Los auditores a menudo no captan ni comunican las debilidades del control interno, pero hacerlo es una exigencia de las normas de auditoría. Además, el hecho de que su cliente conozca las debilidades de control le permite mejorar su sistema contable, el resultado, la prevención de futuros fraudes y errores.
Detectar y comunicar las deficiencias de control interno
A continuación, se tratarán los siguientes objetivos inherentes a las debilidades de control:
- Cómo descubrirlas.
- Cómo capturarlas.
- Cómo comunicarlas.
Para empezar, será necesario conocer tres tipos de debilidades:
- Debilidades materiales: Una deficiencia, o una combinación de deficiencias, en el control interno, de tal manera que existe una posibilidad razonable de que no se evite, o se detecte y corrija, a tiempo, una incorrección material en los estados financieros de la entidad.
- Deficiencias significativas: Una deficiencia, o una combinación de deficiencias, en el control interno que es menos grave que una debilidad material, pero lo suficientemente importante como para merecer la atención de los encargados de la dirección.
- Otras deficiencias – A los efectos de esta entrada del blog, definiremos otras deficiencias como aquellas menos graves que las debilidades materiales o las deficiencias significativas.
Al observar estas definiciones, se puede ver que la categorización de las debilidades de control es subjetiva, con lo cual es necesario tener en cuenta:
- Posibilidad razonable
- Faltas materiales
- Menos grave
- Merece la atención de los responsables de la dirección
1. Descubrir las debilidades de control
Plasmar las debilidades de control a medida que se realiza la auditoría, se pueden identificar las debilidades de control en las siguientes etapas de la auditoría:
- Planificación – Evaluación de riesgos y recorridos
- Trabajo de campo – Trabajo a nivel de transacción
- Conclusión – Conclusión de la auditoría
A. Etapa de planificación
Se descubrirán las deficiencias al realizar los procedimientos que se llevan a cabo en las primeras fases del encargo, los procedimientos correctamente realizados le permitirán al auditor ver las deficiencias de los procesos y los lugares en los que las funciones están excesivamente concentradas.
Segregación de funciones
Están las funciones contables adecuadamente segregadas con respecto a:
- La custodia de los activos
- Conciliaciones
- Autorización
- Contabilidad
Los auditores suelen hacer afirmaciones como: La segregación de funciones no es posible debido al limitado número de empleados.
Estas afirmaciones se hacen solo para proteger al auditor en caso de que se produzca un fraude en el futuro, es mejor ser específicos sobre la debilidad de control y cuál podría ser el impacto potencial. Por ejemplo:
Existe la posibilidad de que se añadan proveedores ficticios y se roben fondos, estas cantidades podrían ser importantes, una declaración de este tipo indica al cliente cuál es el problema, dónde está y el daño potencial.
El fraude: Una causa de las declaraciones erróneas
Aunque se acabo de describir cómo la falta de separación de funciones puede abrir la puerta al robo, la misma idea se aplica al fraude en los estados financieros o a la manipulación de los libros. Cuando una persona controla el proceso de elaboración de informes, existe un mayor riesgo de fraude en los estados financieros. Una segregación adecuada reduce la posibilidad de que alguien manipule los números.
Dentro de cada ciclo de transacciones, las funciones contables deben ser realizadas por diferentes personas, esto reduce la posibilidad de robo, si una persona realiza varias tareas, sería necesario preguntarse: ¿Hay alguna manera de que esta persona pueda robar fondos? Si la respuesta es afirmativa, el cliente debe añadir un control en forma de revisión por una segunda persona.
Si es posible, el cliente debe hacer que una segunda persona examine los informes u otra documentación de apoyo ¿Con qué frecuencia debe realizarse la revisión? Diariamente, si es posible, si no es diaria, tan a menudo como sea posible, en cualquier caso, una empresa no debe permitir que alguien con capacidad de robar trabaje solo sin revisión, el miedo a la detección disminuye el fraude.
- Si un ciclo de transacciones carece de segregación de funciones, se debe considerar el impacto potencial de la debilidad de control interno, existen tres posibles impactos:
- Robo que es material (debilidad material)
- Robo que no es material pero que merece la atención de la dirección y del consejo de administración de todos modos (deficiencia significativa)
- Robo de cantidades insignificantes (otra deficiencia)
Errores: Otra causa de incorrecciones
Si bien los auditores deben considerar las debilidades de control que permiten el fraude, también deben considerar si los errores pueden dar lugar a posibles incorrecciones. Por lo tanto, hay que formular preguntas como las siguientes:
- ¿Contienen errores los estados financieros mensuales?
- ¿Se omiten por error facturas en el sistema de pagos?
- ¿Se olvidan los empleados de obtener los números de las órdenes de compra antes de comprar las mercancías?
- ¿Los contadores no concilian los extractos bancarios a tiempo?
B. Etapa de trabajo de campo
Aunque es más probable que descubra las deficiencias de control de los procesos en la fase de planificación de una auditoría, los resultados de las deficiencias de control a veces salen a la luz durante el trabajo de campo, ¿Cómo? Asientos de auditoría. ¿Qué son los asientos de auditoría sino correcciones? Y las correcciones implican una debilidad en el sistema contable.
Cuando un auditor realiza un asiento material, es difícil argumentar que no existe una debilidad material, se sabe que el error es razonablemente posible “ha ocurrido”, también se sabe que la prevención no se produjo a tiempo.
C. Etapa de conclusión
Al concluir la auditoría, se deben revisar todas las entradas de la auditoría para ver si hay indicadores de deficiencias de control interno, además, revisar los documentos de trabajo sobre las deficiencias, si aún no se ha hecho, se deben discutir las observadas con la dirección.
Es posible que la empresa desee tener una política para que solo los gerentes o los socios realicen estas comunicaciones, porque la dirección puede ver los comentarios del auditor como una crítica a su propio trabajo, después de todo, ellos diseñaron el sistema de contabilidad o al menos lo supervisan, por lo tanto, estas discusiones pueden ser un poco desafiantes.
2. Capturar las debilidades de control interno
Lo primero, y más importante que se debe hacer es documentar las deficiencias de control interno cuando se encuentren.
En segundo lugar, será necesario crear un formulario estándar para capturar las debilidades de control.
Formulario de captura de control interno
Como mínimo, se debe incluir dentro del formulario lo siguiente:
- Marque las casillas para:
- Deficiencia significativa.
- Deficiencia material.
- Otras deficiencias de control.
- Otras cuestiones, por ejemplo, violaciones de leyes o reglamentos.
- Si la probabilidad de ocurrencia es al menos razonablemente posible y si la magnitud de la posible incorrección es material.
- Descripción de la deficiencia y las comunicaciones verbales o escritas al cliente, también la respuesta del cliente.
- La causa de la situación.
- El efecto potencial de la condición.
- Recomendación para corregir el problema.
- La persona que identifica el problema y la fecha de descubrimiento.
- Si el problema se repite desde el año anterior.
- Un área para que el socio firme que está de acuerdo con la descripción de la deficiencia y la categoría asignada a la misma, por ejemplo, debilidad material.
- Referencia a la documentación relacionada en el archivo de auditoría.
3. Comunicar las debilidades de control
Las debilidades materiales y las deficiencias significativas deben comunicarse por escrito a la dirección y a los encargados de la dirección, otras deficiencias pueden comunicarse verbalmente a la dirección, pero se debe documentar esas conversaciones en los documentos de trabajo.
También será necesario proporcionar un borrador de cualquier comunicación escrita a la dirección antes de emitir la carta final, de este modo, si algo es incorrecto, se podrá corregir.
Conclusión
Los puntos principales para descubrir y comunicar las deficiencias de control interno son:
- Capturar las deficiencias de control interno tan pronto como sean evidenciadas.
- Desarrollar un formulario para documentar las deficiencias.