Auditoría Externa

Documentación inadecuada. Auditor de Información Financiera, tienes un riesgo importante

Detalles

De mi práctica profesional —51 años sin interrupción—, veo que uno de los problemas más graves de la profesión es la falta de documentación en la auditoría (papeles de trabajo genéricamente denominados en nuestro gremio) donde se describe la evidencia obtenida y se soporta la opinión, agravándose cuando la documentación es recopilada digitalmente

Hace cinco años inicié esta saga de artículos de los principales riesgos del auditor “Talón de Aquiles de los auditores”, inspirado en artículos del PCAOB donde se señala una serie de deficiencia en las auditorías, como: la falta de documentación fehaciente de los hechos y conclusiones como exámenes de áreas sofisticadas (principalmente las estimaciones que son el área más difícil de comprobar porque los hechos se darán en el futuro que, obviamente, aún no se conoce), la falta de escepticismo, la falta de localización de riesgos importantes, la identificación de controles clave que los compensen y el insuficiente trabajo para soportar el uso del trabajo de terceros.

Base normativas

El objeto de este artículo no es repetir lo indicado en nuestra normatividad, sino hacer un breve resumen y ofrecer algunos conceptos y recomendaciones al auditor al planear su trabajo, de la forma de documentarla y demostrar los riesgos en que incurre de tener esta adecuadamente.

Como ya se explicó, la normatividad está plasmada básicamente en tres fuentes:

AU 339 (usa estándares de auditoría). Requiere el uso integral de criterio profesional para determinar la calidad, tipo y contenido de la documentación de auditoría, con el suficiente detalle para respaldar un claro entendimiento del trabajo realizado (naturaleza, oportunidad y extensión); así como el resultado de los procedimientos de auditoría llevados a cabo para soportar su opinión.

La NIA 230, Documentación de la auditoría. Es responsabilidad del auditor de preparar la documentación de auditoría para tener la evidencia de las bases para llegar a una conclusión y la de que el trabajo se planeó–ejecutó adecuadamente. Es evidencia del trabajo realizado, soporta la supervisión e indica enfáticamente “… la evidencia disponible es más persuasiva que concluyente”.

Norma de control de calidad. Sobre la documentación hace referencia sobre la calidad de la documentación, alude a la terminación y cierre de papeles de trabajo se completen oportunamente el proceso de terminación y cierre del trabajo, incluyendo conceptos que deben observase sobe la confidencialidad, custodia, integridad, accesibilidad y recuperabilidad de la información, hace énfasis en los requisitos de retención de la documentación por un periodo suficiente para cumplir con las necesidades de algún requerimiento interno, legal o regulatorio y hace hincapié en la necesidad del monitoreo (supervisión) del trabajo que obviamente incluye que la documentación contenga la evidencia adecuado del trabajo desempeñado, de la oportunidad y extensión de la revisión.

Conclusión: la evidencia disponible es más persuasiva que concluyente.

Suficiencia adecuada ¿qué significa?

Evidencia adecuada también definida como evidencia suficiente (cantidad) y competente (calidad) es aquella que al demostrarla a cualquier persona no deja duda alguna, es como dicen los abogados, persuasiva, “que tiene fuerza y eficacia para convencer”.

La documentación, desde luego, incluye varias cosas que más adelante se explican, desde el conocimiento del cliente, la planeación (riesgos), la ejecución y la conclusión y la relación de todo ese esfuerzo de trabajo con la opinión del auditor como la base para emitirla y demostrar fehacientemente su postura ante cualquier institución.

Esta evidencia, documentada y contenida en los papeles de trabajo debe ser concluyente, estable, repetible.

Don Antonio Galaz, hace 50 años, decía cuando descubría falta de documentación: “si es cierto que lo hiciste… demuéstramelo ahorita en los papeles de trabajo, no me lo platiques”, y agregaba: “te voy a engrapar a los papeles de trabajo y explicas lo que no documentaste”. Don Ricardo Mora Montes en sus clases decía: “…si es cierto que tienes tres novias, preséntamelas… a ver que no…”.

Riesgos

Historias de horror que hemos oído cuando nos revisan los papeles, si son gente de nuestra firma, se corrigen de alguna manera, pero cuando nos revisan por cuestiones de calidad de otras oficinas (si estamos en una organización nacional e internacional) o cuando nos revisan otros colegas (en cumplimiento a nuestra Normas de Calidad) y hay fallas, errores o deficiencias en la documentación para soportar el contenido de las aseveraciones importantes de los estados financieros y de las conclusiones del auditor, me consta que socios son llamados a cuentas de manera drástica y ejemplar, pero aun así, las cosas se pueden corregir, pero cuando la AGAFF nos llama y no presentamos las evidencias adecuadas, las suspensiones temporales y hasta definitivas están al orden del día y he tenido la amarga experiencia de ver a colegas sufrir por esta cuestión de la falta “adecuada” de papeles de trabajo, y perturbar seriamente su modus vivendi, afectando a la profesión en general, su imagen y, en particular, a su familia.

Los papeles de trabajo, nuevamente se hace énfasis, describen la evidencia obtenida, por lo tanto, deben estar debidamente resguardados, establecer las medidas de seguridad para que estos no se destruyan, accesos indebidos, robos, cambios de temperatura, etcétera.

Un riesgo muy importante que pasa desapercibido y que seguramente lo han sufrido los auditores cuando piden los papeles de trabajo la AGAFF, varios años después, que estos están extraviados, incompletos, maltrechos, etc., o bien, si están en ambientes TI no se encuentra el sistema para abrirlos ha cambiado o están incompletos. Otros casos, a manera de ejemplos aislados: a) fueron robados (en el coche, junto con la computadora, caso muy común y hay un acta de hechos ante las autoridades), b) en la época del diskette fiscal, en lugares calientes y fríos después de varios años la información no se puede leer, papeles maltratados por inundaciones, humedad, y c) algunas copias fotostáticas que con el tiempo no se pueden ver, entre otros.

Inclusive, el auditor debe considerar y comprobar que su cliente también tenga resguardada su información en lugares apropiados, pues es probable, como sucede, que se pida información adicional que el auditor necesariamente no debe contener en sus papeles de trabajo.

Estas excusas o casos, las autoridades consideran que la documentación es irregular o inexistente y son severamente amonestados, suspendidos de manera temporal o definitiva, inclusive el asunto llega hasta la Comisión de Honor y Justicia del CCPM, que puede, en su caso, amonestar, suspender temporalmente y definitiva (y en estos casos hacerla pública en las asambleas de socios) a nuestros colegas en esta desgracia.

Otro riesgo significativo, la tecnología que es un factor de apoyo al realizar ciertas pruebas, guardar la documentación, transmitir información, escaneo de la documentación, hasta fotos y videos, etc. (de cierta evidencia), pero también puede ser una desgracia si los papeles de trabajo no son custodiados adecuadamente en los medios digitales. Deben existir procesos establecidos, vigilados, debidamente soportados, métodos para evitar archivos incompletos, duplicados o extravíos, accesos indebidos, pérdidas de información, evidencia de quien lo hizo, de su revisión, aprobación, entre otros factores negativos. La documentación ahora está en diversos lugares por la manera en que se pueden transferir: en computadoras personales, en una memoria USB, en la nube, en correos electrónicos, etc., que además de estar dispersa y difícilmente se puede compilar para su archivo completo, la cuestión es que se afecta la confidencialidad pues los accesos se facilitan.

Más riesgos, hay ciertos documentos que podrían no ser suficientes como evidencia adecuada, a manera de ejemplo, las confirmaciones, opiniones o explicaciones del cliente a través de los correos electrónicos (además de que hay problemas en la confidencialidad, seguridad pues los hackers de cuello blanco o negro pueden modificarla, sustituirla, enviarla indebidamente o desaparecerla). El auditor debe estar consciente de que este riesgo en la documentación que incorpora a sus papeles de trabajo, tal vez, nos sea suficiente (calidad).

Proceso que produce la documentación

El diablo está en los detalles y cuidar lo obvio…

Primero, es conocer a tu cliente, ambiente circundante, riesgos de negocio, etcétera.

Segundo, la plantación orientada a que las cuestiones de:

  • Importancia (análisis financiero), qué
  • Riesgos conllevan (alto, moderado, bajo), qué
  • Controles existen para compensar (preventivos, detectivos, correctivos, sobre todos aquellos de TI que no se ven) para que se determinen los procedimientos de
  • Auditoría, específicos, únicos para el trabajo, hechos a la “medida”.

Es la fórmula IRCA.

Otra es definir el tipo de transacciones, pues se revisan y documentan en forma diferente.

Rutinarias, como ventas, pagos, nóminas, etc., donde la evidencia que se documenta es igual durante el ejercicio; sin embargo, hay dos tipos: a) si la evidencia es en papel será más fácil probarla y documentarla, b) pero si es digital el proceso es más complicado y se necesita apoyo técnico. También, para cuando las evidencias están en papel o en medios digitales, el volumen de las operaciones, grado de transformación, huellas de auditoría, entre otros aspectos, es otro riesgo donde el auditor debe definir y justificar el uso de muestro estadístico, programas de auditoría electrónicos.

Estimaciones, en opinión del suscrito, esta es área de mayor riesgo en la auditoría, pues se trata de evaluar eventos que aún no suceden, además de la dificultad de auditarlas, lo problemático es la falta de documentación de los juicios y conclusiones, como lo denota el PCAOB.

Específicas, estas son las que suceden en forma eventual, como la compra de una subsidiaria, un terreno, etcétera.

Auditoría específica, de estas tres clases de transacciones, las pruebas y la evidencia a documentar son completamente distintas y requieren diferente esfuerzo del auditor.

Es la fórmula REEA.

Tercero la definición de esos procedimientos se plasma en programas de trabajo hechos a la medida, indicando claramente la oportunidad (fechas, horas), alcance (tipo, manera y número de partidas selectivas a probar) y resultados esperados (la evidencia que se espera obtener sea la “adecuada”); así como quienes apliquen (ayudantes, encargados) y revisen el trabajo estén documentados (gerentes) y sean aprobados (socio, socio alterno, especialistas, calidad).

El riesgo en la documentación es, aunque lo anterior está documentado y los procedimientos se llevaron a cabo, y hay evidencias obtenidas conforme a lo planeado, esto puede ser no suficiente, pues es común que no se justifiquen fehacientemente los supuestos (…el por qué, qué, cuándo, cómo, dónde, quién…), por las personas normalmente no involucradas en el trabajo, como los revisores de calidad, las autoridades que cuestionen (reten, desafíen) dichos supuestos. Por lo que las evidencias, nuevamente, se insiste, tengan las características de adecuadas y persuasivas, convincentes que provienen de una planeación adecuada, de los riesgos detectados, controles clave verificados.

Cuarto, por estar al final del artículo no significa que sea el último proceso de los riesgos de una documentación deficiente, al contrario, el siguiente punto es el monitoreo (supervisión) del equipo de auditoría que, en principio, debe estar capacitado para la auditoría encomendada y la realiza desde el encargado, gerente, socios, socios especializados (impuesto, TI, etc.) y la falta de esta supervisión en un riesgo significativo en la documentación de que esta no esté bien lograda y que debe formarse desde el inicio del trabajo, desde la evaluación del cliente que traiga riesgos innecesarios a su práctica, contratación, la planeación, sobre todo la revisión de la ejecución y la participación minuciosa de la preparación del informe de auditoría que es la conclusión de todo lo que sucedió en el trabajo.

Tres recomendaciones

1. Alarmas, establecer un sistema de alarmas, es decir, los líderes deben establecer un sistema para que se les informe oportunamente, si no se está logrando obtener la evidencia adecuada en el volumen y calidad, y poder establecer nuevas estrategias o de su impacto en la opinión del auditor por una posible limitación.

2. AEC, el Maestro Alejandro Prieto en sus clases de auditoría manifestaba que los papeles eran una especie de “bitácora” que iban formando una “cascada”, los papeles de trabajo derivados de la planeación y que debían tener tres características:

  • Análisis de un documento (análisis de la estimación de demerito, detalle de cuentas por cobrar, etc.), que forma parte de los papeles de trabajo y parte de la documentación.
  • Evidencia, es decir, la descripción de la revisión efectuada sobre dicho análisis (inspección, confirmación, análisis, observación, cálculos, certificaciones, declaraciones, etc.), indicando claramente el trabajo realizado con referencia al programa de trabajo específico y usando las “marcas de auditoría”, haciendo cuadros resumen del alcance, quién lo hizo, revisó, aprobó, etc., y sobre todo, la revisión de eventos posteriores que es una evidencia muy importante, así como la obtención de confirmaciones de terceros.
  • Conclusión, la parte medular de un papel de trabajo que describe en forma fehaciente la conclusión del trabajo, describiendo si a través del análisis, de la evidencia obtenida, si las aseveraciones de los estados financieros y de la auditoría son razonables, sin lugar a dudas. Estas conclusiones deben estar descritas claramente al pie de las cédulas sumarias, al final de los programas de trabajo.

3. Sistema de organización de los papeles de trabajo es la base para asegurar que las evidencias están debidamente documentadas y revisadas. Un sistema sencillo de marcas, referencias, tipo de papeles de trabajo, forma de incluir la evidencia, forma de archivo, formado de expedientes, responsables de la custodia, archivo, etcétera.

Auditor tienes un riesgo

El auditor vive con el riesgo.

El riesgo es parte de su naturaleza, de su vida profesional, debe saber cómo convivirlo, detectarlo, controlarlo y que no le afecte a su trabajo, la documentación, se insiste, que es la base de su opinión y el no tenerla o si es deficiente afecta seriamente su trabajo, prestigio, su futuro.

El Talón de Aquiles de los auditores tiene partes vulnerables como me he permitido describirlo en esta saga de artículos, el principal, es la auditoría del futuro, o sea, las estimaciones, ahora agrego los problemas que existen para obtener las confirmaciones necesarias, principalmente con las instituciones de crédito, además de los efectos de los sistemas TI difíciles de auditar, escepticismo que difícilmente entienden los clientes, localización de errores y fraudes importantes (todo un reto), la competencia, la presión de los honorarios, rotaciones del personal, la sofisticación de la revisión del cumplimiento de los impuestos y de sus constantes cambios e interpretaciones, de las varias emisiones de las NIF, NIIF o NIA. Por ejemplo: el nuevo largo dictamen de varios párrafos que implica prácticamente incluir los aspectos importantes de riesgos, cómo se revisaron, cómo se concluyó, etc., inclusive hay posibilidades de ampliar la información en la “nube”.

Auditor tienes un riesgo… Nos vemos el año que viene con esta saga.

Referencias

PCAOB: Public Company Accounting Oversight Board (Consejo de Vigilancia de la Contabilidad de Empresas Públicas).

NIA: Normas Internacionales de Auditoría.

AGAFF: Administración General de Auditoría Fiscal Federal.

CCPM: Colegio de Contadores Públicos de México.

USB: Universal Serial Bus – Transporte en Serie Universal.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado