Proyecto NIA 265 y CI SOX 404 / Requerimientos PCAOB

aUDITORÍA DEL cONTRoL iNTERNO cONTABLE

eQUIPO 1 NIA 265 Y CONTROL INTERNO LEY SOX 404 Y REQ. PCAOB

INTEGRANTES: Luis Alberto Alvarez Trejo Jose Luis Rocha Mena Eduardo Jesús Salazar Cortés Luis Felipe de la Cruz Loza Meredith Anel Pérez Contreras Miguel Rodríguez

Fecha exposición: 27-03-2023

04.ci SEGUN SOX Y REQ. PCAOB

02.introducción

03.NIA 265

01.resumen

TABLA DE CONTENIDO

LAAT

01. NIA 265 " Comunicación de las deficiencias en el ci a los responsables del gobierno y a la direccion de la entidad

• Introducción
• Alcance de esta nia
• Fecha de entrada en vigor: 15-12-2009
• Objetivo
• Definiciones
• Requerimientos
• Guía de aplicación y otras anotaciones explicativas
• Determinación de si se han identificado deficiencias en el control interno
• Deficiencias significativas en el control interno
• Comunicación de deficiencias en el control interno

LAAT

01. Preambulo coso

• Responsabilidad del auditor para comunicar las deficiencias de control interno a los responsables
• Se relaciona con la NIA 315 y la NIA 260 ya que establece requerimientos adicionales y proporciona orientaciones sobre la responsabilidad que tiene el auditor de comunicarse con los responsables del gobierno de la entidad en relación con la auditoría.
• El auditor obtendrá conocimiento del control interno, valorizará los riesgos y esto le servirá para diseñar procedimientos de auditoría adecuados a las circunstancias, además de que podrá identificarlos en cualquier etapa de la auditoría.
• Se puede comunicar cualquier otra cuestión sobre el CI durante la realización de la auditoría

LAAT

Objetivo

• Será de comunicar adecuadamente a los responsables del gobierno de la entidad y a la dirección las deficiencias en el control interno identificadas durante la realización de la auditoría y que según el juicio profesional del auditor, tengan suficiente para merecer la atención de ambos

DEFINICIONES- Deficiencia en el control: Esta diseñado, implementado u operado de forma que no sirve para prevenir, o detectar y corregir incorrecciones en los ESF oportunamente - No existe un control necesario para prevenir, detectar y corregir, oportunamente, incorreciones en los ESF. - Deficiencia significativa en el control interno: Deficiencia o conjunto de deficiencias en el control interno que segpun el juicio profesional del auditor tiene la importancia suficiente para merecer la atención de los responsables del gobierno de la entidad. REQUERIMIENTOS Determinación si individualmente o de manera agregada constituyen deficiencias significativas

LAAT

COMUNICACIÓN • Se comunican por escrito las deficiencias encontradas. - Reportara deficiencias signifcativas y otras deficiencias en el control interno. Se incluirá en lo escrito: - Una descripción de las deficiencias y una explicación de sus posibles efectos. - Información suficiente para permitir a los responsables la comprensión del contexto. - El proposito del auditor en referencia a la auditoría es de expresar una opinion. - La auditoria tuvo en cuenta el control interno relevante para la preparación de los ESF con el fin de diseñar procedimientos de auditoría adecuados. - Cuestiones que son significativas para el auditor y que deben de ser reportadas.

LAAT

Guia de aplicación y otras anotaciones

Determinación de si se han identificado deficiencias en el control interno

• Discutir con el nivel adecuado los hallazgos.
• Otras consideraciones que pudiera haber tenido la dirección como conocimiento de las causas reales de las deficiencias, excepciones por deficiencias en las que puedan haber reparado la dirección.
• Indicación preliminar por parte de la dirección de su respuesta ante los hallazgos.
• En algunas entidades pequeñas la segregación de funciones se reduce pero la supervisión puede ser mayor.

Deficiencias significativas en el control interno

• La significatividad de una deficiencia o de un conjunto de deficiencias en el control interno depende no solo de si se ha producido realmente alguna incorreción, si no tambien de la probabilidad de que se pueda producir y de la posible magnituf de la incorrección.
• Al momento de determinar si una deficiencia o un conjunto de deficiencias en el control interno , el auditor puede tener en cuenta cuestiones como las siguientes:

LAAT

iNCORRECCIÓN (NIA 200)

• Es la diferencia entre la cantidad, clasificación, presentación o información revelada respecto de una partida incluida en los ESF y la cantidad , clasificación, presentación o revelación de información requerida respecto de dicha prtidas de conformidad con el marco de información financiera. Las incorreciones pueden deberse a errores o fraudes.

NIA 320 - Las incorrecciones, incluidas las omisiones, se consideran materiales si, individualmente o de forma agregada, cabe prever razonablemente que influyan en las decisiones económicas que los usuarios toman basandose en los estados financieros. Materialidad: Se refiere a la cifra o cifras determinadas por el auditor, por debajo del nivel de la importancia relativa establecida para los estados financieros en su conjunto, al objeto de reducir a un nivel adecuadamente bajo la probabilidad de que la suma de incorreciones no corregidas y no detectadas supere la importancia relativadeterminada para los ESF en su conjunto.

LAAT

DEFICIENCIAS SIGNIFICATIVAS EN EL CONTROL INTERNO

COMUNICACIÓN

• La probabilidad de convertirse en incorreciones materiales
• la exposicion del activo o pasivo correspondiente a perdida o fraude
• la subjetividad y complejidad a la hora de determinar cantidades estimadas.
• Las cantidades en los ESF que podrían estar afectadas por las deficiencias.
• El movimiento que se ha producido en los saldos de las cuentas que podrían ser afectados por las deficiencias
• La importancia de los controles en relación con el proceso de información financiera
• La causa y frecuencia de las excepciones detectadas como consecuencias de las deficiencias de controles
• La interacción de la deficiencia con otras deficiencias en el control interno.

INDICADORES DE DEFICIENCIAS SIGNIFICATIVAS EN EL CI, POR EJEMPLO:

• Evidencia de aspectos ineficaces del entorno de control como:

- Indicios de que los responsables del gobierno de la entidad no están examinando adecuadamente transacciones signifcativas en las que la dirección tienen intereses financieros - La identificación de fraude de la dirección, sea o no material, que el CI de la entidad no evitó - La falta de implementación por la dirección de medidas correctoras adecuadas en relación con deficiencias significativas comunicadas con anterioridad- Ausencia de proceso de valorización de riesgos - Evidencia de una respiesta ineficaz ante riesgos significativos - Incorreciones detectadas por el auditor - Evidencia de que la dirección no es capaz de supervisar la preparación de los estados financieros

LAAT

DEFICIENCIAS SIGNIFICATIVAS EN EL CONTROL INTERNO

• Los controles se pueden diseñar para funcionar de forma individual o en combinación con otros, con el fin de prevenir, detectar y corregir incorrecciones.
• Las disposiciones legales o reglamentarias pueden tener términos y definiciones específicos para tipos de deficiencias.

• Una deficiencia en el CI puede no tener suficiente importancia por sí sola, pero sí, en el caso de que se presenten varias en conjunto.
• El auditor empleará dichos términos y definiciones a efectos de la comunicación.

COMUNICACIÓN DE LAS DEFICIENCIAS SIGNIFICATIVAS EN EL CONTROL INTERNO

A los responsables del gobierno de la entidad

Comunicación verbal

Comunicación por escrito

Momento

Puede ser necesario emitirla antes de la fecha de aprobación de los estados financieros, o bien, en una fecha posterior.

Facilita la adopción oportuna de medidas correctoras, pero no exime ni sustituye la comunicación escrita.

Refleja la importancia de estas cuestiones y facilita las responsabilidades de supervisión

• Este requerimiento aplica aunque la dirección y gobierno de la entidad ya tengan conocimiento, por su cuenta o por auditorías anteriores, de las deficiencias significativas y hayan decidido no corregirlas.
• El hecho de no actuar, sin una explicación racional, se supone en sí misma una deficiencia significativa.

COMUNICACIÓN DE LAS DEFICIENCIAS SIGNIFICATIVAS EN EL CONTROL INTERNO

A los responsables del gobierno de la entidad

Naturaleza de la entidad

Por ejemplo, ¿ es entidad de interés público?

El auditor decidirá el grado de detalle de la comunicación de deficiencias significativas conforme a su juicio profesional y las circunstancias.

Dimensión y complejidad de la entidad

Naturaleza de las deficiencias significativas

Composición del gobierno de la entidad

Por ejemplo, miembros que no tienen experiencia en el sector

Requerimientos legales o reglamentarios

Tipos de deficiencias según términos y definiciones

COMUNICACIÓN DE LAS DEFICIENCIAS EN EL CONTROL INTERNO

A la dirección de la entidad

dEFICIENCIAS EN EL Control interno

• Si la dirección ya tiene conocimiento (por su cuenta, por otras auditorías, o por la función de auditoría interna) de las deficiencias no significativas y ha decidido no corregirlas, no es necesario volver a comunicarlas ni a la dirección ni al gobierno.

Deberán comunicarse en caso de que:

• Hubo cambios en la dirección
• Hubo cambios que modifiquen el conocimiento de dichas deficiencias
• El hecho de que la dirección no haya corregido las deficiencias comunicadas puedan convertirse en deficiencias significativas que deban comunicarse al gobierno.
• Los miembros del gobierno así lo requieran

COMUNICACIÓN DE LAS DEFICIENCIAS EN EL CONTROL INTERNO

A la dirección de la entidad

• Cada dirección operativa tiene la responsabilidad y autoridad para evaluar las deficiencias en el control interno y adoptar medidas correctoras.
• Algunas deficiencias no son significativas, pero sí pueden merecer atención de la dirección por la probabilidad y magnitud de las incorrecciones en los estados financieros a juicio del auditor. Pueden comunicarse solo verbalmente.

deficiencias significativas en el control interno

• En el caso de evidencia de fraude o incumplimiento intencionado por la dirección, no resulta adecuado comunicar esas deficiencias directamente a la dirección, sino, al gobierno. (NIA 240)

Contenido de la comunicación escrita de deficiencias significativas en el control interno

3.Contexto adicional

1.Deficiencias significativas

No es necesario cuantificar los efectos, pueden presentarse de forma agrupada.

Posibles efectos de procedimientos de auditoría más extensos que cambien el grado de las deficiencias.

2.Sugerencias de medidas correctoras

4.Contexto adicional

Fines de la comunicación a los responsables del gobierno de la entidad y su uso puede no ser adecuado para otros fines.

Pueden incluirse las respuestas de la dirección y una declaración del auditor sobre la verificación de la implementación de respuestas.

CI ley sox y requerimientos PCaob

Ley Sarbanes-Oxley y el PCAOB

A partir del 2002 con la creación de la Ley Sarbanes-Oxley surgieron cambios en las regulaciones con el fin de proteger a los inversionistas, como parte de esos cambios, se creo la Junta de Supervisión de Contabilidad de Empresas Públicas (The PCAOB por sus siglas en inglés).Objetivo PCAOB: supervisar las auditorías de las empresas públicas con el fin de proteger a los inversionistas y promover el interés público en la preparación de informes de auditoría informativos, precisos e independientes.

• Registra firmas de contabilidad pública que preparan informes de auditoría.
• Establece y adopta normas de auditoría y certificación relacionadas, control de calidad, ética e independencia.
• Inspecciona auditorías y los sistemas de control de calidad de las empresas de contabilidad pública registradas.
• Investiga y disciplina a las firmas de contabilidad por violaciones de leyes, reglas o estándares profesionales específicos.

PCAOB (Public Company Accounting Oversight Board)- Junta de Supervisión de Contabilidad de Empresas Públicas

Ley sox y control interno

Evaluación y presentación de informes sobre el CI:

• Cada firma de contabilidad pública registrada que prepare o emita el informe de auditoría para el emisor deberá dar fe e informar sobre la evaluación realizada por la gerencia.

• Se deberá certificar conforme a las normas emitidas por el PCAOB.

Sección 404: Evaluación de la gestión de los controles internos.

"Todos los informes financieros anuales deben incluir un informe de control interno que indique que la administración es responsable de una estructura de control interno "adecuada" y una evaluación por parte de la administración de la efectividad de la estructura de control. También debe notificarse cualquier deficiencia en estos controles. Además, los auditores externos registrados deben dar fe de la exactitud de la afirmación de la dirección de la empresa de que los controles contables internos están en su lugar, son operativos y eficaces."

Enlace

requerimientos PCaob

AS2201 - AUDITORÍA DEL CONTROL INTERNO

Noviembre de 2007 INTRODUCCIÓN Requisitos y dirección Garantía razonable sobre la fiabilidad de la información financiera Si existen una o mas debilidades en el control interno no puede considerarse eficaz Pueden existir debilidades en el control aun cuando no haya incorrecciones materiales Trabajo de campo y normas de información aplicables Uso del mismo marco

INTEGRACIÓN Ambas auditorías se integran pero tienen objetivos distintos Pruebas de control simultaneas Una evaluación de riesgo bajo reduce el trabajo PLANIFICACIÓN Cuestiones importantes: - Conocimiento por encargos previos - Cuestiones de la industria - Asuntos relacionados con la actividad de la empresa - Alcance de los cambios - Juicios preliminares del auditor - Deficiencias de controles comunicadas - Asuntos legales que conozca la empresa - Tipo y alcance de las pruebas disponibles - Información pública - Conocimiento de los riesgos para la empresa - La complejidad relativa de las operaciones de la empresa

PAPEL DE LA EVALUACIÓN DE RIESGOS A mayor riesgo mayor atención; si el control no implica una posible incorrección no es necesario probarlo Se debe considerar la complejidad AMPLIACIÓN DE LA AUDITORÍA La complejidad y tamaño de la empresa AFRONTAR EL RIESGO DE FRAUDE - Controles sobre transacciones significativas inusuales - Controles sobre los asientos y ajustes - Controles de las transacciones con partes vinculadas - Estimaciones significativas - Controles contra la falsificación de información

UTILIZAR EL TRABAJO DE OTROS El auditor evaluará en qué medida puede utilizar el trabajo de otros, incluida auditoría interna. Competencia y objetividad de los terceros A mayor riesgo, mayor necesidad de trabajo propio MATERIALIDAD Mismas consideraciones de importancia relativa UTILIZAR UN ENFOQUE DESCENDENTE Se parte de los estados financieros y los riesgos globales, luego se pasa al nivel entidad, y se llega a las cuentas.

Evaluación de las deficiencias identificadas

El auditor debe evaluar la gravedad de cada deficiencia de control del que tenga conocimiento para determinar si las deficiencias, individualmente o en combinación, son debilidades materiales.

La gravedad de una deficiencia depende de: - Si existe una posibilidad razonable de que los controles de la empresa no prevengan o detecten errores - La magnitud de la posible incorrección resultante de la deficiencia o deficiencias.

El auditor debe evaluar el efecto de los controles compensatorios al determinar si un control deficiencia o combinación de deficiencias es una debilidad material. Para tener un efecto atenuante, de compensación debe operar a un nivel de precisión que prevendría o detectaría un error que podría ser material.

Indicadores de debilidades materiales

Los indicadores de debilidades materiales en el control interno sobre la información financiera incluyen: - Identificación de fraude, material o no, por parte de la alta dirección. - Reformulación de EEFF previamente emitidos para reflejar la corrección de un declaración errónea. - Identificación por el auditor de una incorrección material en los EEFF. - Circunstancias que indiquen que la incorrección no habría sido detectada por los controles internos. - Supervisión ineficaz de la información financiera externa de la empresa y el control interno

Formación de una opinión El auditor debe formarse una opinión sobre la eficacia del control interno sobre la información de la evidencia obtenida de todas las fuentes.

Obtención de representaciones escritas En una auditoría de control interno, el auditor debe obtener manifestaciones escritas de las áreas operativas.

Comunicación El auditor debe comunicar, por escrito, a la administración y al comité de auditoría todas las debilidades identificadas. La comunicación por escrito debe hacerse antes de la emisión del informe.

Reporte de Control Interno El dictamen del auditor sobre el resultado del control interno incluye los siguientes elementos: - Título - Destinatario - Opinión sobre el Control Interno de la Información Financiera - Base para la opinión - Definición y limitaciones del control interno sobre la información financiera

Definiciones Apéndice "A"

Objetivo de control: Establece un criterio para evaluar si los procedimientos de control de la empresa en un área específica brindan seguridad, y pueden ser preventivos o defectivos.

Existe una deficiencia en el control interno: cuando el diseño u operación de un control no permite a la operación, prevenir o detectar errores en forma oportuna.

Los estados financieros y las divulgaciones: relacionadas se refieren a los estados financieros de una empresa y las notas a los estados financieros tal como se presentan de acuerdo con los principios de contabilidad generalmente aceptados.

El control interno sobre la información financiera es un proceso diseñado y realizadas por la operación, para proporcionar aseguramiento con respecto a la confiabilidad de la información y preparación de estados financieros e incluye políticas y procedimientos.

COMUNICACION

78a84

El Auditor debe:

• Comunicar, por escrito, todas las debilidades materiales y deficiencias significativas identificadas durante la auditoría, asi como las deficiencias de control interno de menor magnitud).

• Realizarse de manera oportuna y con anterioridad a la emisión del informe de auditoría sobre el control interno de la información financiera.
• Si se identifica supervisión de informacion financiera y un control ineficaz por parte del comite de auditoria, debe comunicarse a la junta directiva.

Reporte Control Interno

85y86

El informe incluye los siguientes elementos:

• Titulo
• Destinatario
• Opinión sobre el Control Interno de la Información Financiera
• Base para la opinión
• Declaracion responsabilidades de la administración
• Identificación del informe de la gerencia
• Declaracion responsabilidad del auditor
• Declaracion de que es una firma de contadores registrada (PCAOB) e independiente a la empresa.
• Declaracion de estandares PCAOB
• Declaratoria de que se incluyo un entendimiento del control interno sobre la informacion financiera de la empresa
• Declaratoria de auditori de que la auditoria proporciona una base razonable para la opinion

Reporte Control Interno

85y86

• Definicion y limitaciones del control interno sobre la informacion financiera:

• Definicion del control interno de la informacion financiera
• Declaratoria sobre las limitaciones inherentes de que el control interno sobre la información financiera puede no prevenir o detectar errores
• Firma, ubicacion y fecha

Informes separados o combinados

87y88

• El auditor puede optar por emitir un informe combinado (es decir, un informe que contenga tanto una opinión sobre los estados financieros como una opinión sobre el control interno sobre la información financiera) o informes separados sobre los estados financieros de la empresa y sobre el control interno sobre la información financiera.

APPENDIX A DEFINICIONES

Contiene definiciones de terminos utilizados

• Objetivo de control

• Deficiencia

• Estados Financieros y divulgaciones relacionadas

• Control Interno sobre la información financiera

• Evaluación de la administración

• Debilidad material

• Controles p|reventivos o detectivos

• Aseveracion relevante

• Cuenta o revelacion

• Deficiencia significativa

APPENDIX B

INTEGRACIÓN DE LAS AUDITORÍAS

Pruebas de controles en una auditoría de Control Interno:

• El objetivo es obtener pruebas de la eficacia de los controles que respalden la opinión del auditor sobre el CI
• Para expresar una opinión sobre el CI de la Información Financiera en su conjunto, el auditor debe obtener pruebas de la eficacia de los controles, comprobar el diseño y la eficacia operativa de los controles

Pruebas de controles en una auditoría de Estados Financieros.

• El objetivo es evaluar el riesgo de control
• El auditor debe obtener pruebas de que los controles han funcionado eficazmente durante todo el período

Efectos de las pruebas de los controles en los procedimientos sustantivos.

• El auditor debe aplicar procedimientos sustantivos a todas las afirmaciones relevantes y si hubiera deficiencias, debe determinar los procedimientos sustantivos a realizar para reducir el riesgo a un nivel bajo
• El auditor debe evaluar riesgos de procedimientos sustantivos relativos al fraude, actos ilegales, sesgos en estimaciones contables e incorrecciones materiales

APPENDIX B

DECISIONES SOBRE EL ALCANCE DE UBICACIONES MÚLTIPLES

• El auditor debe probar los controles sobre riesgos que presenten una posibilidad razonable de incorrección material en los EF consolidados de la empresa y en su caso no considerar unidades de negocio de la misma, que no presenten una posibilidad razonable de incorección material.
• Puede tomar en cuenta el trabajo de otros profesionales, como los de auditoría interna en varias ubicaciones para reducir el número de procedimientos de auditoría a realizar.

Situaciones especiales:

• El alcance de la auditoría debe incluir las entidades que se adquieran en la fecha o antes de la evaluación por la dirección.
• El auditor debe evaluar la razonabilidad de la decisión tomada por la dirección y que ésta cumple con los criterios de permite la SEC para excluir o limitar la evaluación del CI sobre la información financiera a determinadas entidades

APPENDIX B

UTILIZACIÓN DE ORGANIZACIONES DE SERVICIOS

• El auditor debe obtener una comprensión de los controles y actividades de la organización de servicios y de la usuaria, al determinar las pruebas para respaldar su opinión.
• Obtener un informe del auditor de servicios sobre los controles y pruebas de su eficacia operativa (período de tiempo cubierto, alcance, forma en que se interrelacionan los controles de ambas organizaciones).

Procedimientos adicionales:

• Identificar cambios de contratos, datos, informes y de personal de la organización de servicios con el que interactua la dirección
• Evaluar la eficacia operativa de los controles en la organización de servicios, así como evaluar los procedimientos realizados por la dirección y los resultados de dichos procedimientos.

APPENDIX B

ANÁLISIS COMPARATIVO DE LOS CONTROLES AUTOMATIZADOS

• El auditor puede concluir que los controles automatizados siguen siendo eficaces, si los controles generales, los accesos a los programas y las operaciones informáticas son eficaces y no han cambiado desde la última vez que probó la aplicación del control.
• El auditor debe evaluar el alcance en que la aplicación es estable (pocos cambios en un período)
• El benchmarking de los controles automatizados eficaz donde se utilizan software comprado y cuya probabilidad de posibilidad de cambios en el programa son muy remotas y no permite acceso o modificación del código fuente.
• Transcurrido determinado tiempo se deberá evaluar la eficacia del entorno del control informático (mantenimiento de software, controles de acceso y operación informática)

APPENDIX C

MODIFICACIONES DEL INFORME

El Auditor debe modificar su informe si:

• Los elementos del informe anual de la dirección sobre el CI están incompletos o mal presentados
• Existe restricción en el alcance del encargo
• El auditor decide remitirse al informe de otros auditores como base para su propio informe.
• Existe otra información contenida en el informe anual de la dirección sobre el CI
• La Certificación anual de la dirección contiene inexactitudes (conforme la Secc 302 de la Ley SOX)

Limitaciones al alcance.

• El Auditor debe retirarse o renunciar a emitir una opinión, si exixten restricciones al alcance del encargo
• El alcance de la auditoría no era suficiente
• Una limitación del alcance impidirá al auditor obtener garantía razonables para expresar una opinión

APPENDIX C

MODIFICACIONES DEL INFORME

Opiniones basadas, en parte, en el informe deotro auditor:

• Determinar si el auditor puede actuar como auditor principal y utilizar el trabajo de otro auditor para su opinión
• El auditor principal de los E/F debe participar suficientemente en la auditoría del CI sobre la información financiera para proporcionar una basepara actuar como auditor principal del CI

Informe anual de la dirección sobre el CI de la onformación financiera que contiene información adicional.

• Si la información adicional contiene una incorrección material, el auditor deberá discutirla con la dirección y si aún después de discutirla persiste la incorrección material, deberá poner por escrito su opimión e informar al comité de auditoría.