PLANIFICACIÓN
Antes de revisar los pasos específicos del proceso de auditoría, es importante que veamos algunas consideraciones iniciales relativas a la planificación a nivel de EFS o nivel institucional. Así, mientras identifican el alcance y el objeto de la auditoría, las EFS necesitan considerar el nivel de seguridad que va a dar la auditoría y tomar la decisión de conducir una auditoría de seguridad razonable o limitada. Los factores que pueden guiar la decisión acerca del nivel de seguridad más adecuado de acuerdo a las circunstancias de la auditoría se explican a continuación.
3.2.1 Determinando el nivel de
seguridad
El nivel de seguridad que se dará en una auditoría necesita considerarse al momento de identificar el alcance y objeto de la misma. Conducir una auditoría de seguridad razonable o limitada es una decisión estratégica que la EFS debe tomar a nivel de entidad después de considerar lo siguiente:
• Las necesidades del usuario previsto
• El estado del ambiente de control interno de la entidad auditada
• La disponibilidad y acceso a la información
• La competencia de los auditores
• La disponibilidad de recursos
Aunque algunos de estos factores pueden tener mayor relevancia, pero todos los factores deben considerarse para alcanzar una decisión. La lista anterior no es exhaustiva, por lo que las EFS deben considerar otros factores al tomar la decisión sobre el nivel de seguridad que darán en la auditoría.
Ya que el alcance y el objeto de las auditorías de cumplimiento es muy flexible, cambiar el alcance podría influir teóricamente en el nivel de seguridad proporcionado. Por ejemplo si el alcance de una auditoría se ha delimitado para incluir únicamente el número actual de operaciones que se examinarán, el auditor será capaz de proporcionar una seguridad de casi el 100%. Si el alcance de la auditoría se amplía ligeramente, esto le permitirá al auditor dar fácilmente una seguridad razonable. Sin embargo, estas decisiones deben tomarse sobre una base racional. Este ejemplo sirve únicamente para destacar que la identificación del alcance y objeto de la auditoría tienen un papel esencial para identificar el nivel de seguridad que se dará.
Las necesidades de los usuarios
Las necesidades de los usuarios son el factor más importante al determinar el nivel de seguridad que la auditoría proporcionará. Una EFS debe evaluar estas necesidades para determinar el tipo de conclusión más apropiado, lo cual requiere entender las decisiones tomadas por los usuarios y el tipo de información que utilizan para sus propósitos.
Se puede decir que, si el proceso de toma de decisiones de los usuarios requiere de información sofisticada sobre el objeto de la auditoría y su funcionamiento, entonces una auditoría de seguridad razonable sería lo más apropiado. Este nivel de seguridad proporciona una mejor comprensión de los sistemas de la entidad y su confiabilidad. Sin embargo, si los usuarios están interesados en los resultados y no requieren una
mirada más profunda de los sistemas y controles, entonces una auditoría de seguridad limitada sería más adecuada.
Las EFS pueden seguir diferentes enfoques en la planificación de una auditoría. Algunas pueden hacer un plan estratégico a largo plazo, mientras que otras pueden hacer planes anuales de auditoría. Asimismo, algunas EFS pueden usar un sistema híbrido que involucre al mismo tiempo planes anuales y a largo plazo. Estas variaciones en la planificación no evitan que las EFS puedan seguir un enfoque consistente en la conducción de auditorías individuales. Al planificar una auditoría de cumplimiento a nivel macro, las EFS pueden considerar los siguientes factores:
• Un financiamiento vinculado al cumplimiento de los términos de contratos o acuerdos;
• Casos de incumplimiento por parte de la entidad;
• Hallazgos, resultados y recomendaciones hechos por otras partes diferentes a las EFS;
• La evaluación de riesgos realizada en conexión con auditorías financieras o de desempeño indicando áreas en las que el riesgo de incumplimiento es más alto;
• La expectativa o el interés público (por ejemplo, sospechas de fraude, malversación de fondos, información dada a conocer a través de los medios de comunicación, etc.)
Otro factor a considerar en la planificación de la auditoría de cumplimiento puede ser la urgencia de la información sobre un objeto de la revisión en particular por parte de los usuarios previstos. Si existe una exigencia o necesidad de los usuarios por obtener resultados inmediatos, conducir una auditoría de seguridad limitada sería más conveniente.
La disponibilidad de la información
Aunque el acceso a la información es un aspecto fundamental de una auditoría y las EFS normalmente tienen la capacidad de lograr el acceso necesario, una EFS aún puede enfrentar situaciones en las que la información disponible para la auditoría sea limitada o incluso que no exista. O que el auditor no tenga suficiente acceso a la información existente. Debido a la naturaleza
específica de las auditorías del sector público, en tales casos es posible que las EFS no estén en posición de rechazarlas. Sin embargo, este factor influirá en el nivel de seguridad proporcionado. Esto es especialmente importante en lo relativo a los servicios externos que se contraten por la entidad auditada. Actualmente cada vez más entidades públicas contratan por fuera sus servicios, lo cual es muy común para los relacionados con los sistemas de información. En tales casos, el auditor necesita tener acceso total a la entidad que presta los servicios con el fin de realizar la auditoría. En algunos casos esto requerirá que la EFS audite al proveedor de servicios. Sin embargo, muchas EFS no tienen la autoridad para hacer tales auditorías, lo que limita considerablemente su eficacia.
Las auditorías de seguridad razonable requieren que el auditor tenga acceso a los sistemas y procesos utilizados (p. ej. los controles internos de la entidad) y por lo tanto necesitan más información que las auditorías de seguridad limitada. Por consiguiente, es probable que las limitaciones en la información lleven a una auditoría de seguridad limitada.
La competencia de los equipos de auditoría
Las normas establecen que "las personas que conforman el equipo de auditoría deben poseer en conjunto el conocimiento, las habilidades y la experiencia necesarios para completar la auditoría con éxito1. Por lo tanto, la EFS necesita considerar
las capacidades con las que cuenta al momento de tomar la decisión sobre el alcance de la auditoría y el nivel de seguridad que va a dar. Si no se dispone de las capacidades necesarias dentro del equipo de auditoría, entonces la EFS debe considerar otras opciones, como cambiar la composición del equipo o contratar a un experto. Aunque las habilidades básicas para la auditoría son las mismas, es probable que las auditorías de seguridad razonable y limitada requieran auditores con diferentes capacidades.
En una auditoría de seguridad razonable es probable que el auditor use un enfoque sistemático
1 ISSAI 400.45.
para llegar a una conclusión general acerca del objeto de la revisión. Por ejemplo, esto puede hacerse identificando una muestra de las operaciones que son representativas de la población y extrapolando los resultados del muestreo a la población entera. Para llegar a una conclusión general en una auditoría de seguridad razonable también es probable que el auditor evalúe los sistemas y procesos del objeto de la revisión, como por ejemplo llevar a cabo una evaluación de los controles internos. Para seguir este enfoque, el equipo de auditoría necesitará la competencia necesaria de acuerdo a las circunstancias para conducir la auditoría.
En las auditorías de seguridad limitada el objetivo de la auditoría es obtener un nivel de seguridad significativo para los usuarios previstos con base en la naturaleza, oportunidad y alcance de los procedimientos de auditoría.
Ejemplo:
La EFS de Kasboria decidió llevar a cabo una auditoría de seguridad limitada de la Oficina Nacional de Administración Tributaria. Debido a que las auditorías anteriores habían señalado varios puntos débiles en el control interno, la auditoría se iba a enfocar en los detalles de las operaciones y no en los sistemas y controles. Por lo tanto, el equipo de auditoría decidió no usar el muestreo estadístico, ya que no contaban con la experiencia para extrapolar los resultados con el fin de obtener una conclusión general. Debido a esto, uno de los miembros del equipo que se especializaba en muestreo estadístico fue reasignado a otro equipo de auditoría.
La disponibilidad de otros recursos
Normalmente las auditorías de seguridad razonable requieren más tiempo y recursos en comparación con una auditoría de seguridad limitada realizada para el mismo objeto de la revisión y con el mismo alcance. Por lo tanto, es probable que una EFS con recursos limitados se sienta más inclinada a realizar auditorías de seguridad limitada. Sin embargo, esto se debe analizar con cuidado dando precedencia a las necesidades de los usuarios y considerando otros factores como la importancia relativa y el riesgo.
3.2.2 El riesgo de auditoría y su
impacto en la seguridad de la
auditoría
Los auditores deben evitar el riesgo de presentar un informe que sea inapropiado de acuerdo a las circunstancias de la auditoría. El riesgo de auditoría es el riesgo que existe de que el informe de auditoría - o más específicamente la opinión o conclusión del auditor - sea inapropiado de acuerdo a esas circunstancias. Considerar el riesgo de auditoría es importante tanto para los trabajos de certificación (compromisos de atestiguamiento) como para los de información directa (compromiso de elaboración de un informe directo). El auditor debe considerar tres dimensiones diferentes del riesgo de auditoría – riesgo inherente, riesgo de control y riesgo de detección – en relación con el objeto de la revisión y el formato del informe, es decir, si el objeto de la revisión es cuantitativo o cualitativo y si el informe de auditoría incluirá una opinión o una conclusión2.
Los auditores necesitan considerar el riesgo de auditoría a lo largo de todo el proceso y la auditoría debe realizarse de tal manera que se administre o reduzca dicho riesgo a un nivel aceptablemente bajo. La importancia relativa de las distintas dimensiones del riesgo de auditoría depende de la naturaleza del objeto de la revisión y de si la auditoría proporcionará una seguridad razonable o limitada.
La opción de proporcionar una seguridad razonable o limitada le da a la EFS flexibilidad suficiente para responder al riesgo de auditoría. Cuando una EFS presenta un informe acerca de un objeto de la revisión, siempre existe el riesgo de que la conclusión u opinión del informe sea inapropiada. Por ejemplo, la conclusión del auditor puede ser que el objeto de la revisión cumple con los criterios, pero existe la posibilidad de que haya incumplimientos significativos que no se hayan detectado. Éste es el riesgo de auditoría. Todos los procedimientos de la auditoría están diseñados para reducir el riesgo a un nivel aceptablemente bajo y para lograrlo el auditor lleva a cabo procedimientos que le permiten reducir o
2 ISSAI 400.46.
administrar el riesgo de obtener conclusiones inadecuadas, reconociendo que una auditoría nunca puede proporcionar una certeza absoluta sobre la condición del objeto de la revisión3.
La principal diferencia entre proporcionar una seguridad razonable o limitada es la forma en que se trata el riesgo de auditoría y los conceptos relacionados. Cuando el objetivo es proporcionar una seguridad razonable, el auditor debe reducir el riesgo a un nivel aceptablemente bajo dadas las circunstancias de la auditoría4. En una auditoría de
seguridad razonable, la conclusión del auditor proporcionará una seguridad general sobre el objeto de la revisión. Debido a que no es práctico auditar todo el objeto de la revisión y las operaciones relevantes, el auditor examinará una parte de las transacciones por medio de un muestreo. Esto significa que el auditor también proporcionará la seguridad para partidas que no han sido examinadas, en cuyo caso, si no se usa un enfoque sistemático, existe un alto riesgo de que la conclusión del auditor esté equivocada. Para reducir el riesgo, es probable que el auditor analice sistemáticamente el objeto de la revisión (como por ejemplo los controles internos de una entidad) e identifique una muestra (de las operaciones, etc.) que sea representativa del total de la población. Para que el muestreo sea correcto el auditor debe considerar el riesgo de no identificar incumplimientos significativos y para hacer esto identificar primero los problemas y aspectos que son importantes para una auditoría en particular. Esto se hace determinando la importancia relativa. La auditoría también puede tener como objetivo proporcionar una seguridad limitada, en cuyo caso el riesgo aceptable de que los criterios no se cumplan es mayor que en una auditoría de seguridad razonable. Una auditoría de seguridad limitada proporciona un nivel de seguridad que, de acuerdo con el juicio profesional del auditor, será significativo para los usuarios previstos5.
Los procedimientos usados en una auditoría de seguridad limitada pueden variar ampliamente e incorporar los mismos elementos usados en una auditoría de seguridad razonable. Sin embargo, la
3 ISSAI 100.40.
4 ISSAI 100.40. 5 ISSAI 100.40.
forma en que los conceptos de riesgo y evidencia de auditoría son tratados variará de manera significativa. Al realizar una auditoría de seguridad limitada, el enfoque usado puede no ser tan sistemático como el de una auditoría de seguridad razonable. La auditoría se diseñará para identificar los incumplimientos significativos con los recursos y métodos disponibles tanto como sea posible. Al final de la auditoría es posible que aún existan incumplimientos en las partidas que no han sido examinadas por el auditor, pero con este tipo de seguridad limitada el auditor estará reduciendo el riesgo de proporcionar una conclusión equivocada. Siendo diferente de una auditoría de seguridad razonable, al final el auditor no dirá nada acerca de las partidas que no ha examinado y la conclusión no las cubrirá. El objetivo de la auditoría no es identificar todas las instancias significativas de incumplimiento. Debido a la naturaleza de la auditoría de seguridad limitada el riesgo de auditoría también se considera de manera diferente, ya que el auditor acepta un nivel más alto de incertidumbre en las conclusiones sobre el objeto de la revisión.
Ahora que hemos enfatizado nuevamente la necesidad de entender el vínculo entre objeto de la revisión, criterio y alcance, y que hemos analizado el riesgo de auditoría y los aspectos relacionados de seguridad, en la siguiente sección aplicaremos estos conceptos al proceso de planificación de la auditoría de cumplimiento.