambiado.)

B32. La comparación de los controles de aplicación automatizados puede ser especialmente

efectiva para las compañías que usan software comprado cuando la posibilidad de cambios del programa es remota – e.g., cuando el vendedor no permite acceso a o modificación del código fuente.

B33. Después de un período de tiempo, la duración del cual depende de las circunstancias, la línea de fondo de la operación de un control de aplicación automatizado debe ser re-establecida. Para determinar cuándo re-establecer una línea de fondo, el auditor debe evaluar los siguientes factores –

• La efectividad del ambiente de control de la tecnología de la información, incluyendo los controles sobre la aplicación y la adquisición y el mantenimiento del software del sistema, los controles de acceso y las operaciones de computación.

• El entendimiento que tiene el auditor respecto de la naturaleza de los cambios, si

los hay, en los programas específicos que contienen los controles.

• La naturaleza y oportunidad de las otras pruebas relacionadas.

• Las consecuencias de los errores asociados con el control de aplicación que fue comparado.

• Si el control es sensible a otros factores de negocio que puedan haber cambiado.

Por ejemplo, un control automatizado puede haber sido diseñado con el supuesto de que en un archivo solamente existirán cantidades positivas. Tal control ya no sería efectivo si en la cuenta se comienzan a colocar cantidades negativas (créditos).

♦ Emparejado o identificado (N del t).

) Mayo 2007 – Pg. 61/105

SAMantilla






APENDICE C – Situaciones especiales de presentación de reportes Modificaciones del reporte C1. El auditor debe modificar su reporte si cualquiera de las siguientes condiciones existe:

a. Los elementos del reporte anual sobre el control interno, presentado por la

administración, son incompletos o están presentados de manera inapropiada, b. Hay una restricción al alcance del contrato,

c. El auditor decide referirse al reporte de otros auditores como la base, en parte,

para su propio reporte de auditor,

d. Hay otra información contenida en el reporte anual, de la administración, relacionado con el control interno sobre la presentación de reportes financieros, o

e. La certificación anual de la administración, en conformidad con la Section 302

de la Sarbanes-Oxley Act, es una declaración equivocada.

C2. Los elementos del reporte anual sobre el control interno, presentado por la administración, son incompletos o están presentados de manera inapropiada. Si el auditor determina que los elementos del reporte anual sobre el control interno, presentado por la administración, son incompletos o están presentados de manera inapropiada, el auditor debe modificar su reporte para incluir un parágrafo explicativo que describa las razones para su determinación. Si el auditor determina que la revelación requerida sobre una debilidad material no está razonablemente presentada en todos los aspectos materiales, el auditor debe seguir la dirección contenida en el parágrafo 91.

C3. Limitaciones del alcance. El auditor puede expresar una opinión respecto del control interno sobre la presentación de reportes financieros de una compañía solamente si el auditor ha sido capaz de aplicar los procedimientos necesarios en las circunstancias. Si hay restricciones en el alcance del contrato, el auditor debe retirarse del contrato o negar una opinión. Una negación de opinión señala que el auditor no expresa una opinión respecto de la efectividad del control interno sobre la presentación de reportes financieros.

C4. Cuando niega una opinión a causa de una limitación en el alcance, el auditor debe señalar que el alcance de la auditoría no fue suficiente para garantizar la expresión de una opinión y, en un parágrafo separado o en varios parágrafos separados, las razones sustantivas para la negación. El auditor no debe identificar los procedimientos que fueron desempeñados ni debe incluir declaraciones que describan las características de una auditoría del control interno sobre la presentación de reportes financieros (par-agrafo 85 g,

) Mayo 2007 – Pg. 62/105

SAMantilla






h, e i); hacerlo puede eclipsar la negación.

C5. Cuando el auditor planea negar una opinión y los procedimientos limitados que fueron desempeñados por el auditor causaron que el auditor concluya que existe una debilidad material, el reporte del auditor también debe incluir –

• La definición de debilidad material, tal y como es provisto en el parágrafo A7. • Una descripción de cualesquiera debilidades materiales que se identificaron en el

control interno sobre la presentación de reportes financieros de la compañía. Esta descripción debe proveer a los usuarios del reporte de auditoría con información específica sobre la naturaleza de cualquier debilidad material y su efecto actual y potencial en la presentación de los estados financieros de la compañía que se emitieron durante la existencia de la debilidad. Esta descripción también debe direccionar los requerimientos contenidos en el parágrafo 91.

C6. El auditor puede emitir un reporte negando una opinión respecto del control interno sobre

la presentación de reportes financieros tan pronto como el auditor concluya que una limitación del alcance le impedirá al auditor obtener la seguridad razonable necesaria para expresar una opinión. Cuando el auditor concluye que no será capaz de obtener evidencia suficiente para expresar una opinión, no se requiere que el auditor desempeñe cualquier trabajo adicional antes de emitir una negación.

Nota: En este caso, siguiendo la dirección contenida en el parágrafo 89 relacionada con el fechar el reporte del auditor, la fecha del reporte es la fecha en la cual el auditor ha obtenido evidencia suficiente y competente para soportar las representaciones contenidas en el reporte del auditor.

C7. Si el auditor concluye que no puede expresar una opinión dado que ha habido una

limitación en el alcance de la auditoría, el auditor debe comunicar, por escrito, a la administración y al comité de auditoría, que la auditoría del control interno sobre la presentación de reportes financieros no se puede completar de manera satisfactoria.

C8. Opiniones basadas, en parte, en el reporte de otro auditor. Cuando otro auditor ha auditado los estados financieros y el control interno sobre la presentación de reportes financieros de una o más subsidiarias, divisiones, ramas, o componentes de la compañía, el auditor debe determinar si puede servir como auditor principal y usar el trabajo y los reportes del otro auditor como base, en parte, para su opinión. AU sec. 543, Part of Audit Performed by Other Independent Auditors [Parte de la auditoría desempeñada por otros auditores independientes], provee dirección respecto de la decisión del auditor de servir como el auditor principal de los auditores financieros. Si el auditor decide que es apropiado servir como el auditor principal de los estados financieros, entonces ese auditor también debe ser el principal auditor del control interno sobre la presentación de reportes financieros de la compañía. Esta relación se deriva del requerimiento de que una auditoría de los estados financieros tiene que ser desempeñada para auditar el control interno sobre la presentación de reportes financieros; solamente el auditor principal de los estados

) Mayo 2007 – Pg. 63/105

SAMantilla






financieros puede ser el auditor principal del control interno sobre la presentación de reportes financieros. En esta circunstancia, el auditor principal de los estados financieros tiene que participar suficientemente en la auditoría del control interno sobre la presentación de reportes financieros para proveer una base para servir como el auditor principal del control interno sobre la presentación de reportes financieros.

C9. Cuando sirve como el auditor principal del control interno sobre la presentación de reportes financieros, el auditor debe decidir si hacer referencia, en el reporte relacionado con el control interno sobre la presentación de reportes financieros, a la auditoría del control interno sobre la presentación de reportes financieros desempeñadas por el otro auditor. En esas circunstancias, la decisión del auditor se basa en factores análogos a aquellos del auditor que usa el trabajo y los reportes de otros auditores independientes cuando reporta sobre los estados financieros de una compañía tal y como se describe en AU sec. 543.

C10. La decisión de si hacer referencia a otro auditor en el reporte relacionado con la auditoría del control interno sobre la presentación de reportes financieros puede diferir de la decisión correspondiente que se relaciona con la auditoría de estados financieros. Por ejemplo, el reporte de auditoría de los estados financieros puede hacer referencia a la auditoría de una significante inversión de patrimonio desempeñada por otro auditor, pero el reporte relacionado con el control interno sobre la presentación de reportes financieros puede no hacer una referencia similar dado que la valoración que realiza la administración respecto del control interno sobre la presentación de reportes financieros ordinariamente no se extendería a los controles de la inversión por el método del patrimonio.1

C11. Cuando el auditor decide hacer referencia al reporte del otro auditor como una base, en parte, para su opinión relacionada con el control interno sobre la presentación de reportes financieros de la compañía, cuando describe el alcance de la auditoría y cuando expresa la opinión, el auditor debe hacer referencia al reporte del otro auditor.

C12. Reporte anual de la administración, relacionado con el control interno sobre la presentación de reportes financieros, que contiene información adicional. El reporte anual de la administración, relacionado con el control interno sobre la presentación de reportes financieros, puede contener información adicional a los elementos que se describen en el parágrafo 72 y que está sujeta a evaluación por parte del auditor.

C13. Si el reporte anual de la administración, relacionado con el control interno sobre la presentación de reportes financiero, razonablemente podría ser visto por los usuarios del reporte como que incluye tal información adicional, el auditor debe negar una opinión sobre la información.

C14. Si el auditor considera que la información adicional de la administración contiene de hecho una declaración equivocada material, debe discutir el asunto con la administración. Si, luego de discutir el asunto con la administración, el auditor concluye que permanece una

1 Ver parágrafo B15, para discusión adicional relacionada con la evaluación de los controles sobre la presentación de reportes financieros para una inversión según el método del patrimonio.

) Mayo 2007 – Pg. 64/105

SAMantilla






declaración equivocada material, el auditor debe notificar a la administración y al comité de auditoría, por escrito, los puntos de vista del auditor relacionados con la información. AU sec. 317, Illegal Acts by Clients [Actos ilegales cometidos por clientes] y la Section 10A de la Securities Exchange Act of 1934 también pueden requerir que el auditor tome acción adicional.2

Nota: Si la administración hace los tipos de revelaciones que se describen en el parágrafo C12 por fuera de su reporte anual relacionado con el control interno sobre la presentación de reportes financieros y los incluye dentro de su reporte anual relacionado con los estados financieros de la compañía, el auditor no necesitaría negar una opinión. Sin embargo, en esa situación, las responsabilidades del auditor son las mismas que se describen en este parágrafo si el auditor considera que la información adicional contiene de hecho una declaración equivocada material.

C15. La certificación anual elaborada por la administración en conformidad con la Sección 320

de la Sarbanes Oxley Act está declarada en forma equivocada. Si llama la atención del auditor como resultado de la auditoría del control interno sobre la presentación de reportes financieros y le conduce a considerar que las modificaciones a las revelaciones relacionadas con cambios en el control interno sobre la presentación de reportes financieros (direccionando los cambios en el control interno sobre la presentación de reportes financieros ocurridos durante el cuatro trimestre) son necesarias para que las certificaciones anuales sean exactas y cumplan con los requerimientos de la Sección 302 de la Ley y con la Securities Exchange Act Rule 13a-14(a) o 15(d)-14(a), cualquiera que aplique,3 el auditor debe seguir las responsabilidades de comunicación tal y como se describe en AU sec. 722 Interim Financial Information [Información financiera intermedia], para cualquier período intermedio. Sin embargo, si la administración y el comité de auditoría no responden de manera apropiada, además de las responsabilidades que se describen en AU sec. 722, el auditor debe modificar su reporte relacionado con la auditoría del control interno sobre la presentación de reportes financieros para incluir un parágrafo explicativo que describa las razones por las cuales se deben modificar las revelaciones de la administración.

Archivo bajo los estatutos federales de valores C16. AU sec. 711, Filings Under Federal Securities Statutes [Archivos bajo los estatutos

federales de valores], describe las responsabilidades del auditor cuando se incluye el reporte del auditor en declaraciones de registro, declaraciones de apoderado♦, o reportes periódicos archivados bajo los estatutos federales de valores. El auditor debe aplicar AU

2 Ver 15 U.S.C. § 78j-1. 3 Ver 17 C.F.R. §§ 240. 13a-14(a) y 240. 15d-14(a). ♦ En el original: ‘proxy statements’. Se trata de un término técnico ampliamente conocido. Puede traducirse como ‘declaracioes de poder’, ‘declaraciones por poder’, o ‘declaraciones de apoderado’ (N del t).

) Mayo 2007 – Pg. 65/105

SAMantilla






sec. 711 cuando el reporte del auditor relacionado con el control interno sobre la presentación de reportes financieros se incluye en tales registros. Además, el auditor debe extensión la dirección contenida en AU sec. 711.10 para indagar a y obtener representaciones de los oficiales y otros ejecutivos responsables por los asuntos de finanzas y contabilidad, respecto de si han ocurrido cualesquiera eventos que tengan un efecto material en los estados financieros del auditado, y por asuntos que podrían tener un efecto material en el control interno sobre la presentación de reportes financieros.

C17. Cuando el auditor ha cumplido plenamente con esas responsabilidades e intenta dar su consentimiento para la inclusión de su reporte, relacionado con el con el control interno sobre la presentación de reportes financieros, en los registros de valores, el consentimiento del auditor debe señalar claramente que tanto el reporte de auditoría relacionado con los estados financieros como el reporte de auditoría relacionado con el control interno sobre la presentación de reportes financieros (o ambas opiniones si se emite un reporte combinado) están incluidos en su consentimiento.

) Mayo 2007 – Pg. 66/105

SAMantilla


Rule 3525




Apéndice 2 Regla 3525: Pre-aprobación, por parte del comité de auditoría, de servicios de no-auditoría relacionados con el control interno sobre la presentación de reportes financieros. En vinculación con la búsqueda de la pre-aprobación, por parte del comité de auditoría, para desempeñar para la auditoría de un cliente cualquier servicio de no-auditoría que sea permisible y esté relacionado con el control interno sobre la presentación de reportes financieros, una firma registrada de contaduría pública tiene que:

(a) describir, por escrito, al comité de auditoría del emisor, el alcance del servicio; (b) discutir con el comité de auditoría del emisor los efectos potenciales del servicio en la

independencia de la firma; y

Nota: los requerimientos de independencia proveen que un auditor no es independiente de su cliente de auditoría si el auditor no es, o un inversionista razonable con conocimiento de todos los hechos y circunstancias relevantes concluiría que el auditor no es, capaz de ejercer juicio objetivo e imparcial en todos los asuntos que hacen parte del contrato del contador. Algunos principios guían la aplicación de este estándar general, incluyendo si el auditor asume un rol de administrador o audita su propio trabajo. Por consiguiente, un auditor no sería independiente si, por ejemplo, la administración le ha delegado al auditor responsabilidad por el control interno sobre la presentación de reportes financieros o si el auditor ha diseñado o implementado el control interno sobre la presentación de reportes financieros del cliente de auditoría.

(c) documentar la sustancia de su discusión con el comité de auditoría del emisor.

) Mayo 2007 – Pg. 67/105

SAMantilla


Ajustes por las enmiendas




Apéndice 3 – Ajustes por las enmiendas a los PCAOB Auditing Standards

MAYO 24, 2007 AUDITING AND RELATED PROFESSIONAL PRACTICE STANDARDS Ajustes por las enmiendas a los

PCAOB Auditing Standards

) Mayo 2007 – Pg. 68/105

SAMantilla






Apéndice 3 Ajustes por las enmiendas a los PCAOB Auditing Standards AU sec. 230, “Due Professional Care in the Performance ow Work” [Debido cuidado profesional en el desempeño del trabajo] Statement on Auditing Standards (“SAS”) No. 1, “Codification of Auditing Standards and Procedures,” section 230, “Due Professional Care in the Performance of Work” (AU sec. 230, “Due Professional Care in the Performance of Work”), tal y como fue enmendado, se enmienda como sigue –

a. El parágrafo .10 es sustituido por –

El ejercicio del debido cuidado profesional le permite al auditor obtener seguridad razonable respecto de si los estados financieros están libres de declaración equivocada material, ya sea causada por error o fraude, o si para la fecha de la evaluación que realiza la administración existe alguna debilidad material. La seguridad absoluta no se alcanza dadas la naturaleza de la evidencia de auditoría y las características del fraude. Si bien no es seguridad absoluta, la seguridad razonable es un nivel alto de aseguramiento. Por consiguiente, una auditoría dirigida de acuerdo con los estándares de la Public Company Accounting Oversight Board (United States) puede no detectar una debilidad material en el control interno sobre la presentaión de reportes financieros o una declaración equivocada material de los estados financieros.

b. El término “estados financieros” contenido en la primera frase del parágrafo .13 es

reemplazado por el término “estados financieros o control interno sobre la presentación de reportes financieros.”

c. La segunda frase del parágrafo .13 es reemplazada con –

Por consiguiente, el descubrimiento subsiguiente ya sea de que una declaración equivocada material, debida a error o fraude, existe en los estados financieros o que existe una debilidad material en el control interno sobre la presentación de reportes financieros, no es, por sí misma, evidencia de (a) falla para obtener seguridad razonable, (b) planeación, desempeño o juicio, inadecuados, (c) ausencia de debido cuidado profesional, o (d) falla en cumplir con los estándares de la Public Company Accounting Oversight Board (United States).

) Mayo 2007 – Pg. 69/105

SAMantilla






AU sec. 310, “Appointment of the Independent Auditor” [Nombramiento del auditor independiente] SAS No. 1, “Codification of Auditing Standards and Procedures,” section 310, “Appointment of the Independent Auditor” (AU sec. 310, “Appointment of the Independent Auditor”), tal y como fue enmendado, se enmienda como sigue –

a. La tercera viñeta del parágrafo .06 se reemplaza con –

La administración es responsable por establecer y mantener efectivo control interno sobre la presentación de reportes financieros. Si, en una auditoría integrada de los estados financieros y del control interno sobre la presentación de reportes financieros, el auditor concluye que no puede expresar una opinión respecto del control interno sobre la presentación de reportes financieros porque ha habido una limitación en el alcance de la auditoría, debe comunicar, por escrito, a la administración y al comité de auditoría, que la auditoría del control interno sobre la presentación de reportes financieros no se puede completar de manera satisfactoria.

b. La octava viñeta del parágrafo .06 se enmienda como sigue –

Bajo la auditoría integrada de estados financieros y del control interno sobre la presentación de reportes financieros, la última sub-viñeta es reemplazada con lo que sigue –

Para la junta de directores – cualquier conclusión de que es unefectiva la supervisión que el comité de auditoría hace de la presentación de reportes financieros externos y del control interno sobre la presentación de reportes financieros.

Bajo la auditoría de estados financieros, la última sub-vileta es reemplazada con los siguientes –

Para la junta de directores – si el auditor se vuelve consciente de que es inefectiva la supervisión que el comité de auditoría realiza respecto de la presentación de reportes financieros externos y el control interno sobre la presentación de reportes financieros de la compañía, esa conclusión.

AU sec. 311, “Planning and Supervision” [Planeación y supervisión] SAS No. 22, “Planning and Supervision” (AU sec. 311, “Planning and Supervision”), según la enmienda prevista, es enmendado como sigue –

En la nota al parágrafo 1, la referencia al parágrafo 39 del PCAUB Auditing Standard No. 2 es reemplazada con una referencia al parágrafo 9 del PCAOB Auditing Standard No. 5, An

) Mayo 2007 – Pg. 70/105

SAMantilla






Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 312, “Audit Risk and Materiality in Conducting an Audit” [Riesgo de auditoría y materialidad al dirigir una auditoría] SAS No. 47, “Audit Risk and Materiality in Conducting an Audit” (AU sec. 312. “Audit Risk and Materiality in Conducting an Audit”), según la enmienda prevista, es enmendado como sigue –

a. En la nota al parágrafo 3, la referencia a los parágrafos 22-23 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia al parágrafo 20 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

b. En la nota al parágrafo 7, la referencia a los parágrafos 24-26 del PCAOB Auditing

Standard No. 2 es reemplazada con una referencia a los parágrafod 14-15 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

c. La nota al parágrafo 12 es reemplazada con –

Nota: Cuando se desempeña una auditoría integrada de estados financieros y del control interno sobre la presentación de reportes financieros, refiérase a los parágrafos 9 y 20 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, en relación con las consideraciones de planeación y materialidad, respectivamente.

d. En la nota al parágrafo 18, la referencia al Apéndice B, Additional Performance

Requirements and Directions; Extent-of-Testing Examples [Requerimientos y direcciones adicionales de desempeño; ejemplos de extensión de las pruebas] del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos B10-B16 del Apéndice B, Asuntos especiales, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

e. En la nota al parágrafo 30, la referencia a los parágrafos 147-149 del PCAOB Auditing

Standard No. 2 es reemplazada con una referencia a los parágrafos 6-8 y a los parágrafos B1-B5 del Apéndice B, Asuntos especiales, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

) Mayo 2007 – Pg. 71/105

SAMantilla






AU sec. 313, “Substantive Tests Prior to the Balance-Sheet Date” [Pruebas sustantivas anteriores a la fecha del balance general] SAS No. 45, “Omnibus Statement on Auditing Standards – 1983” (AU sec. 313, “Substantive Tests Prior to the Balance-Sheet Date”), es enmendada como sigue –

En la nota al parágrafo 1, la referencia a los parágrafos 98-103 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos 52-53 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 315, “Communications Between Predecessor and Successor Auditors” [Comunicaciones con los auditores predecesor y sucesor] SAS No. 84, “Communications Between Predecessor and Successor Auditors” (AU sec. 315, “Communications Betweeen Predecessor and Successor Auditors”), según la enmienda prevista, es enmendado como sigue –

La última frase del parágrafo 16 es reemplazada con – Además, el auditor predecesor no es un especialista tal y como se define en AU sec. 336, Using the Work of a Specialist, ni el trabajo del auditor predecesor constituye el trabajo de otros tal y como se describe en AU sec. 322, The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements, o los parágrafos 16-19 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 316, “Consideration of Fraud in a Financial Statement Audit” [Consideración del fraude en una auditoría de estados financieros] SAS No. 99, “Consideration of Fraud in a Financial Statements Audit” (AU sec. 316, “Consideration of Fraud in a Financial Statements Audit”), es enmendado como sigue –

En la nota al parágrafo 1, la referencia a los parágrafos 24-26 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos 14-15 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

) Mayo 2007 – Pg. 72/105

SAMantilla






AU sec. 319, “Consideration of Internal Control in a Financial Statement Audit” [Consideración del control interno en una auditoría de estados financieros] SAS No. 55, “Consideration of Internal Control in a Financial Statement Audit” (AU sec. 319, “Consideration of Internal Control in a Financial Statement Audit”), según la enmienda prevista, es enmendado como sigue –

a. La nota al parágrafo 2 es reemplazada con –

Nota: Refiérase al parágrafo A9 del Apéndice A, Definiciones, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements para la definición de aserción relevante y a los parágrafos 28-33 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements para la discusión de la identificación de las aserciones relevantes.

b. En la nota al parágrafo 9, la referencia al Apéndice B, Requerimientos y direcciones

adicionales para el desempeño; Extensión de los ejemplos de pruebas, del PCAOB Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos B10-B16 del Apéndice B, Asuntos especiales, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

c. Se elimina la última frase del parágrafo 33.

d. Se elimina la nota al parágrafo 65.

e. Se elimina la nota al parágrafo 83.

f. En la nota al parágrafo 97, la referencia a los parágrafos 104-105 del PCAOB Auditing

Standard No. 2 es reemplazada con una referencia al parágrafo 54 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

g. Se elimina el apéndice al parágrafo 110

AU sec. 322, “The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements” [Consideración que hace el auditor respecto de la función de auditoría interna en una auditoría de estados financieros] SAS No. 65, “The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements” (AU sec. 322, “The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements”), es enmendado tal y como sigue –

a. En la nota al parágrafo 1, la referencia a los parágrafos 108-126 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos 16-19 del PCAOB

) Mayo 2007 – Pg. 73/105

SAMantilla






Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

b. Se elimina la nota al parágrafo 20

c. En la nota al parágrafo 22, la referencia al parágrafo 122 del PCAOB Auditing Standard No.

2 es reemplazada con una referencia a los parágrafos 18-19 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 342, “Service Organizations” [Organizaciones de servicio] SAS No. 70, “Service Organizations” (AU sec. 324, “Service Organizations”), tal y como fue enmendada, es enmendada como sigue –

En la nota al parágrafo 1, la referencia al Apéndice B, Requerimientos y direcciones adicionales de desempeño; Ejemplos de extensión de las pruebas, del PCAOB No. 2 es sustituido por una referencia a los parágrafos B17-B27 del Apéndice B, Asuntos especiales, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements. del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 325, “Communications About Control Deficiencies in an Audit of Financial Statements” 1 [Comunicaciones sobre deficiencias de control en una auditoría de estados financieros] AU sec. 325, “Communications About Control Deficiencies in an Audit of Financial Statements” es enmendada como sigue –

a. La primera viñeta antes del parágrafo 1 es enmendada como sigue –

La referencia a los parágrafos 207-214 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos 78-84 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

1 Cuando la Junta adopto el Auditing Standard No. 2, reemplazó al SAS NO. 60 en el contexto de una auditoría integrada de estados financieros y del control interno sobre la presentación de reportes financieros por los parágrafos 207-214 del Auditing Standard No. 2. Ver PCAOB Release No. 2004-008, Conforming Amendments to PCAOB Interim Standards Resulting From the Adoption of PCAOB Auditing Standard No.2, “An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements” (Sept. 15, 2004). Como resultado de reemplazar el Auditing Standard No. 2, los parágrafos 78-84 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, reemplaza ahora al SAS No. 60 en el contexto de una auditoría integrada.

) Mayo 2007 – Pg. 74/105

SAMantilla






b. La primera viñeta en el parágrafo 1 es reemplazada con –

Existe una deficiencia en el diseño cuando (a) falta un control necesario para satisfacer el objetivo de control o (b) un control existente no está apropiadamente diseñado de manera que, aún si el control opera tal y como está diseñado, no se satisfacería el objetivo de control.

c. El parágrafo 2 es sustituido por –

Una deficiencia significante es una deficiencia, o una combinación de deficiencias, en el control interno sobre la presentación de reportes financieros, que es menos severa que una debilidad material pero que es suficientemente importante para llamar la atención de quienes son responsables por la supervición de la presentación de reportes financieros de la compañía.

d. Se eliminan las notas al parágrafo 2. e. El parágrafo 3 es sustituido por –

Una debilidad material es una deficiencia, o una combinación de deficiencias, en el control interno sobre la presentación de reportes financieros, tal que hay una posibilidad razonable de que una declaración equivocada material de los estados financieros anuales o intermedios de la compañía no sería prevenida o detectada en una base oportuna.

Nota: Hay una posibilidad razonable de un evento cuando la probabilidad del evento es ya sea “razonablemente posible” o “probable,” tal y como esos términos se usan en el parágrafo 3 de Financial Accounting Standards Board Statement No. 5, Accounting for Contingencies. Nota: Al evaluar si existe una deficiencia y si las deficiencias, ya sean individualmente o en combinación con otras deficiencias, son debilidades materiales, el auditor debe seguir la dirección contenida en los parágrafos 62-70 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

f. El parágrafo 5 es sustituido por –

Si la supervisión del proceso de presentación de reportes financieros externos y del control interno sobre el proceso de presentación de reportes financieros de la compañía, realizada por el comité de auditoría de la compañía, es inefectiva, esa circunstancia será considerada como un indivador de que existe una debilidad material en el control interno sobre la presentación de reportes financieros. Si bien en una auditoría de solo los estados financieros no hay un requerimiento explícito de evaluar la efectividad de la supervisión que realiza el comité de auditoría, si el auditor es consciente de que la supervisión del proceso de presentación de reportes financieros externos y del control interno sobre el proceso de presentación de reportes financieros de la compañía, realizada por el comité de auditoría,

) Mayo 2007 – Pg. 75/105

SAMantilla






es inefectiva, el auditor tiene que comunicar esa información por escrito a la junta de directores.

g. La última frase del parágrafo 9 es reemplazada con –

En la sola auditoría de estados, la interpretación de auditoría 1 para la AU sec. 325, “Reporting on the Existence of Material Weaknesses” [Presentación de reportes sobre la existencia de debilidades materiales], continúa aplicando excepto que el término “condición reportable” significa “deficiencia significante” tal y como se define en el parágrafo 2 de este estándar.

AU sec. 9325, “Communication of Internal Control Related Matters Noted in an Audit: Auditing Interpretations of Section 325” [Comunicación de materias relacionadas con el control interno que se observan en una auditoría: interpretaciones de auditoría de la Sección 325] Au sec. 9325, “Communication of Internal Control Related Matters Noted in an Audit: Auditing Interpretations of Section 325” se enmienda como sigue –

La nota anterior al parágrafo 1 es reemplazada con – Nota: En la sola auditoría de estados financieros, la interpretación de auditoría de auditoría 1 a AU sec. 325, “Reporting on the Existence of Material Weaknesses,” continúa aplicando excepto que el término “condición reportable” significa “deficiencia significante” tal y como se define en el parágrafo 2 de este estándar. En el ejemplo de reporte del parágrafo 4 de la interpretación, la tercera frase es reemplazada con la definición de debilidad material contenida en el parágrafo A7 del Apéndice A, Definiciones, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 328, “Auditing Fair Value Measurements and Disclosures” [Auditoría de mediciones y revelaciones a valor razonable] SAS No. 101, “Auditing Fair Value Measurements and Disclosures” (AU sec. 328, “Auditing Fair Value Measurements and Disclosures”), es enmendado como sigue –

La primera frase del parágrafo 41 es reemplazada con – Los eventos y las transacciones que ocurren después de la fecha del balance general pero antes de la fecha del reporte del auditor (por ejemplo, una venta de una inversión, realizada brevemente después de la fecha del balance general), pueden proveer evidencia de auditoría en relación con las mediciones a valor razonable que realiza la administración para la fecha del balance general.7

) Mayo 2007 – Pg. 76/105

SAMantilla






7 La consideración que hace el auditor en relación con un evento o transacción subsiguiente, tal y como es contemplada en este parágrafo, es una prueba sustantiva y por lo tanto difiere de la revisión de los eventos subsiguientes que se desempeña en conformidad con la sección 560, Eventos subsiguientes.

AU sec. 332, “Auditing Derivative Instruments, Hedging Activities, and Investments in Securities” [Auditoría de instrumentos derivados, actividades de cobertura e inversiones en valores] SAS No. 92, “Auditing Derivative Instruments, Hedging Activities, and Investments in Securities” (AU sec 332, “Auditing Derivative Instruments, Hedging Activities, and Investments in Securities”), es enmendado como sigue –

La nota al parágrafo 11 es reemplazada con – Nota: Cuando se desempeña una auditoría integrada de los estados financieros y del control interno sobre la presentación de reportes financieros, el parágrafo 39 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, señala que “el auditor debe probar aquellos controles que sean importantes para la conclusión del auditor respecto de si los controles de la compañía direccionan de manera suficiente el riesgo valorado de declaración equivocada para cada aserción relevante.” Por consiguiente, en una auditoría integrada de los estados financieros y del control interno sobre la presentación de reportes financieros, si hay aserciones relevantes relacionadas con la inversión de la compañía en derivados y valores, el entendimiento que el auditor tiene de los controles debe incluir los controles sobre los derivados y sobre las transacciones de los valores desde su inicio hasta su inclusión en los estados financieros y debe comprender los controles puestos en operación por la entidad y por las organizaciones de servicios cuyos servicios hacen parte del sistema de información de la entidad.

AU sec. 333, “Management Representations” [Representaciones de la administración] SAS No. 83, “Management Representations” (AU sec. 333, “Management Representations”), según la enmienda prevista, es enmendado como sigue –

a. En la nota al parágrafo 5, la referencia a los parágrafos 142-144 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos 75-77 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

b. La segunda frase del parágrafo 9 es reemplazada con –

Dado que el auditor está interesado en los eventos que ocurren hasta la fecha de su reporte y que pueden requerir ajustes a o revelación en los estados financieros, las representaciones se deben hacer para la fecha del reporte del auditor.

) Mayo 2007 – Pg. 77/105

SAMantilla






AU sec. 9337, “Inquiry of a Client’s Lawyer Concerning Litigation, Claims, and Assessments: Auditing Interpretations of Section 337” [Indagación al abogado del cliente relacionada con litigios, reclamos y valoraciones: interpretaciones de auditoría de la Sección 337] AU sec. 9337, “Inquiry of a Client’s Lawyer Concerning Litigation, Claims, and Assessments: Auditing Interpretations of Section 337” es enmendada como sigue –

a. La última frase del parágrafo 4 es reemplazada con –

¿Cuál es la relación entre la fecha efectiva de la respuesta del abogado y la fecha del reporte del auditor?

b. El parágrafo 5 es sustituido por –

Interpretación – La Sección 560.10 a .12 señala que el auditor está tratando eventos, que pueden requerir auste a, o revelación en, los estados financieros, ocurridos para la fecha de su reporte. Por consiguiente, la última fecha del período cubierto por la respuesta del abogado (“la fecha efectiva”) debe ser tan cercana a la fecha del reporte del auditor cuanto sea posible en las circunstancias. En consecuencia, especificar la fecha efectiva de la respuesta del abogado para un aproximado razonable de la fecha esperada del reporte del auditor obviará en la mayoría de los casos la necesidad de una respuesta actualizada por parte del abogado.

AU sec. 341, “The Auditor’s Consideration of an Entity’s Ability to Continue as a Going Concern” [Consideración que hace el auditor en relación con la capacidad de una entidad para continuar como empresa en marcha] SAS No. 59, “The Auditor’s Consideration of an Entity’s Ability to Continue as a Going Concern” (AU sec. 341, “The Auditor’s Consideration of an Entity’s Ability to Continue as a Going Concern”), según la enmienda prevista, es enmendado como sigue –

La segunda frase del parágrafo 2 es reemplazada con – La evaluación que realiza el auditor se basa en su conocimiento de las condiciones y eventos relevantes que existían o habian ocurrido antes de la fecha del reporte del auditor.

AU sec. 342, “Auditing Accounting Estimates” [Auditoría de estimados de contabilidad] SAS No. 57, “Auditing Accounting Estimates” (AU sec. 342, “Auditing Accounting Estimates”), es enmendado como sigue –

a. El sub-parágrafo c. del parágrafo 10 es sustituido por –

) Mayo 2007 – Pg. 78/105

SAMantilla






c. Revisión de eventos o transacciones subsiguientes que ocurrieron antes de la fecha del reporte del auditor.

b. El parágrafo 13 es sustituido por –

Revisión de eventos o transacciones subsiguientes. Algunas veces ocurren eventos o transacciones subsiguientemente a la fecha del balance general, pero antes de la fecha del reporte del auditor, que son importantes en la identificación y evaluación de la razonabilidad de los estimados de contabilidad o de los factores o supuestos clave que se usan en la preparación del estimado. En tales circunstancias, una evaluación del estimado o de un factor o supuesto clave puede ser minimizada o ser innecesaria en la medida en que el evento o la transacción pueda ser usado por el auditor en la evaluación de su razonabilidad.

AU sec. 380, “Communication With Audit Committees” [Comunicación con los comités de auditoría] SAS No. 61, “Communication With Audit Committees” (AU sec. 380, “Communication With Audit Committees”), según la enmienda prevista, es enmendado como sigue –

En la nota de pie de página al parágrafo 1, la referencia al PCAOB Auditing Standard No. 2 es reemplazada con una referencial al PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 508, “Reports on Audited Financial Statements” [Reportes sobre estados financieros auditados] SAS No. 58, “Reports on Audited Financial Statements” (AU sec. 508, “Reports on Audited Financial Statements”), según la enmienda prevista, es enmendado como sigue –

En la nota al parágrafo 1, la referencia a los parágrafos 161-199 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos 85-98 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements y al Apéndice C, Situaciones especiales de presentación de reportes, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements. La frase que dice “Además, ver Apéndice A, Reportes ilustrativos relacionados con el control interno sobre la presentación de reportes financieros, del PCAOB Auditing Stantard No. 2, que incluye un reporte de auditoría combinado ilustrativo y ejemplos de reportes separados,” es sustituido por, “Además, ver los parágrafos 86-88 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements que incluye un reporte de auditoría combinado ilustrativo.”

) Mayo 2007 – Pg. 79/105

SAMantilla






AU sec. 530, “Dating of the Independent Auditor’s Report” [El fechar del reporte del auditor independiente] SAS No. 1, “Codification of Auditing Standards and Procedures,” section 530, “Dating of the Independent Auditor’s Report” (AU sec. 530, “Dating of the Independent Auditor’s Report”), según la enmienda prevista, es enmendado como sigue –

a. El parágrafo .01 es sustituido por –

El auditor debe fechar el reporte de auditoría no antes de la fecha en la cual el auditor ha obtenido evidencia suficiente y compentente para soportar la opinión del auditor. El parágrafo .05 describe el procedimiento a seguir cuando se revela en los estados financieros un evento subsiguiente ocurrido después de la fecha del reporte.

Nota: Cuando se desempeña una auditoría integrada de los estados financieros y del control interno sobre la presentación de reportes financieros, los reportes del auditor relacionados con los estados financieros y con el control interno sobre la presentación de reportes financieros de la compañía se deben fechar a la misma fecha. Nota: Si el auditor concluye que una limitación del alcance prevendrá al auditor de obtener la seguridad razonable necesaria para expresar una opinión sobre los estados financieros, entonces la fecha del reporte del auditor es la fecha en la cual el auditor ha obtenido evidencia suficiente y compentente para soportar las representaciones contenidas en el reporte del auditor.

b. El parágrafo .05 es sustituido por –

El auditor independiente tiene dos métodos para fechar el reporte cuando un evento subsiguiente revelado en los estados financieros ocurre después que el auditor ha obtenido evidencia suficiente y competente en la cual basar su opinión, pero antes de la emisión de los estados financieros relacionados. El auditor puede usar “fijación dual de las fechas,” por ejemplo, “Febrero 16, 20__, excepto para la Nota ___, para la cual la fecha es Marzo 1, 20__,” o puede fechar el reporte con la última fecha. En el primer caso, la responsabilidad por los eventos que ocurren subsiguiente a la fecha original del reporte está limitada a los eventos específicos a los que se hace referencia en la nota (o que se revelan de otra manera). En el último caso, la responsabilidad del auditor por los eventos subsiguientes se extiende a la fecha posterior del reporte y, de acuerdo con ello, los procedimientos que se señalan en la sección 560.12 generalmente se deben extender a esa fecha.

c. En el encabezado anterior al parágrafo .03, la referencia a “terminación del trabajo de

campo” es reeplazada por “la fecha del reporte del auditor independiente.”

) Mayo 2007 – Pg. 80/105

SAMantilla






AU sec. 543, “Part of Audit Performed by Other Independent Auditors” [Parte de la auditoría desempeñada por otros auditores independientes] SAS No. 1, “Codification of Auditing Standards and Procedures,” section 543, “Part of Audit Performed by Other Independent Auditors” (AU sec. 543, “Part of Audit Performed by Other Independent Auditors”), según la enmienda prevista, es enmendado como sigue –

En la nota al parágrafo .01, la referencia a los parágrafos 182-185 del PCAOB Auditing Standard No. 2 es reemplazada con una referencia a los parágrafos C8-C11 de Apéndice C, Situaciones especiales de presentación de reportes, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

AU sec. 560, “Subsequent Events” [Eventos subsiguientes] SAS No. 1, “Codification of Auditing Standards and Procedures,” section 560, “Subsequent Events” (AU sec. 560, “Subsequent Events”), según la enmienda prevista, es enmendado como sigue –

a. En la nota al parágrafo .01, la referencia a los parágrafos 186-189 del PCAOB Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos 93-97 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

b. La segunda frase del parágrafo .12 es reemplazada por –

Esos procedimientos deben ser desempeñados cerca de la fecha del reporte del auditor.

AU sec. 561, “Subsequent Discovery of Facts Existing at the Date of the Auditor’s Report” [Descubrimiento subsiguiente de hechos que existían a la fecha del reporte del auditor] SAS No. 1, “Codification of Auditing Standards and Procedures,” section 561, “Subsequent Discovery of Facts Existing at the Date of the Auditor’s Report” (AU sec. 561, “Subsequent Discovery of Facts Existing at the Date of the Auditor’s Report” ), según la enmienda prevista, es enmendado como sigue –

En la nota al parágrafo .01, la referencia al parágrafo 197 del PCAOB Auditing Standard No. 2 es reemplazada por una referencia al parágrafo 98 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

) Mayo 2007 – Pg. 81/105

SAMantilla






AU sec. 711, “Filings Under Federal Securities Statutes” [Archivos bajo los estatutos federales de valores] SAS No. 37, “Filings Under Federal Securities Statutes” (AU sec. 711, “Filings Under Federal Securities Statutes”), según la enmienda prevista, es enmendado como sigue –

a. En la nota al parágrafo 2, la referencia a los parágrafos 198-199 del PCAOB Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos C16-C17 del Apéndice C, Situaciones especiales de presentación de reportes, del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

b. La tercera frase del parágrafo 10 es reemplazada por –

La probabilidad de que el auditor descubrirá los eventos subsiguientes necesariamente disminuye luego de la fecha del reporte del auditor, y, como asunto práctico, después de ese tiempo el auditor independiente puede confiar, en la mayor parte, en indagaciones de los oficiales y empleados responsables.

AU sec 722, “Interim Financial Information” [Información financiera intermedia] SAS No. 100, “Interim Financial Information” (AU sec. 722, “Interim Financial Information”), es enmendado como sigue –

a. Lo que sigue se inserta luego de la primera frase del parágrafo 3 –

La SEC también requiere que la administración, con la participación del ejecutivo principal y de los oficiales principales (los oficiales que certifican) hagan ciertas certificaciones trimestrales y anuales con relación al control interno sobre la presentación de reportes financieros de la compañía.2

2 Ver Sección 302 de la Sarbanes-Oxley Act of 2002, y Securities Exchange Act Rule 13a-14(a) o 15d-14(a), (17 C.F.R. § 240.13a-14a o 17 C.F.R. § 240.15d-14a), cualquiera que aplique.

b. Se elimina la nota al parágrafo 3. c. Se adiciona lo siguiente al final del parágrafo 7 –

De la misma manera, la responsabilidad del auditor en cuanto se relaciona con las certificaciones trimestrales de la administración respecto del control interno sobre la presentación de reportes financieros es diferente de la responsabilidad del auditor en cuanto se relaciona con la valoración anual que la administración hace del control interno sobre la presentación de reportes financieros. Trimestralmente, el auditor debe desempeñar procedimientos limitados para proveer una base para determinar si es consciente de cualesquiera modificaciones materiales que, a juicio del auditor, se deben

) Mayo 2007 – Pg. 82/105

SAMantilla






hacer a las revelaciones sobre los cambios en el control interno sobre la presentación de reportes financieros para que las certificaciones sean exactas y cumplan con los requerimientos de la Sección 302 de la Ley.

Nota: Las responsabilidades del auditor por la evaluación de las revelaciones de las certificaciones de la administración respecto del control interno sobre la presentación de reportes financieros tienen efecto comenzando el primer trimestre después de la primera valoración anual que la compañía hace del control interno sobre la presentación de reportes financieros tal y como se describe en el Item 308(a)(3) de Regulations S-B y S-K.

d. La siguiente sección señalada con letras se añade al final del parágrafo 18 –

g. Mediante el desempeño de los siguientes procedimientos, evaluar las certificaciones trimestrales que la administración hace respecto del control interno sobre la presentación de reportes financieros – • Indagar a la administración sobre cambios significantes en el diseño u

operación del control interno sobre la presentación de reportes financieros en cuanto ello se relaciona con la preparación de información financiera anual e interina que podría haber ocurrido subsiguiente a la auditoría anual precedente o a la revisión anterior de la informaicón financiera intermedia;

• Evaluar las implicaciones de las declaraciones equivocadas identificadas por el

auditor como parte de los procedimientos de revisión intermedia que realiza el auditor en cuanto se relacionan con el efectivo control interno sobre la presentación de reportes financieros; y

• Determinar, mediante una combinación de observación e indagación, si

cualquier cambio en el control interno sobre la presentación de reportes financieros ha afectado materialmente, o es razonablemente probable que afecte materialmente, al control interno sobre la presentación de reportes financieros de la compañía.

e. El parágrafo 29 es reemplazado por –

Como resultado de realizar una revisión de la información financiera intermedia, el contador puede ser consciente de materias que causan que considere que –

a. se debe hacer modificación material a la información financiera intermedia para conformarla con los principios de contabilidad generalmente aceptados;

b. es necesaria la modificación de las revelaciones relacionadas con los cambios en el control interno sobre la presentación de reportes financieros para que las certificaciones sean exactas y cumplan con los requerimientos de Sección 302 de la Ley y Securities Exchange Act Rule 13a-14(a) o 15(d)-14(a), cualquier que

) Mayo 2007 – Pg. 83/105

SAMantilla






aplique; y

c. la entidad archivó la Forma 10-Q o la Forma 10-QBS antes de la terminación de la revisión.

En tales circunstancias, el contador debe comunicar el(os) asunto(s) al nivel apropiado de administración tan pronto como sea practicable.

f. El parágrafo 32 se reemplaza por –

Si el auditor es consciente de información que señale que ha ocurrido fraude o actos ilegales, el auditor también tiene que determinar sus responsabilidades bajo AU sec. 316, Consideration of Fraud in a Financial Statement Audit, AU sec. 317, Illegal Acts by Clients, y Section 10A de la Securities Exchange Act of 1934.1

1 Ver 15 U.S.C §78j-1. g. En el parágrafo 33, la tercera frase se reemplaza por –

Una deficiencia significante es una deficiencia, o una combinación de deficiencias, en el control interno sobre la presentación de reportes financieros, que es menos severa que una debilidad material pero suficientemente importante para llamar la atención de quienes son responsables por la supervisión de la presentación de reportes financieros de la compañía.

Auditing Standard No. 3, Audit Documentation [Documentación de la auditoría] El Auditing Standard No. 3, Audit Documentation se enmienda como sigue –

En la nota de pie de página al parágrafo 6, la referencia a los parágrafos 68-70 del Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos 28-33 del PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

Auditing Standard No. 4, Reporting on Whether a Previously Reported Material Weakness Continues to Exist [Presentación de reporte si continúa existiendo una debilidad material previamente reportada] El Auditing Standard No. 4, Reporting on Whether a Previously Reported Material Weakness Continues to Exist se enmienda como sigue –

a. En la nota 1 al parágrafo 1, la referencia al Auditing Standard No. 2 es reemplazada por una referencia al Auditing Standard No. 5, An Audit of

) Mayo 2007 – Pg. 84/105

SAMantilla






Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

b. En el parágrafo 2, las dos referencias al Auditing Standard No. 2 se

reemplazan por referencias al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

c. En la nota al parágrafo 2, la referencia al Auditing Standard No. 2 se

reemplaza por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

d. En el parágrafo 4, la referencia al Auditing Standard No. 2 se reemplaza por

una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

e. El parágrafo 9 es reemplazado por –

Los términos control interno sobre la presentación de reportes financieros, deficiencia, deficiencia significante, y debilidad material tienen los mismos significados que las definiciones de esos términos contenidas en el Apéndice A, Definiciones, del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

f. La primera frase del parágrafo 10 es reemplazada por –

El parágrafo 5 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, señala “el auditor debe usar la misma estructura conceptual de control, confiable y reconocida, para desempeñar su auditoría del control interno sobre la presentación de reportes financieros, que la administración use para su evaluación anual de la efectividad del control interno sobre la presentación de reportes financieros de la compañía.”

g. En la nota al parágrafo 10, la referencia al Auditing Standard No. 2 en la

primera frase es reemplazada por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, y la última frase se enmienda como sigue –

Más información sobre la estructura conceptual de COSO se incluye en el reporte COSO.

h. El parágrafo 11 es reemplazado por –

) Mayo 2007 – Pg. 85/105

SAMantilla






Los términos aserción relevante y objetivo de control tienen el mismo significado que las definiciones de esos términos contenidas en el Apéndice A, Definiciones, del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

i. El parágrafo 13 es reemplazado por –

En una auditoría del control interno sobre la presentación de reportes financieros, el auditor debe probar la efectividad del diseño de los controles mediante la determinación de si los controles de la compañía, si están operando tal y como fue prescrito por personas que poseen la autoridad y la competencia necesarias para desempeñar el control de manera efectiva, satisfacen los objetivos de control de la compañía y pueden efectivamente prevenir o detectar errores o fraude que podrían derivar en declaraciones equivocadas materiales en los estados financieros.2

2 Ver el parágrafo 42 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

j. En la nota al parágrafo 17, la referencia al Auditing Standard No. 2 es

reemplazada por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

k. En la nota 2 al parágrafo 18, la referencia al Auditing Standard No. 2 es

reemplazada por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

l. En el parágrafo 21, se elimina la última frase-

m. En el parágrafo 23, la referencia a los parágrafos 22 y 23 del Auditing

Standard No. 2 es reemplazada por una referencia al parágrafo 20 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements. Adicionalmente, se elimina la segunda frase.

n. En el parágrafo 24, la referencia al parágrafo 39 del Auditing Standard No. 2

es reemplazada por una referencia al parágrafo 9 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

o. En el parágrafo 25, la referencia al Auditing Standard No. 2 es reemplazada

por una referencia al Auditing Standard No. 5, An Audit of Internal Control

) Mayo 2007 – Pg. 86/105

SAMantilla






Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

p. En la nota al parágrafo 25, las dos referencias al Auditing Standard No. 2 son

reemplazadas por referencias al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

q. En el sub-parágrafo a. del parágrafo 26, la referencia a los parágrafos 47 a

51 del Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos 22-27 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

r. El sub-parágrafo b. del parágrafo 26 es reemplazado por –

Desempeñar los procedimientos que se describen en los parágrafos 34-38 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, para esas transacciones que están directamente afectadas por los controles específicamente identificados por la administración como que direcionan las debilidades materiales.

s. La nota al sub-parágrafo b. del parágrafo 26 se elimina. t. En el parágrafo 27, la referencia al Auditing Standard No. 2 es reemplazada

por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

u. Se elimina la nota al parágrafo 28.

v. En el parágrafo 31, la referencia a los parágrafos 88 a 91 del Auditing

Standard No. 2 es reemplazada por una referencia a los parágrafos 42-43 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

w. El parágrafo 32 es reemplazado por –

Consistente con la dirección contenida en los parágrafos 44-45 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, el auditor debe probar la efectividad de la operación de un control especificado haciéndolo mediante la determinación de si el control especificado opera tal y como fue diseñado y si la persona que desempeña el control posee la autoridad y las calificaciones necesarias para desempeñar el control de manera efectiva. Al

) Mayo 2007 – Pg. 87/105

SAMantilla






determinar la naturaleza, oportunidad, y extensión de las pruebas de los controles, el auditor debe aplicar los parágrafos 50-54 del Auditing Standard No. 5.

x. El parágrafo 33 es reemplazado por –

El auditor debe desempeñar pruebas de los controles especificados, haciéndolo durante un período de tiempo que sea adecuado para determinar si, para la fecha que se especifica en la aserción de la administración, los controles necesarios para lograr el objetivo de control establecido están operando de manera efectivo. La oportunidad de las pruebas que realiza el auditor deben variar con el riesgo asociado con el control que se está probando. Por ejemplo, una conciliación diaria, basada-en-transacciones, generalmente permitiría que el auditor obtenga evidencia suficiente respecto de la efectividad de su operación en un período de tiempo más corto que un control penetrante, a nivel-de-entidad, tal como aquellos que se describen en los parágrafos 22-24 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements. Adicionalmente, el auditor típicamente será capaz de obtener evidencia suficiente respecto de la efectividad de la operación de los controles sobre el proceso de presentación de reportes financieros de final del período de la compañía solamente mediante la prueba de esos controles en vinculación con el final del período.

y. En el parágrafo 35, la referencia a los parágrafos B1 a B13 del Apéndice B

del Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos B10-B16 del Apéndice B, Asuntos especiales, del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

z. En el parágrafo 36, la referencia a los parágrafos 109 a 115 y 117 a 125 del

Auditing Standard No. 2 es reemplazada por una referencia a los parágrafos 16-19 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

aa. La segunda frase del parágrafo 37 se reemplaza por –

Por consiguiente, si el auditor ha sido contratado para reportar sobre más de una debilidad material o sobre más de un objetivo de control establecido, el auditor tiene que evaluar si ha obtenido suficiente evidencia de que se lograron los objetivos de control relacionados con cada una de las debilidades materiales identificadas en la aserción de la administración.

bb. Las dos primeras frases del parágrafo 38 se reemplazan por –

) Mayo 2007 – Pg. 88/105

SAMantilla






Los parágrafos 18-19 del Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, se deben aplicar en el contexto del contrato para reportar respecto de si continúa existiendo una debilidad material previamente reportada.

cc. Se elimina la nota al parágrafo 38. dd. Se elimina la nota al parágrafo 39.

ee. El parágrafo 42 es reemplazado por –

La administración puede concluir que una debilidad material previamente reportada ya no existe porque su severidad ha sido suficientemente reducida de manera tal que ya no es una debilidad material.

ff. El sub-parágrafo f. del parágrafo 44 es reemplazado por –

Describir cualquier fraude que derive en una declaración equivocada material de los estados financieros de la compañía, así como de cualquier otro fraude que no resulte en una declaración equivocada en los estados financieros de la compañía pero que involucra a la administración principal o a la administración o a otros empleados que tienen un rol significante en el control interno sobre la presentación de reportes financieros de la compañía y que ha ocurrido o que llama la atención de la administración desde la fecha de la valoración anual más reciente que realizó la administración respecto del control interno sobre la presentación de reportes financieros.

gg. En la nota al sub-parágrafo b. del parágrafo 51, la referencia al Auditing

Standard No. 2 es reemplazada por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

hh. En la nota al sub-parágrafo I. del parágrafo 51, la referencia al Auditing

Standard No. 2 es reemplazada por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

ii. En la nota a la segunda viñeta del sub-parágrafo o. del parágrafo 52, la

referencia al Auditing Standard No. 2 es reemplazada por una referencia al Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

jj. En el parágrafo 52, la referencia al Auditing Standard No. 2 es reemplazada

por una referencia al Auditing Standard No. 5, An Audit of Internal Control

) Mayo 2007 – Pg. 89/105

SAMantilla






Over Financial Reporting That Is Integrated with An Audit of Financial Statements.

kk. En el parágrafo 63, la referencia a los parágrafos 202 a 206 del Auditing

Standard No. 2 es reemplazada por una referencia a los parágrafos 7 y 29-32 de AU sec. 722, Interim Financial Information.

ll. En el parágrafo 64, la referencia a los parágrafos 202 a 206 del Auditing

Standard No. 2 es reemplazada por una referencia a los parágrafos 7 y 29-32 de AU sec. 722, Interim Financial Information.

) Mayo 2007 – Pg. 90/105

SAMantilla


Discusión adicional de los comentarios




Apéndice 4 Discusión adicional de los comentarios y de la respuesta de la junta Tal y como se discute en la primera parte de la publicación de la Junta, en Diciembre 19, 2006, la Junta propuso para comentarios un nuevo estándar de auditoría del control interno, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements [Auditoría del control interno sobre el proceso de presentación de reportes financieros integrada con la auditoría de estados financieros], que reemplazaría al Auditing Standard No. 2, a un estándar de auditoría relacionado, Considering and Using the Work of Others in an Audit [Consideración y uso del trabajo de otros en una auditoría], una regla de independencia relacionada con la provisión, por parte del auditor, de servicios de no-auditoría relacionados con el control interno, y ciertas enmiendas a sus estándares de auditoría. La Junta recibió 175 cartas comentario sobre sus propuestas, así como retroalimentación del Standing Advisory Group de la Junta. Los cambios notables que la Junta hizo al finalizar sus propuestas en respuesta a los comentarios se describen en la primera parte de la publicación que hizo la Junta. Este apéndice contiene una discusión adicional de los comentarios que se recibieron sobre las propuestas, así como la respuesta de la Junta. 1. Alineación del estándar de auditoría del control interno de la Junta con la orientación

que para la administración hizo la SEC Muchos comentaristas sugirieron que la orientación que para la administración hizo la SEC y el estándar de auditoría de la Junta deben estar más estrechamente alineados. Sin embargo, los comentaristas parecían tener diferentes opiniones sobre lo que en este contexto significa alineación. Algunos comentaristas sugirieron que el asunto más importante era la necesidad de usar en ambos documentos las mismas definiciones de los términos importantes. Algunos se centraron en las diferencias que percibían en los requerimientos de alcance, pruebas, y documentación, mientras que otros sugirieron que el tono de los dos documentos era diferente y que las propuestas de la Junta eran más prescriptivas. Unos pocos comentaristas sugirieron que el estándar de auditoría interna sólo debía referirse a la orientación que para la administración hizo la SEC, sin proveer dirección adicional para el auditor. Tal y como se discute más plenamente en la primera parte de esta publicación, al formular un nuevo estándar de auditoría del control interno, la Junta tuvo la intención de describir un proceso de auditoría que estaría coordinado con el proceso de evaluación que realiza la administración. Luego de considerar los comentarios en esta área, la Junta hizo algunos cambios, que se describen en la primera parte de esta publicación, que mejoran la coordinación si bien reconocen

) Mayo 2007 – Pg. 91/105

SAMantilla






las diferencias inherentes entre los roles de la administración y del auditor independiente bajo la Sección 404. La Junta también adoptó, según lo propuesto, el estándar final sin un requerimiento para que el auditor desempeñe una evaluación del proceso de valoración que realiza la administración. Los comentaristas generalmente apoyaron este aspecto de la propuesta, que tenía la intención de responder a las preocupaciones de que los requerimientos contenidos en el Auditing Standard No. 2 de facto se habían vuelto en orientación para el proceso que realiza la administración. La ausencia de este requerimiento en el estándar final también debe permitir la coordinación mejorada entre la administración y el auditor. 2. Nivel de detalle prescriptivo Algunos comentaristas sugirieron que habían permanecido demasiados casos del uso de los términos “should” [debe] y “must” [tiene]♦ en el estándar propuesto y que esto puede dar origen a documentación excesiva y posiblemente a trabajo innecesario. La Regla 3101 de la Junta describe el nivel de responsabilidad que esos imperativos imponen sobre los auditores cuando se usan en los estándares de la PCAOB, y la Junta usa esos términos en sus estándares para transmitir claramente sus expectativas. En respuesta a esos comentarios, la Junta analizó cada requerimiento contenido en el estándar propuesto a fin de determinar si podría confiarse más en los principios generales y no tanto en los requerimientos detallados. Donde fue apropiado, la Junta hizo modificaciones para hacer al estándar final más basado-en-principios. Tal y como se discute más plenamente en la primera parte de esta publicación, las áreas en las cuales se hicieron cambios incluyen el centro de atención en satisfacer plenamente los objetivos de un recorrido y en la descripción del enfoque de arriba-hacia-abajo. Algunos de esos cambios también contribuyeron a coordinar de mejor manera con la orientación que para la administración preparó la SEC. Además, algunos comentaristas expresaron preocupación respecto de la creación de responsabilidades presumiblemente obligatorias relacionadas con los conceptos de eficiencia. El ejemplo que se cita más a menudo fue la nota al parágrafo 3 del estándar propuesto sobre auditoría del control interno, que señala –

Nota: El auditor debe seleccionar para prueba solamente aquellos controles que sean importantes para la conclusión del auditor respecto de si los controles de la compañía direccionan de manera suficiente el riesgo valorado de declaración equivocada para una aserción relevante dada que podría derivar en una declaración equivocada material para los estados financieros de la compañía.

Los comentaristas sugirieron que a causa de este requerimiento de que el auditor seleccione “solamente aquellos controles que sean importantes” para prueba, un auditor habría violado los estándares de la Junta si probó un control que más tarde mostró no era importante. Los

♦ Algunos prefieren una traducción más ‘suave’ y usan las expresiones ‘si’ y ‘debe’. Ello es cierto en lenguaje común, pero no significa lo mismo en lenguaje legal (donde se eliminan alternativas) y menos en inglés plano (que es el que pretenden usar estos estándares (el ‘imperativo’ al que se refiere el párrafo que sigue a esta nota). En esta traducción se usan las expresiones ‘debe’ y ‘tiene’, respectivamente (N del t)

) Mayo 2007 – Pg. 92/105

SAMantilla






comentaristas consideraron que esto menoscabaría la efectividad de la auditoría y recomendaron eliminar tales declaraciones. Uno de los objetivos del estándar revisado es fomentar que los auditores se centren en aquellas áreas que presentan el mayor riesgo de permitir una declaración equivocada material contenida en los estados financieros. Sin embargo, la Junta estuvo de acuerdo en que este estándar no debe definir una cantidad techo o máxima de trabajo que el auditor no puede exceder. Si bien esta declaración (y otras similares) contenida en el estándar propuesto no tenía la intención de implicar que la Junta sugeriría, con retrospección, que un auditor violaba el estándar mediante la pruea de un control que más tarde se determinó que no era importante para la auditoría, la Junta removió la nota al parágrafo 3 en respuesta a esos comentarios. También se eliminaron o modificaron las declaraciones similares contenidas a través del estándar. 3. Recorridos El estándar propuesto requiere que el auditor desempeñe cada año un recorrido de cada proceso significante y le permite al auditor usar a otros, tal como personal de la administración y auditores internos, para que le ayuden directamente en este trabajo. El estándar propuesto también señala que el recorrido provee evidencia pero no prescribió requerimientos adicionales relacionados con las circunstancias en las cuales un recorrido puede proveer al auditor con evidencia suficiente de la efectividad de la operación para un control particular. La publicación propuesta, sin embargó, observó que un recorrido podría ser suficiente en los años subsiguientes para algunos controles de bajo riesgo. Tal y como se discute en la primera parte de esta publicación, la Junta recibió una cantidad significante de comentarios sobre este asunto. Mientras que algunos comentaristas expresaron apoyo por la importancia que el recorrido tiene para la calidad de la auditoría, muchos comentaristas sugirieron que las provisiones propuestas en esta área eran más prescriptivas que necesarias, y sugirieron los conceptos de riesgo como una manera de agregar flexibilidad. Si bien esos comentaristas reconocieron el valor de un recorrido y su importancia para la evaluación de la efectividad del diseño, muchos señalaron que el requerimiento de desempeñar un recorrido es un área que sea de bajo riesgo, no-compleja, o no-modificada, parece inconsistente con las otras áreas del estándar propuesto que confían en mucha mayor extensión en el juicio del auditor. Uso de otros para lograr los objetivos de un recorrido Los comentaristas apoyaron permitir que el auditor use a otros para proveer al auditor con asistencia directa, particularmente en áreas de riesgo bajo, con solo unos pocos comentaristas considerando que este cambio comprometería la calidad de la auditoría. Además, muchos comentaristas consideraron que en el desempeño de recorridos el estándar debe permitir el uso pleno del trabajo de otros, si bien algunos comentaristas fuertemente estuvieron en desacuerdo con este punto.

) Mayo 2007 – Pg. 93/105

SAMantilla






Tal y como se discute en la primera parte de esta publicación, el estándar final focaliza al auditor en el logro de cuatro objetivos relacionados con la identificación de dónde podrían surgir procesos de declaraciones equivocadas dentro de la compañía, más que específicamente en el desempeño de recorridos. Dada la importancia que lograr esos objetivos tiene para la conclusión del auditor sobre el control interno, la Junta considera que permitir el uso del trabajo de otros en una mayor extensión que la que fue propuesta no proveería al auditor con un entendimiento adecuado de los objetivos de un recorrido, sino solamente una asistencia directa. Esto es, se requerirá que el auditor supervise, revise, evalúe y pruebe el trabajo desempeñado por otros.1 Uso de recorridos para probar la efectividad de la operación En relación con el tema del uso de recorridos para probar la efectividad de la operación, los comentaristas sugirieron que los recorridos pueden proveer evidencia suficiente de la efectividad de la operación, pero sostuvieron diferentes puntos de vista sobre las situaciones en las cuales este sería el caso. Algunos comentaristas apoyaron el uso de recorridos en áreas de bajo riesgo, mientras que otros se focalizaron en si el control mismo debe ser de bajo riesgo. Algunos comentaristas sugirieron que un recorrido podría proveer evidencia suficiente de la efectividad de la operación para los controles de bajo riesgo pero solamente cuando los controles a nivel-de-entidad son fuertes. Casi todos los comentaristas estuvieron de acuerdo en que el estándar propuesto se focalizaba en las condiciones apropiadas para usar tal enfoque – específicamente, cuando el riesgo es bajo, cuando las auditorías pasadas señalan diseño y operación efectivos del control, y cuando no ha habido cambios en el control o en el proceso en el cual el control reside. Luego de considerar esos comentarios, la Junta ha decidido que el enfoque basado-en-riesgos que se describe en el estándar final es la estructura conceptual apropiada para determinar la evidencia necesaria para soportar la opinión del auditor. Por consiguiente, el Auditing Standard No. 5 articula el principio de que el desempeño de un recorrido puede proveer evidencia suficiente de la efectividad de la operación, dependiendo del riesgo asociado con el control que se está probando, de los procedimientos específicos desempeñados como parte de los recorridos y de los resultados de los procedimientos desempeñados.2 La Junta considera que no es necesario establecer requerimientos más detallados en esta área, porque la aplicación del principio general contenido en el estándar dependerá de los hechos y circunstancias particulares que se presenten. 4. Valoración del riesgo La orientación que la Junta ofreció en Mayo 16, 2005 enfatizó la importancia que en la auditoría del control interno tiene la valoración del riesgo, y ese elemento de la orientación fue incorporado y enriquecido en el estándar propuesto. El estándar propuesto requiere valoración del riesgo en cada uno de los puntos de decisión en un enfoque de arriba-hacia-abajo, incluyendo la identificación que el auditor hace de las cuentas y revelaciones significantes, así como sus aserciones relevantes. El

1 Ver parágrafo 27 de AU sec. 322, The Auditor’s Consideration of the Internal Audit Function in an Audit of Financial Statements. 2 Ver parágrafo 49.

) Mayo 2007 – Pg. 94/105

SAMantilla






estándar propuesto también requiere una valoración del riesgo a nivel del control individual, y requiere que el auditor determine, con base en esta valoración del riesgo, la evidencia necesaria para un control dado. La Junta recibió muchos comentarios sobre las provisiones relacionadas con la valoración del riesgo y contenidas en el estándar propuesto. Los comentarios sobre el enfoque propuesto de valoración del riesgo generalmente fueron de apoyo, con algunos comentaristas sugiriendo manera para mejorar en este estándar el énfasis puesto en la valoración del riesgo. Muchos comentaristas discutieron el requerimiento contenido en el estándar propuesto para que el auditor valore el riesgo de que el control puede no ser efectivo y, si no es efectivo, el riesgo de que derivaría una debilidad material para cada control que el auditor seleccione para prueba. Los comentaristas sugirieron que este requerimiento estaba en conflicto tanto con la práctica actual como con los requerimientos de los estándares interinos para la auditoría de estados financieros, que incluyen la valoración del riesgo a nivel de aserción del estado financiero. Esos comentaristas consideraron que este requerimiento derivaría en valoraciones del riesgo tanto para el nivel de aserción como para el nicel individual de control y sugirieron que valorar (y documentar) el riesgo a nivel de aserción relevante es suficientemente preciso para direccionar de manera apropiada las auditorías. Además, consideraron que sería innecesario un requerimiento específico para valorar el riesgo a nivel del control individual y su requerimiento asociado de documentación. Luego de considerar esos comentarios, la Junta continúa considerando que el auditor puede variar la naturaleza, oportunidad, y extensión de las pruebas con base en el riesgo valorado relacionado con un control. Hacer que esta valoración sea un requerimiento presumiblemente obligatorio, como lo fue en el estándar propuesto, sin embargo, no parece que sea necesario para lograr los beneficios que se intentan con la variedad de pruebas basadas en el riesgo asociado con un control. El Auditing Standard No. 5, por consiguiente, requiere que el auditor valor el riesgo relacionado con la aserción relevante, pero no el riesgo a nivel de control individual. Sin embargo, el estándar permite que el auditor considere el riesgo a nivel de control, y altere de acuerdo con ello la naturaleza, oportunidad y extensión de las pruebas. Algunos comentaristas expresaron preocupación respecto de la conveniencia de tomar un enfoque basado-en-riesgos y lo adecuado de los estándares interinos de la Junta relacionados con la valoración del riesgo. Esos comentaristas sugirieron que en el pasado los auditores frecuentemente no han sido exitosos en la aplicación de un enfoque basado-en-riesgos para la auditoría de estados financieros. La Junta encontró convincentes los argumentos para un enfoque más basado-en-principios para la auditoría del control interno, y que el principio de que el auditor debe variar las pruebas para responder al riesgo es uno de los más importantes contenidos en este estándar. La temprana implementación del Auditing Standard No. 2 demostró que, cuando se audita el control interno sin consideración adecuada del riesgo, se pueden oscurecer o perder las áreas que poseen mayor peligro de declaración equivocada material. El énfasis en el riesgo, por consiguiente, direcciona una auditoría que es más efectiva y focalizada. Si bien la Junta considera que los auditores pueden de manera apropiada valorar el riesgo con base en los estándares de auditoría interinos, se ha comprometido en examinar los estándares existentes en esta área para ver dónde se pueden

) Mayo 2007 – Pg. 95/105

SAMantilla






hacer mejoramientos. Esta es actualmente una de las prioridades de la emisión de estándares de la Junta. 5. Evaluación de deficiencias La Junta recibió una cantidad sustancial de comentarios sobre el tema de la evaluación de deficiencias, incluyendo comentarios sobre las definiciones propuestas de debilidad material y de deficiencia significante, los “indicadores fuertes” de debilidad material, y el requerimiento de evaluar todas las deficiencias identificadas. Mientras que una cantidad de comentaristas señalaron que los auditores deben identificar todas las debilidades materiales en la ausencia de una declaración equivocada material actual, algunos observaron que, en muchos casos, las debilidades materiales se identifican solamente cuando se han descubiero declaraciones equivocadas materiales. Algunos comentaristas sugirieron que el estándar propuesto, con su foco en usar un enfoque de arriba-hacia-abajo y definiendo el alcance para identificar debilidades materiales, le permitiría a los auditores hacer una revisión más completa de los controles más importantes con menos esfuerzo gastado en la revisión de los controles de riesgo más bajo. Esos comentaristas a menudo señalaron que este enfoque debe incrementar la probabilidad de que el auditor detecte debilidades materiales antes de que ocurra una declaración equivocada material. Definición de debilidad material El estándar propuesto mantiene la estructura conceptual básica contenida en el Auditing Standard No. 2 que describe las debilidades materiales por referencia a la probabilidad y magnitud de una declaración equivocada potencial. Si bien la Junta considera que esa estructura conceptual es sólida, hizo un esfuerzo para clarificar la definición contenida en el estándar propuesto mediante el reemplazar la referencia a “probabilidad más que remota” por “posibilidad razonable”. El Financial Accounting Standards Board (“FASB”) Statement N. 5 describe como “probable”, “razonablemente posible”, o “remota” la probabilidad de la ocurrencia de un evento futuro. La definición contenida en el Auditing Standard No. 2 se refería a una probabilidad “más que remota” de que ocurra una declaración equivocada. De acuerdo con FASB Statement No. 5, la probabilidad de un evento es “más que remota” cuando es ya sea “razonablemente posible” o “probable”. Sin embargo, como la Junta observó en la publicación propuesta, algunos auditores y emisores han entendido de manera equivocada el término “más que remota” para significar algo que es significativamente menos probable que una posibilidad razonable. Esto, a su vez, habría causado que esos emisores y auditores evalúen la probabilidad de una declaración equivocada en un umbral mucho más bajo que el que la Junta tiene la intención que se aplique. Dado que el término “más que remota” podría haber resultado en que auditores y emisores evalúen la probabilidad en un nivel más exigente que el que originalmente se tuvo la intención, la Junta propuso cambiar la definición para referirse a “posibilidad razonable.” Quienes comentaron respecto de este cambio se dividieron entre quienes sintieron que el cambio reduciría de manera innecesaria el esfuerzo gastado en identificar y analizar las deficiencias, y quienes consideraron que no. Algunos comentaristas observaron que el remplazo del término

) Mayo 2007 – Pg. 96/105

SAMantilla






“probabilidad más que remota” por el término “posibilidad razonable” no aumenta el umbral de los auditores para clasificar las deficiencias. De acuerdo con esos comentaristas, el cambio simplemente intenta alinear la descripción del umbral para la identificación de las deficiencias con la anterior orientación emitida por la PCAOB. La Junta continúa considerando que la definición propuesta – lo mismo que el Auditing Standard No. 2 – establece un umbral apropiado para la probabilidad que hace parte de la definición de debilidad material. Si bien la Junta está de acuerdo con que, como asunto definicional, “posibilidad razonable” y “más que remota” describen el mismo umbral, considera que “posibilidad razonable” describe el umbral más apropiada y claramente, y que por consiguiente evitará el entendimiento equivocado respecto del umbral, creado por la manera como fue descrito en el Auditing Standard No. 2. Como resultado, mantuvo ese término en la definición final contenida en el estándar. Además, algunos comentaristas observaron que las definiciones de debilidad material y deficiencia significante contenidas en el estándar propuesto, al igual que las definiciones contenidas en el Auditing Standard No. 2, se referían a la probabilidad de una declaración equivocada material en los estados financieros tanto intermedios como anuales. La mayoría de esos comentaristas sugirió que la Junta elimine el término “interino♦” de las definiciones de debilidad material y deficiencia significante porque, de acuerdo con los comentaristas, causa confusión cuando se define el alcance de la auditoría del control interno y complica de manera innecesaria la evaluación de las deficiencias, particularmente en asusencia de orientación de la SEC y del FASB en relación con la materialidad intermedia. Algunos comentaristas, sin embargo, dijeron que la Junta no debe eliminar el término ‘interino’ de las definiciones dado que se debe desempeñar la evaluación de las deficiencias para considerar la efectividad del control interno para los estados financieros tanto intermedios como anuales. Luego de considerar cuidadosamente esos comentarios, y en orden a usar la misma definición que usa la SEC en su orientación dirigida a la administración, la Junta determinó mantener, en la definición final de debilidad materia, la referencia a estados financieros intermedios.3 Indicadores de debilidad material El estándar propuesto describe las circunstancias que se deben considerar como indicadores fuertes de una debilidad material en el control interno. La publicación propuesta observó que la identificación de uno de esos indicadores fuertes debe conducir al auditor hacia la conclusión de que existe una debilidad material pero no requiere que el auditor llegue a esa conclusión. Bajo la propuesta, el auditor determinaría que esas circunstancias no aumentan el nivel de una debilidad material, y en algunos casos, no son deficiencias.

♦ El término original es ‘interim’ que significa interino. En el caso de los estados financieros, se refiere a los estados financieros ‘intermedios’ y en el caso de los estándares de la PCAOB a los estándares ‘interinos’. La materialidad, entonces, no es interina sino intermedia, dado que se refiere a la materialidad de los estados financieros (N del t). 3 Las provisiones contenidas en el estándar final, relacionadas con las deficiencias significantes, se discuten en la primera parte de esta publicación. Tal y como se discute en la primera parte de esta publicación, la Junta también hace pequeños cambios en la redacción de la definición de debilidad material, en orden a usar la misma definición que la SEC usa en su orientación dirigida a la administración y en las reglas relacionadas.

) Mayo 2007 – Pg. 97/105

SAMantilla






Muchos comentaristas apoyaron los cambios propuestos al Auditing Standard No. 2 relacionados con los indicadores fuertes, conviniendo que, mediante el mayor uso del juicio profesional en esta área, mejoraría la práctica. Unos pocos comentaristas señalaron que esos cambios pueden conducir a alguna inconsistencia en la práctica, pero consistentes con otros comentarios, todavía apoyaron el uso de mayor juicio profesional en la evaluación de las deficiencias. Al menos un comentarista sugirió que algunos de los indicadores fuertes no eran indicadores de debilidad material sino que debían ser, en todas las circunstancias, debilidades materiales. Unos pocos comentaristas también sugirieron que la lista de indicadores fuertes contenida en el Auditing Standard No. 2 actualmente sofoca el juicio del auditor hasta el punto en que falla en identificar debilidades materiales que existen dado que la deficiencia no está en la lista de indicadores fuertes. Esos comentaristas sugirieron que sería menor eliminar por completo la lista de indicadores fuertes. La Junta considera que el juicio del auditor es imperativo para determinar si una deficiencia es una debilidad material y que el estándar debe fomentar que los auditores usen ese juicio. Al mismo tiempo, la Junta continúa cnsiderando que ilustrar ciertas circunstancias que son indicativas de una debilidad material provee información práctica relacionada con la aplicación del estándar. Como resultado, la Junta ha incluido esta información en el estándar final pero ha asumido un enfoque más basado-en-principios. Adicionalmente, la Junta ha coordinado con la SEC de manera que los indicadores contenidos en el estándar de auditoría estén en paralelo con los que aparecen en la orientación que para la administración preparó la SEC. Más que referirse a “indicadores fuertes,” el estándar final se refiere simplemente a “indicadores” de debilidades materiales.4 El estándar también clarifica que la lista de indicadores no es exhaustiva y no debe ser usada como lista de verificación. Específicamente, bajo el estándar final, la presencia de uno de los indicadores no es una conclusión obligatoria de que existe una debilidad material. Al mismo tiempo, una deficiencia que no es un indicador enumerado puede ser una debilidad material. La Junta no adoptó como indicadores en el estándar final a ciertos indicadores fuertes propuestos. La Junta considera, como lo sugirió un comentarista, que algunos indicadores fuertes propuestos están mejor caracterizados como debilidades materiales que como indicadores de una debilidad material.5 Incluirlos en la lista de indicadores, tal y como se adoptó, sería por lo tanto inconsistente

4 La Junta incluyó como indicador el requerimiento del estándar propuesto para determinar el nivel de aseguramiento que dejaría satisfechos a los oficiales prudentes en la dirección de sus propios asuntos respecto de que tienen seguridad razonable de que las transacciones están registradas en lo necesario para permitir la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados. En la propuesta, si el auditor determina que una deficiencia impediría que los oficiales prudentes concluyan que tienen tal seguridad razonable, se requirió que el auditor considere la deficiencia al menos como deficiencia significante. Bajo el estándar final, si el auditor determina que una deficiencia puede impedir que oficiales prudentes concluyan que tienen tal seguridad razonable, esta circunstancia es un indicador de debilidad material. 5 Uno de tales indicadores fuertes propuestos era un ambiente de control inefectivo. Bajo la propuesta, los indicadores de un ambiente de control inefectivo incluyen la identificación de fraude por parte de la administración principal y de deficiencias que han sido comunicadas a la administración y al comité de auditoría y que permanecen sin ser corregidas luego de un razonable período de tiempo. El estándar final incluye la identificación de fraude por parte de la administración principal como un indicador de debilidad material. Sin embargo, en orden a simplificar la lista y hacerla más basada-en-

) Mayo 2007 – Pg. 98/105

SAMantilla






con el grado de juicio requerido para evaluar si un indicador de debilidad material es, bajo hechos y circunstancias particulares, una debilidad material. Requerimiento de evaluar todas las deficiencias identificadas El estándar propuesto requiere que el auditor evalúe la severidad de cada deficiencia de control que llama su atención. La misma provisión en el estándar propuesto clarifica, sin embargo, que el auditor no necesita definir el alcance de la auditoría para encontrar deficiencias de control que sean menos severas que debilidades materiales. Unos pocos comentaristas consideraron que este requerimiento no es necesario y sugirieron que una alternativa aceptable sería que el auditor verifique que la administración ha evaluado todas las deficiencias. La Junta continúa considerando que el auditor necesita evaluar todas las deficiencias que llaman su atención. Sin tal evaluación, no habría base suficiente para la opinión del auditor. 6. Problemas adicionales de definición del alcance y de materialidad El estándar propuesto clarifica que el auditor debe planear y desempeñar la auditoría del control interno usando las mismas medidas de materialidad que usa para planear y desempeñar la auditoría de los estados financieros anuales. Esta dirección tenía la intención de dar dirección a las preocupaciones de los auditores que han interpretado que el Auditing Standard No. 2 los conduce a buscar defectos potenciales en el control interno en un nivel de materialidad más bajo que el que se usa en la auditoría de estados financieros anuales. La Junta recibió muchos comentarios sobre la materialidad y sobre la definición del alcance, y gran parte de los comentaristas expresó apoyo para el enfoque del estándar propuesto. Sin embargo, algunos comentaristas recomendaron proveer guías cuantitativas claras para el cálculo de la materialidad. Otros expresaron preocupación respecto de tal enfoque, temiendo que áreas materiales fueran inapropiadamente excluidas del alcance de la auditoría. Finalmente, algunos comentaristas sugirieron que la Junta debe proveer orientación adicional sobre la definición del alcance y sobre la extensión de las decisiones sobre prueba del control tal como orientación sobre tamaños de las muestras relacionadas con las pruebas de controles de riesgo alto versus controles de riesgo bajo u orientación más específica sobre la definición del alcance de la auditoría del control interno para entidades con múltiples localizaciones.6 Después de considerar esos comentarios, la Junta ha determinado adoptar, tal y como fue propuesta, su discusión respecto de la materialidad en la auditoría del control interno. La Junta considera que el estándar de auditoría del control interno es un lugar inapropiado para volver a principios, así como para alinearla con la orientación que para la administración preparó la SEC, la Junta no incluyó como indicador en el estándar final las deficiencias significantes que permanecen sin ser corregidas. 6 El estándar propuesto se centró en la valoración que el auditor hace del riesgo de declaración equivocada material y cómo el auditor podría llevar a cabo ese proceso de valoración en la definición del alcance de una auditoría de múltiples localizaciones. Los comentaristas estuvieron dando mucho apoyo al enfoque de la Junta en esta área y, en consecuencia, la Junta ha determinado adoptar esas provisiones tal y como fueron propuestas.

) Mayo 2007 – Pg. 99/105

SAMantilla






definir o refinar el significado de materialidad, el cual es un concepto establecido desde hace mucho tiempo en las leyes federales de valores. Con relación a las solicitudes de orientación más específica sobre los asuntos de definición del alcance o extensión de las pruebas, la Junta se ha esforzado, tal y como se discute en la primera parte de esta publicación, en adoptar un estándar que confíe más en los principios generales que en los requerimientos detallados. De acuerdo con ello, la Junta considera que los auditores deben hacer determinaciones específicas respecto de cómo cumplir con los requerimientos generales de definición del alcance y de pruebas, contenidos en el estándar, usando el juicio profesional en las circunstancias particulares que se presenten. 7. Escalar la auditoría para las compañías más pequeñas Tal y como se discute en la primera parte de esta publicación, la Junta recibió muchos comentarios relacionados con la sección propuesta sobre escalar la auditoría, comentarios recibidos de comentaristas con una variedad de perspectivas. Los comentarios cubrieron un amplio rango de asuntos. Además de las materias que se discuten en la primera parte de esta publicación, los comentaristas sugirieron:

• Que la sección propuesta sobre escalabilidad debe focalizarse más estrechamente en cómo la complejidad se relaciona con una auditoría basada-en-riesgos;

• Que el estándar propuesto no proveyó suficiente flexibilidad para las compañías más

pequeñas y que el estándar debe proveer más “crédito” para las pruebas de control que se basen en el trabajo hecho como parte de la auditoría de estados financieros;

• Que los costos resultantes de esos cambios propuestos necesitarían ser estudiados

durante algunos años para determinar si son apropiados;

• Que los atributos de las compañías más pequeñas, menos complejas, que se incluyeron en el estándar propuesto fueran apropiados y que fueran adecuadas las direcciones para los auditores relacionadas con el ajuste a la medida del cliente;

• Que algunos de los atributos de las compañías más pequeñas, menos complejas, que

pueden permitirle al auditor personalizar la auditoría pueden ser, en lugar de ello, factores de riesgo que requieren más pruebas;

• Que el énfasis en los controles a nivel-de-entidad puede no ser apropiado; y

• Que el proyecto de la Junta para desarrollar orientación sobre la auditoría del control

interno en las compañías públicas más pequeñas es necesario. Tal y como se discute en la primera parte de esta publicación, la Junta hizo en el estándar final algunos cambios en respuesta a los comentarios. El nuevo estándar provee dirección sobre cómo personalizar las auditorías del control interno para ajustarse al tamaño y a la complejidad de la compañía que se esté auditando. Lo hace incluyendo notas a través del estándar sobre cómo aplicar los principios contenidos en el estándar a las compañías más pequeñas, menos complejas,

) Mayo 2007 – Pg. 100/105

SAMantilla






y mediante el incluir una discusión de los atributos de las compañías más pequeñas, menos complejas, así como de las unidades menos complejas de las compañías más grandes. La Junta considera que el estándar final considera de manera apropiada las circunstancias de las compañías públicas más pequeñas y menos complejas (y de otras compañías con unidades de negocio menos complejas) si bien requiere una auditoría de alta calidad independiente del tamaño o complejidad de la compañía. La orientación planeada sobre este asunto proveerá información práctica adicional para los auditores de las compañías más pequeñas. 8. Principios de la tecnología de la información Al ganar un entendimiento del efecto de la tecnología de la informaicón (“IT”) en el control interno sobre la presentación de reportes financieros y en los riesgos que el auditor debe valorar, el estándar propuesto dirigió al auditor para que aplique la orientación contenida en AU sec. 319, Consideration of Internal Control in a Financial Statement Audit. Adicionalmente, el estándar propuesto incluyó una discusión de las operaciones de IT en las compañías más pequeñas y menos complejas. Una cantidad de comentaristas discutió la importancia de los riesgos de IT para determinar el alcance de la auditoría y recomendó que el estándar final incluya orientación adicional sobre cómo el riesgo valorado relacionado con IT se incorpora en la auditoría del control interno. En respuesta a esos comentarios, la Junta incluyó en el Auditing Standard No. 5 una nota al parágrafo 36 que clarifica que la identificación de los riesgos y controles en IT no debe ser una evaluación separada, sino más aún, parte integral de la valoración del riesgo de arriba-hacia-abajo, incluyendo la identificación de las cuentas y revelaciones significantes y sus aserciones relevantes, así como los controles a probar. 9. Procedimientos de actualización El estándar propuesto discute los procedimientos que el auditor debe desempeñar para obtener evidencia adicional relacionada con la operación del control cuando el auditor reporta sobre la efectividad del control “para” una fecha específica, pero ha probado la efectividad del control en una fecha intermedia. La Junta recibió unos pocos comentarios sobre este tema, principalmente provenientes de auditores. Los comentarios fueron consistentes con su punto de vista de que el estándar propuesto implica de manera inapropiada, por el uso de la expresión “si cualquiera” en relación con la evidencia adicional que se requiere el auditor obtenga, que el auditor puede no necesitar hacer cualquier trabajo de seguimiento. Los comentaristas sugieren que tal enfoque sería inconsistente con el parágrafo .99 de AU sec. 319 y sugieren que las palabras “si cualquiera” sean removidas del estándar final. La Junta considera que este estándar debe ser consistente con AU sec. 319.99 en que el auditor debe desempeñar algún nivel de procedimientos de seguimiento. En consecuencia, la Junta eliminó las palabras “si cualquiera” de los parágrafos relevantes del Auditing Standard No. 5 para corregir la inconsistencia. La Junta también observó que, en algunas circunstancias, la sola indagación puede ser un procedimiento suficiente de seguimiento.

) Mayo 2007 – Pg. 101/105

SAMantilla






10. Conocimiento acumulativo y rotación El estándar propuesto sobre auditoría del control interno le permite al auditor incorporar el conocimiento de las auditorías de los años anteriores en su proceso de toma de decisiones para determinar la naturaleza, alcance y extensión de las pruebas necesarias. La sección del estándar propuesto sobre consideraciones especiales para las auditorías de los años subsiguientes se contruye a partir de la estructura conceptual basada-en-riesgos contenida en el estándar propuesto para determinar la oportunidad y la extensión de las pruebas mediante la descripción de ciertos factores adicionales para que el auditor los evalúe en los años subsiguientes. Esos factores incluyen los resultados de las pruebas de los años anteriores y cualquier cambio que pueda haber tenido lugar en los controles o en el negocio desde que la prueba fue desempeñada. Esta sección mantiene el requerimiento contenido en el Auditing Standard No. 2 de que casa control que se considere importante para la conclusión del auditor sea probado cada año, pero permite una reducción en las pruebas cuando factores adicionales de riesgo señalan que el riesgo fue más bajo que en el pasado. Muchos comentaristas apoyaron fuertemente esas provisiones tal y como fueron propuestas. Muchos inversionistas, en particular, señalaron que si bien apoyaban el estándar propuesto, no apoyarían la rotación de las pruebas del control durante un período de múltiples años. Esos comentaristas estaban generalmente preocupados porque la rotación de las pruebas del control afectarían de manera negativa la calidad de la auditoría. Entre quienes apoyan el enfoque contenido en el estándar propuesto, algunos solicitaron clarificación adicional en el estándar u orientación adicional respecto de cómo este enfoque debe afectar el nivel de las pruebas. Muchos emisores sugirieron que el estándar debe permitir la rotación plena – lo cual exceptúa algunos controles importantes de ser probados cada año – de al menos los controles en áreas de riesgo bajo. Otros comentaristas recomendaron que todos los controles deben ser probados sobre una base de rotación de múltiples años. Esos comentarios a menudo se focalizaron en el hecho de que si bien el estándar propuesto requiere que el auditor evalúe si ha habido cualesquiera cambios relevantes desde que el control fue probado, todavía requiere la prueba en algún nivel aún cuando no haya habido cambio. Esos comentaristas consideraron innecesario este requerimiento. La Junta comparte la preocupación de que la rotación multi-anual de las pruebas del control no proveería suficiciente evidencia para la opinión del auditor respecto de la efectividad del control interno, la cual es requerida por la ley que sea emitida cada año. En la auditoría de estados financieros, las pruebas del control juegan un rol de apoyo – en la extensión en que esos controles han sido probados y sean efectivos, el auditor puede reducir el nivel de (pero no eliminar) las pruebas sustantivas necesarias. En contraste, en la auditoría del control interno, la prueba del control no juega un rol de apoyo sino que es la única base para la opinión del auditor. Adicionalmente, aún si el diseño del control y sus procesos relacionados no cambian desde el año anteriro, no es posible valorar la efectividad de la operación del control sin desempeñar algún nivel de pruebas. Por esas razones, la rotación no es una opción viable en la auditoría del control interno.

) Mayo 2007 – Pg. 102/105

SAMantilla






En lugar de ello, el enfoque que se describe en estándar propuesto ha sido clarificado en el estándar final y continúa focalizando al auditor en los cambios relevantes desde que un control particular fue probado, tal y como lo sugirieron muchos comentaristas. Bajo este enfoque, el auditor consideraría, además de los factores de riesgo que se describen en el estándar, que siempre son relevantes para determinar la naturaleza, oportunidad, y extensión de la prueba, si ha habido cambio en los controles o en el negocio que pueda necesiar un cambio en los controles; la naturaleza, oportunidad, y extensión de los procedimientos desempeñados en las auditorías anteriores; y los resultados de las pruebas del control realizadas en los años anteriores.7 Luego de tener en cuenta esos factores adicionales, la información adicional en las auditorías de los años subsiguientes puede permitirle al auditor valorar el riesgo como más bajo que en el año inicial y, por consituiente, puede permitirle al auditor reducir las pruebas. Este tratamiento del conocimiento acumulativo es análogo a las provisiones de actualización contenidas en el estándar final. En el caso de los años subsiguientes, el auditor, en esencia, actualiza las pruebas del año anterior cuando el control se encontró que era efectivo en el pasado y no ha ocurrido cambio (o se habría esperado que ocurrieran debido a cambios en el ambiente o en los procesos que contienen el control). Dado que el auditor puede ser vapaz de valorar el riesgo como más bajo en los años subsiguientes, un recorrido, o un procedimiento equivalente, puede ser suficiente para los controles de riesgo bajo. Este enfoque factoriza de manera apropiada el efecto del conocimiento acumulado, al mismo tiempo que mantiene la calidad de la auditoría y provee una base suficiente para la opinión del auditor. 11. Presentación de reportes sobre los resultados de la auditoría En el estándar propuesto, la Junta intentó direccionar las preocupaciones respecto de que la opinión separada sobre la valoración que hace la administración, requerida por el Auditing Standard N. 2, contribuyó a la complejidad del estándar y causó confusión en relación con el alcance del trabajo del auditor.8 De acuerdo con ello, para enfatizar el apropiado alcance de la auditoría y para simplificar la presentación de reportes, el estándar propuesto requiere que el auditor exprese solamente una opinión sobre el control interno – una declaración de la opinión del auditor sobre la efectividad del control interno sobre la presentación de reportes financieros de la compañía. La propuesta eliminó la opinión separada sobre la valoración que hace la administración porque era redundante de la opinión sobre el control interno misma y porque la opinión sobre la efectividad de los controles transmite más claramente la misma información – específicamente, si el control interno de la compañía es efectivo. Muchos comentaristas estuvieron de acuerdo con la Junta respecto de que la eliminación de la opinión separada sobre la valoración que realiza la administradión reduciría la confusión y

7 Ver parágrafo 55. 8 Si bien el Auditing Standard No. 2 requiere que el auditor evalúe el proceso de la administración, la opinión del auditor respecto de la valoración que hace la administración no es una opinión sobre el proceso de evaluación del control interno que hace la administración. Más aún, es la opinión del auditor respecto de las declaraciones de la administración sobre la efectividad de los controles internos de la compañía la que se establece de manera razonable.

) Mayo 2007 – Pg. 103/105

SAMantilla






clarificaría la presentación de reportes. Algunos comentaristas, sin embargo, sugirieron que la Junta debe en lugar de ello requerir solo una opinión sobre la valoración que realiza la administración. Esos comentaristas expresaron su creencia de que la Ley requiere solamente que el auditor revise el proceso de valoración de la administración y no el control interno de la compañía. Adicionalmente, unos pocos comentaristas expresaron confusión sobre porqué el estándar propuesto continúa haciendo referencia, en el parágrafo 1 del estándar propuesto y en el reporte del auditor, a una auditoría de la valoración que realiza la administración. La Junta ha determinado, después de considerar esos comentarios, adoptar la provisión requiriendo solamente una opinión sobre el control interno.9 La Junta continúa considerando que el alcance general de la auditoría que fue descrito por el Auditing Standard No. 2 y por el estándar propuesto es correcto; esto es, atestar a y reportar sobre la valoración que hace la administración, tal y como es requerido por la Sección 404(b) de la Ley, el auditor tiene que probar directamente los controles para determinar si son efectivos.10 De acuerdo con ello, los parágrafos 1 y 2 del estándar propuesto proveen que el auditor audite la valoración que realice la administración – la declaración contenida en el reporte anual de la administración respecto de si el control interno es efectivo – mediante el auditar si esa declaración es correcta – esto es, si el control interno es, de hecho, efectivo. El estándar final, de manera similar hace esta aclaración. En respuesta a los comentaristas, sin embargo, la Junta ha clarificado el reporte del auditor de manera que de manera consistente se referirá a la auditoría requerida como auditoría del control interno. 12. Implementación Algunos comentaristas urgieron que la Junta se focalizara en los problemas de implementación luego de que adopte el estándar final, y observaron que la implementación efectiva por la Junta es crucial para el proceso de presentación de reportes sobre el control interno. Algunos de esos comentaristos se focalizaron en el proceso de inspección, el cual sugirieron es clave para promover la eficiencia de la auditoría. Algunos señalaron que los auditores improbablemente cambiarían su enfoque de auditoría hasta que tengan confianza en que las inspecciones serán focalizadas de manera similar. La Junta está comprometida en el monitoreo efectivo del cumplimiento de las firmas con el nuevo estándar y continuarán promoviendo la implementación apropiada a través de otros medios, incluyendo los Boards’s Forum on Auditing in the Small Business Environment y orientación para los auditores de las compañías más pequeñas.

* * * * * * * * *

9 La SEC ha adoptado cambios en sus reglas que requieren que el auditor exprese una opinión directamente sobre el control interno. 10 Además, la Sección 103 de la Ley requiere que el estándar de la Junta sobre la auditoría del control interno incluya “probar la estructura y los procedimientos de control interno del emisor...” Bajo la Sección 103, el estándar de la Junta también tiene que requerir que el auditor presente en el reporte de auditoría, entre otras cosas, “una evaluación de si tales estructura y procedimientos de control interno ... proveen seguridad razonable de que las transacciones están registradas en cuanto es necesario para permitir la preparación de estados financieros de acuerdo con los principios de contabilidad generalmente aceptado...”

) Mayo 2007 – Pg. 104/105

SAMantilla





Auditoría del control interno • Auditoría basada-en-riesgos

• De arriba-hacia-abajo • Controles a nivel-de-entidad

Si le interesa este tema, vincúlese a AUDIRIESGOS

http://groups.google.com.co/group/audiriesgos

Si tiene dificultades para vincularse al grupo, comuníquese a cualquiera de los siguientes e-mail:

[email protected]

[email protected]

o invite a un amigo para que se vincule a AUDIRIESGOS

) Mayo 2007 – Pg. 105/105

SAMantilla

http://groups.google.com.co/group/audiriesgos

mailto:[email protected]

mailto:[email protected]

Un 02 Sm 03 08 SAM AS5 Auditoria Control Interno 2007

Documents

Transcript of Un 02 Sm 03 08 SAM AS5 Auditoria Control Interno 2007