Hace poco tiempo escribí en este blog un post titulado: ¿Qué tipo
de riesgos hay que incluir en la sección AMRA?.
En él llegamos a la conclusión que el tipo de riesgo que
debe ser incluido en la sección KAM o AMRA son aquellas cuestiones más
significativas de incorrección material, que se seleccionarán entre las
comunicadas a los Responsables de Gobierno de la Entidad (RGE).
Las cuestiones no significativas de incorrección material,
no caben aquí, por la propia definición dada por la norma de las Cuestiones
Calve de Auditoria, que extendemos lógicamente al concepto de AMRA. Puede verse
en los requerimientos núms. 9, 2, 5, 10 y en la Guía de Aplicación A9, A10, A14,
A20 y A25 de la NIA-ES 701, así como el articulo 5.1 c) de la Ley de Auditoría
de Cuentas.
A estos efectos la Guía A20 de la NIA-ES 701
indica: “La NIA 315 (Revisada) define el riesgo significativo como un
riesgo identificado y valorado de incorrección material que, a juicio del
auditor, requiere una consideración especial en la auditoría. Las áreas en las
que la dirección aplica juicios significativos y las transacciones
significativas inusuales se pueden, a menudo, identificar como riesgos
significativos. En consecuencia, los riesgos significativos son, a
menudo, áreas que requieren atención significativa del auditor”.
Para determinar cómo podemos identificar aquellos riesgos
que se deben de incluir en el informe de auditoría como riesgos más
significativos, resulta fundamental partir del requerimiento núm. 9 de la NIA-ES 701, que dice lo
siguiente:
"El auditor determinará, entre
las cuestiones comunicadas a los responsables del gobierno de la entidad
aquellas que hayan requerido atención significativa del auditor
al realizar la auditoria. Para su determinación, el auditor tendrá́ en cuenta
lo siguiente:
(a) Las áreas de mayor riesgo valorado de incorrección material, o los riesgos significativos identificados de conformidad con la NIA 315 (Revisada).
……….”
En resumen,
debemos de seguir el siguiente orden, para identificar las KAM/AMRA:
1. En primer
lugar, determinar las áreas de mayor riesgo valorado de incorrección material,
comunicadas a los RGE
2. De entre ellas,
aquellas que han requerido mayor atención significativa, Riesgos
significativos.
3. Extraer de ahí aquellas
que serán consideradas KAM/AMRA.
Para
realizar este proceso, en mi opinión, hay tres NIA-ES que nos pueden ayudar a
ello:
1. NIA-ES 260, Comunicación con los
responsables del gobierno de la entidad.
2.
NIA-ES 315.
Identificación y valoración de los riesgos de incorreción material mediante el
conocimiento de la entidad y su entorno.
3. NIA-ES 200. Objetivos globales del
auditor independiente y realización de la auditoría de conformidad con las
Normas Internacionales de Auditoria.
^Para ello
recomiendo la obra “Normas internacionales de Auditoría
adaptadas para su aplicación en España por el ICAC” de Ediciones Francis
Lefebvre El Derecho. (en
adelante Manual)
En cuanto a
la NIA-ES 260, llamamos la atención sobre los riesgos que se deben comunicar a
los Responsables del Gobierno de la Entidad (RGE), y podemos resaltar lo
indicado en la página 65 del Manual:
1. Las responsabilidades en relación
con la auditoría de los Estados Financieros.
2. El alcance y momento de realización
de la auditoría planificados.
3. Los hallazgos significativos de la
auditoría.
4. En el caso de entidades cotizadas y
de Interés Público (EIP), cuestiones relativas a los requerimientos éticos y de
independencia del auditor.
5. En el caso de EIPs adicionalmente
deberán comunicarse las cuestiones que indique la legislación.
Con respecto
a la identificación de posibles KAM/AMRA, llamamos la atención sobre el punto 3
los hallazgos significativos de la auditoría que estarán basados sobre los
riesgos más significativos de la entidad.
Con estos
riesgos de incorrección material, se elabora la denominada Matriz de Riesgos
(páginas 443 y ss del Manual), según requerimiento 28 de la NIA-ES 315, y se
destacan los que son más significativos:
- Transacciones con partes vinculadas.
-
Transacciones
significativas.
-
Estimaciones.
-
Transacciones
significativas próximas al cierre.
-
Transacciones
ajenas al curso normal de los negocios.
- Otros….
La comunicación sobre estos riesgos a los RGE se debe hacer
en la fase de planificación, esto es antes de realizar la ejecución de la
auditoría, lógicamente según la NIA-ES 200 se realizará cuando se obtiene
conocimiento de la entidad y su entorno, que es el momento donde identificamos
y valoramos los riesgos de incorrección material debida a fraude o error (véase
página 30 del Manual).
Para más claridad, en la misma NIA-ES 200 se define el
riesgo de incorrección material, como riesgo de que los EEFF contengan
incorrecciones materiales antes de la realización de la auditoría. El riesgo
comprende dos componentes:
a) Riesgo inherente: susceptibilidad de que una afirmación
contenga incorrecciones inmateriales antes de tener en cuenta los posibles
controles correspondientes.
b) Riesgo de control: riesgo de que una incorrección que
pudiera existir en una afirmación no sea prevenida, o detectada y corregida
oportunamente, por el sistema de control interno de la entidad. (véase página
32 del Manual).
Por lo tanto, el riesgo de incorrección material está
compuesto por el riesgo inherente y el riesgo de control.
En cuanto a la confección de la matriz de riesgos de
incorrección material para cada área, con el fin de determinar el alcance de
las pruebas, se valora lógicamente a partir del Riesgo Inherente y el Riesgo de
Control. Es cierto que en la fase de planificación no puede conocer con
precisión el riesgo de control, pero existe una evaluación preliminar del
control que sirve como base (nivel de confianza previo depositado en los
controles).
Pero nos podemos preguntar, ¿Qué diferencia hay entre riesgo
inherente de incorrección material y riesgo significativo?
Para determinar el riesgo significativo no se deben tener en
cuenta el riesgo de control. Es lo que se indica en el requerimiento 27 de la
NIA-ES 315: 27. “Como parte de la valoración del riesgo descrita en el apartado
25, el auditor determinará si alguno de los riesgos identificados es, a su
juicio, un riesgo significativo. En el ejercicio de dicho juicio, el auditor
excluirá los efectos de los controles identificados relacionados con el riesgo”.
También en la NIA-ES 315, requerimiento 28 y 29 nos ofrece
algunas consideraciones para detectar el riesgo significativo:
“28. Para juzgar los riesgos que son significativos, el
auditor considerará, al menos, lo siguiente:
(a) si se trata de un riesgo de fraude;
(b) si el riesgo está relacionado con significativos y
recientes acontecimientos económicos, contables o de otra naturaleza y, en
consecuencia, requiere una atención especial;
(c) la complejidad de las transacciones;
(d) si el riesgo afecta a transacciones significativas con
partes vinculadas;
(e) el grado de subjetividad de la medición de la
información financiera relacionada con el riesgo, en especial aquellas
mediciones que conllevan un elevado grado de incertidumbre; y
(f) si el riesgo afecta a transacciones significativas
ajenas al curso normal de los negocios de la entidad, o que, por otras razones,
parecen inusuales. (Ref: Apartados A119-A123)
29. Si el auditor ha determinado que existe un riesgo
significativo, obtendrá conocimiento de los controles de la entidad, incluidas
las actividades de control, correspondientes a dicho riesgo. (Ref: Apartados
A124-A126)”
En conclusión, el “riesgo de incorrección material” por
definición está siempre en función del riesgo inherente y el riesgo de control.
Pero, a la hora de identificar un riesgo como “riesgo significativo “es cuando
no deberemos de tener en consideración el riesgo de control.
Pues bien, esto nos ofrece ya una idea sobre los riesgos más
significativos de donde pueden surgir KAM/AMRA.
En cualquier caso, también hay que decir en cuanto a la
planificación hay que decir que es un concepto vivo y que durante la auditoría
se puede ir actualizando, y se pueden por tanto ir añadiendo riesgos a la
matriz de riesgos.
Dicho de otro modo, en la determinación de los riesgos significativos,
se deberá tener en cuenta solamente el riesgo inherente de la entidad, sin
considerar el riesgo de control que puede mitigarlos. Véase en este sentido lo
indicado en el Manual páginas 443 y siguiente en la elaboración de la matriz de
riesgos en la fase de planificación.
Para más claridad en la página 82 del manual, puede verse la
siguiente frase: "Como parte de la
valoración del riesgo el auditor determinará si alguno del riesgo identificados
es a su juicio significativo. En el ejercicio de dicho juicio, el auditor
excluirá los efectos de los controles identificados relacionados con el riesgo."
(sobre la base de lo indicado en el requerimiento 27 de la NIA-ES 315)
En consecuencia, como resumen, se puede decir que las
KAM/AMRA habrá que buscarlas entre las de áreas de mayor riesgo significativos
valorados e identificados de conformidad con la NIA 315 (Revisada). De ahí
habrá que seleccionar aquellas que han sido comunicadas a los RGE, sobre la
base de las que tienen un mayor riesgo significativo. Todo esto en la fase de
planificación.
Finalmente, en la fase de confección del informe habrá que
seleccionar aquellas que deben ser incluidas como KAM/AMRA.
FASE PLANIFICACIÓN
|
CUESTIONES COMUNCADAS A LOS
RESPONSABLES DEL GOBIERNO DE LA ENTIDAD.
|
||||
CUESTIONES QUE REQUIEREN MAYOR ATENCIÓN
SIGNIFICATIVA.
|
|||||
FASE INFORMES
|
FASE INFORMES
|
KAM/AMRA
|
|||
Figura tomada y traducida del IAASB (ver página 243 del
Manual)
Por ejemplo, supongamos la auditoría de una cadena de
restaurantes, donde las ventas tienen un riesgo inherente de incorrección
material, ya que la mayoría de los ingresos por ventas se realizan en efectivo.
En consecuencia, el área de ventas es un
área con un riesgo inherente de incorreción material es elevado.
Imaginemos que en esta entidad existe un control interno muy
potente, pero como estamos en la fase de planificación todavía no se ha
realizado ninguna prueba de control. También es cierto que tenemos una cierta
idea preliminar sobre el funcionamiento posible del Control Interno, pero para
determinar si dicho riesgo es significativo solamente tenemos que prestar
atención al riesgo inherente ya que solamente se puede hablar de nivel de
confianza en el control (evaluación previa del control), por lo tanto, ésta
será un área de mayor riesgo de incorrección material según la matriz de
riesgos que deberá ser comunicada a los RGE en la fase de planificación. Y por
lo tanto, lo determinamos como riesgo significativo.
Tras la fase de ejecución, y después de haber hecho las
pruebas de control y sustantivas adecuadas en función del riesgo final de
auditoría, si finalmente no existe incorreción material en el área de
reconocimiento de ingresos, se puede decidir que se incluya como una KAM/AMPRA ya que se han comunicado
previamente a los RGE y ha requerido una atención especial por parte de los
auditores, entonces como una respuesta al riesgo valorado de incorrección
material se indicará el control interno que ejerce la entidad y el trabajo
realizado por el auditor para valorarlo.
Otra cosa será la simplificación que se realice en el caso
de AMPRA, pero eso es otra cuestión.
Post publicado en: https://gregorio-labatut.blogspot.com.es/2018/03/como-se-determina-e-identifica-los.html
Un saludo cordial.
Gregorio Labatut Serer
Director de los próximos eventos organizados por la Fundación Universidad Empresa. ADEIT de la Universidad de Valencia, homologados por el ICAC para la formación de los auditores de cuentas:
Jornadas y seminarios presenciales:
Día 13 de abril de 2018. La nueva norma internacional sobre arrendamientos y sus efectos sobre las Cuentas Anuales. https://congresos.adeituv.es/cuentasanuales/ Homologada por el ICAC con 4 horas de formación en contabilidad para auditores inscritos en el ROAC.
Webinars y jornadas on line: Homologadas por el ICAC. http://formacion.adeituv.es/homologacion-icac/jornadas-webinars/
Jornada online 26 de abril de 2018. Métodos actuales de valoración de empresas. Distintas alternativas. Homologada con 4 horas de otras materias.
No hay comentarios:
Publicar un comentario
Los comentarios que se deseen incorporar tendrán que ser moderados por el propietario del blog.